Bezpieczeństwo nie powinno być pretekstem do podważania fundamentów państwa prawa

Ministerstwo Cyfryzacji wciąż prowadzi prace nad projektem odziedziczonym po poprzedniej władzy, który budzi liczne kontrowersje ze strony ministerialnej, otoczenia biznesowego i prawników. Środowiska branżowe i eksperckie już wtedy sygnalizowały, że projektowane przepisy za głęboko ingerują w konstytucyjne prawa i wolności. Pomimo to część z regulacji została powielona w bieżącym projekcie nowelizacji. Stało się tak nawet w przypadku tych rozwiązań, którym sprzeczność z Konstytucją zarzucali politycy ówczesnej opozycji parlamentarnej, czyli obecnej koalicji rządzącej.

Rządowy projekt nowelizacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC) wciąż nie został skierowany do Sejmu, choć termin na implementację dyrektywy NIS2 upłynął 10 miesięcy temu. Prace nad obszerną ustawą implementującą dyrektywę rozpoczął jeszcze rząd Mateusza Morawieckiego. Projekt spotkał się wówczas z gruntowną krytyką i został wycofany z Sejmu jeszcze przed końcem kadencji. Projektowana nowelizacja przewiduje istotne zwiększenie obszaru i intensywności nadzoru sprawowanego przez organy właściwe w sprawach cyberbezpieczeństwa. Pośród wielu zmian, w projekcie wprowadzono pojęcia podmiotów kluczowych i podmiotów ważnych, czyli podmiotów publicznych i prywatnych, funkcjonujących w różnych sektorach gospodarki, na których ciążyć będą dodatkowe obowiązki w zakresie zarządzania ryzykiem. Chodzi tu o blisko czterdzieści tysięcy podmiotów, w tym przedsiębiorców. Jednocześnie w projekcie przewidziano wprowadzenie nowych instrumentów nadzoru – i to właśnie zasady ich stosowania budzą najwięcej kontrowersji. Funkcjonowanie infrastruktury podmiotów będących elementami systemu cyberbezpieczeństwa wymaga korzystania przez nie ze sprzętu, oprogramowania i usług informatycznych, dostarczanych przez przedsiębiorców.