Polska lista sektorów objętych nowymi wymogami cyberbezpieczeństwa jest znacznie szersza, niż wymaga tego UE, co może kosztownie obciążyć nawet 40 tys. podmiotów – ostrzega w "Dzienniku Gazeta Prawna" Marek Chmaj, szef Departamentu Prawa Konstytucyjnego w kancelarii Chmaj i Partnerzy. Punktuje też wady projektu nowelizacji ustawy o KSC: od nierealnych terminów wdrożeń, przez brak rekompensat za wymianę sprzętu, aż po procedury uznawania dostawców za ryzykownych, które porównuje do „sądu kapturowego”.
Zastanawia się on, czy działanie rządu, również poprzedniego, który rozpoczął prace nad projektem, jest oparte na założeniu, że objęcie systemem jak największej liczby podmiotów spowoduje ogólny wzrost bezpieczeństwa. Jego zdaniem, jest to założenie błędne, ignorujące zasadę proporcjonalności. Projektowane regulacje nakładają na przedsiębiorców poważne obowiązki, które będą wyzwaniem finansowym i organizacyjnym. – Powinny one obejmować tylko te podmioty, które są kluczowe dla cyberbezpieczeństwa państwa, i tylko te, które są w stanie tym obowiązkom sprostać bez istotnego uszczerbku. Objęcie systemem firm niepełniących ważnej roli w systemie to niepotrzebne obciążenie polskiej gospodarki i realna groźba spadku konkurencyjności. Polskie przedsiębiorstwa będą musiały bowiem ponosić nakłady tam, gdzie nie będą musiały tego robić na przykład firmy niemieckie, czeskie czy belgijskie. Przypomnę, że w Niemczech regulacje obejmą mniej niż 30 tys. podmiotów, w Hiszpani – 12 tys., zaś we Francji – 10 tys. W Polsce będzie to co najmniej 39 tys., co w zestawieniu z przywołanymi krajami UE dobitnie pokazuje skalę nadregulacji – uważa Marek Chmaj.
W jego opinii problemów z konstytucyjnością projektu jest sporo, poczynając od zbyt krótkiej vacatio legis. Jednak najwięcej dotyczy procedury uznawania dostawcy za DWR. Uważa on, że projektowana procedura to w zasadzie sąd kapturowy, w którym dostawca sprzętu lub oprogramowania może być zawiadomiony o postępowaniu przez obwieszczenie w internecie. Jak twierdzi, to i tak nie będzie miało dla niego większego znaczenia, bo jednoinstancyjne postępowanie będzie w zasadzie niejawne, tak samo jak uzasadnienie ewentualnego wyroku sądu administracyjnego. Przedsiębiorcy nie będą przysługiwały żadne realne narzędzia obrony przed zarzutem bycia dostawcą „ryzykownym”. Decydować o tym będzie ciało złożone głównie z polityków. Dostawca nie będzie mógł też przyjąć żadnych środków naprawczych. Tymczasem skutki wydania natychmiast wykonalnej decyzji będą oddziaływały nie tylko na jej adresata, ale wszystkich użytkowników dostarczanych przez niego komponentów, czyli podmiotów kluczowych i ważnych. W tym zakresie projekt czyni iluzorycznym prawo do sądu oraz godzi m.in. w zasady zaufania obywateli do państwa, ochrony praw nabytych oraz proporcjonalności ograniczeń praw i wolności, zwłaszcza swobody działalności gospodarczej i prawa własności.
Więcej w: Nowe przepisy o cyberbezpieczeństwie to de facto wywłaszczenie bez odszkodowania (dostęp płatny)
