Ze sporym zdziwieniem zapoznaliśmy się z artykułem redaktora Marka Jaślana na TELKO.IN z dnia 24.07.2025 r. pt. „Apel organizacji biznesowych, by pilnie uchwalić nowelizację KSC i dać odpór chińskiemu lobbingowi”, konstatując co najmniej zaskakujące wnioski płynące z analizy opisanego w artykule apelu.
Organizacje biznesowe, które podpisały się pod apelem kierowanym do Ministra Cyfryzacji w przedmiocie jak najszybszego uchwalenia nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (Amerykańska Izba Handlowa w Warszawie, Związek Przedsiębiorców i Pracodawców, Związek Cyfrowa Polska, Związek Pracodawców Technologii Cyfrowych Lewiatan, Izba Gospodarki Elektronicznej) dążą do jak najszybszego uchwalenia nowelizacji, uważając, że rząd polski nie może dłużej pozostawać bez narzędzi prawnych pozwalających na skuteczne zarządzanie realnym ryzykiem związanym z dostawcami wysokiego ryzyka, twierdząc zarazem, iż jest to kwestia kluczowa z punktu widzenia bezpieczeństwa państwa i obywateli.
Co więcej, autorzy apelu uważają, że dalsze zwlekanie z wdrożeniem nowelizacji KSC narazi Państwo Polskie na negatywne reperkusje natury finansowej pod postacią kar w związku z niewdrożeniem w terminie zapisów dyrektywy UE 2022/2555 z dnia 14.12.2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii zwanej dalej dyrektywą NIS2.
Autorzy apelu wywodzą wymóg wdrożenia instytucji „dostawców wysokiego ryzyka” (DWR) z zapisanego w dokumencie 5G Toolbox mechanizmu identyfikowania i wyznaczania takich właśnie dostawców. Żałować należy, że autorzy apelu nie wzięli pod uwagę, iż rząd polski sam sobie zawdzięcza zagrożenie karami finansowymi z powodu nieterminowego wdrożenia dyrektywy NIS 2 albowiem, gdyby w projekcie nowelizacji KSC zaniechał mechanizmu DWR, to przedmiotowy projekt dawno temu mógłby stać się ustawą obowiązująca nie budząc tak daleko idących kontrowersji jak obecny projekt z 23.04.2024 r. Dyrektywa NIS2 bowiem w ogóle nie wspomina o mechanizmie DWR, a zmiana KSC bez tej instytucji i tak prowadziłby do wdrożenia dyrektywy NIS2 [art. 288 zd. 4 Traktatu o funkcjonowaniu Unii Europejskiej z 25.03.1957 r. (Dz. U. z 2024 r. nr 90 poz. 864/2 z późn. zm.), zwanego dalej Traktatem o funkcjonowaniu UE].
Z kolei przywoływany przez autorów apelu „Unijny zestaw środków dla sieci 5G” (Toolbox 5G), w którym rzeczywiście zawarto uzgodniony na poziomie UE mechanizm identyfikowania i wyznaczania DWR w ogóle nie stanowi źródła prawa unijnego w ujęciu art. 288 zd. 1 Traktatu o funkcjonowaniu UE, ani też źródła prawa powszechnie obowiązującego w Rzeczypospolitej Polskiej w ujęciu art. 87 Konstytucji Rzeczypospolitej Polskiej z dnia 2.04.1997 r. (Dz. U. nr 78 poz. 483 z późn. zm.).
Oznacza to, iż nie obowiązuje żaden przepis prawa unijnego lub krajowego nakładający na polskiego projektodawcę wymóg umieszczenia w projekcie nowelizacji KSC zapisów poświęconych mechanizmowi DWR.
Jedynie zatem nieuzasadniony upór polskiego projektodawcy, który wbrew negatywnej ocenie zdecydowanej części rynku polskiego, próbuje wprowadzić do polskiego systemu prawnego ten mechanizm sprawił, iż nasz kraj jest zagrożony karami z powodu nieterminowego wdrożenia NIS2. To rząd polski, a nie organizacje branżowe, ponosi wyłączną odpowiedzialność za stworzenie tego rodzaju zagrożenia.
Dziwić musi dążenie raptem kilku organizacji biznesowych do wdrożenia instytucji prawnej, która sprawi, że około 38 tys. polskich przedsiębiorców z 18 sektorów rodzimej gospodarki, których dotknie wdrożenie mechanizmu DWR (jak wskazano w artykule Łukasza Deca „EY ostrzega przed restrykcyjnością projektu KSC” opublikowanym na TELKO.in w dniu 7.03.2025 r.), będzie zmuszonych w okresie 4, 5 lub 7 lat zależnie od trybu nabycia i rodzaju infrastruktury (krytycznej lub innej), do wycofania produktów ICT, usług ICT i konkretnych procesów objętych decyzją o uznaniu danego podmiotu za DWR, przy jednoczesnej niemożności (od daty publikacji decyzji) dalszego nabywania zakwestionowanych produktów.
