– W obecnym kształcie przepisy regulujące postępowanie w sprawie uznania dostawcy za tzw. dostawcę wysokiego ryzyka mogą być uznane za naruszające przepisy unijne oraz umowy międzynarodowe – wskazuje w komentarzu dla agencji Newseria Biznes prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego, radca prawny w kancelarii Rogalski i Wspólnicy.
Kwestia tzw. dostawców wysokiego ryzyka jest jedną z najbardziej kontrowersyjnych w projektowanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Rząd pracuje nad nią już od ponad roku. Nowa regulacja ma być podstawą do rozwijania polskiego systemu cyberbezpieczeństwa, ale będzie mieć też duże przełożenie m.in. na wdrażanie w Polsce technologii 5G.
Nowela budzi duże zainteresowanie nie tylko ze strony rynku telekomunikacyjnego, o czym świadczy m.in. fakt, że do pierwszej wersji projektu wpłynęło ponad 750 uwag, zgłoszonych nie tylko przez instytucje takie jak NASK, Związek Cyfrowa Polska, UKE, Agencja Wywiadu i BBN, ale również KGHM, PKN Orlen, NBP, Komisja Nadzoru Finansowego, fundacja Digital Poland, Federacja Konsumentów czy Związek Banków Polskich. W połowie października odpowiedzialny za cyfryzację KPRM opublikował kolejną, trzecią już wersję projektu tej nowelizacji, która w niewielkim zakresie uwzględnia uwagi zgłoszone w toku konsultacji społecznych.
Dla branży telekomunikacyjnej problematyczny jest zwłaszcza mechanizm oceny ryzyka dostawców usług i sprzętu ICT. W tej chwili zapisy projektu pozwalają bowiem wykluczyć z polskiego rynku część dostawców na podstawie kryteriów politycznych i narodowościowych. Eksperci wskazują, że są one wprost wymierzone w firmy technologiczne z Chin, zwłaszcza Huaweia, który jest obecnie jednym z trzech głównych dostawców infrastruktury dla 5G.
– W obecnym kształcie przepisy projektu mogą naruszać zasadę równego traktowania ze względu na przynależność państwową, która została określona w art. 18 Traktatu o funkcjonowaniu UE oraz art. 20 i art. 21 ust. 2 Karty Praw Podstawowych – zauważa prof. Maciej Rogalski.
Projekt noweli ustawy o KSC zakłada, że oceny dostawców infrastruktury – istotnej z punktu widzenia krajowego cyberbezpieczeństwa i sieci 5G – ma dokonywać Kolegium ds. Cyberbezpieczeństwa, którego przewodniczącym będzie premier, a w jego skład wejdą ministrowie (m.in. do spraw informatyzacji, spraw wewnętrznych, obrony narodowej i spraw zagranicznych) oraz przedstawiciele służb odpowiedzialnych za krajowe bezpieczeństwo i obronność. W trakcie tej oceny Kolegium weźmie pod uwagę nie tylko potencjalne zagrożenia dla bezpieczeństwa publicznego „o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym”, ale również prawdopodobieństwo, że dostawca znajduje się pod wpływem państwa spoza UE bądź NATO.
Firmy, które na tej podstawie zostaną uznane za dostawców wysokiego ryzyka, zostaną de facto wykluczone z polskiego rynku, z ograniczoną możliwością odwołania. Ponadto operatorzy telekomunikacyjni, którzy korzystają z ich sprzętu lub usług, będą zmuszeni wycofać je w ciągu pięciu–siedmiu lat.
– Wykluczenie z polskiego rynku określonych dostawców oznacza automatyczne polepszenie sytuacji innych dostawców działających na polskim rynku. To z kolei może stanowić naruszenie art. 106 ust. 1 TFUE, który zakazuje państwom członkowskim przyjmowania lub utrzymywania w mocy – w odniesieniu do przedsiębiorstw, którym przyznano prawa wyłączne lub specjalne – wszelkich środków, które prowadziłyby do naruszenia innej zasady w traktatach UE. Przepisy te obejmują w szczególności art. 18 (zasada niedyskryminacji), art. 34 (swobodny przepływ towarów) i art. 102 TFUE (zakaz nadużywania pozycji dominującej) – wymienia radca prawny.
Rynek telekomunikacyjny niemal od początku prac nad nowelą apeluje, żeby zamiast narodowościowych, uznaniowych kryteriów uwzględnić w ustawie kryteria merytoryczne, bazujące np. na specyfikacji technicznej albo certyfikacji bezpieczeństwa usług i sprzętu pochodzącego od danego dostawcy. W trakcie konsultacji podkreślały to m.in. UOKiK, Konfederacja Lewiatan, IAB Polska czy fundacja Digital Poland.
– W artykule 66a przedstawiono szereg niemerytorycznych kryteriów oceny dostawców. Pozwala to stwierdzić, że w wyniku zmian KSC wcale nie polepszy się system cyberbezpieczeństwa w Polsce. To tak jakby z polskiego rynku wyeliminować samochody produkowane w Meksyku czy Chinach. Wyeliminowanie tych samochodów na bazie czysto politycznych decyzji nie zwiększy bezpieczeństwa poruszania się po krajowych drogach. Kluczem jest bowiem homologacja czy ocena testów zderzeniowych Euro NCAP – napisali przedstawiciele Fundacji w uwagach zgłoszonych do poprzedniego projektu ustawy.
Zgodnie z nowym brzmieniem tego przepisu opinia kolegium powinna zawierać analizę prawdopodobieństwa, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem: przepisów prawa regulujących stosunki między dostawcą sprzętu lub oprogramowania a tym państwem, prawodawstwa oraz stosowania prawa w zakresie ochrony danych osobowych, struktury własnościowej dostawcy sprzętu lub oprogramowania oraz zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania.
– Przepisy regulujące postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka mogą naruszać art. 34 i art. 35 TFUE, które chronią swobodny przepływ towarów. Zauważyć należy, że dany dostawca może wytwarzać produkty i usługi w jednym kraju członkowskim i dostarczać do innych krajów, co jest powszechną praktyką w UE. Przepis art. 34 TFUE zakazuje natomiast państwom członkowskim przyjmowania „ograniczeń ilościowych w przywozie” i „wszelkich środków o skutku równoważnym” – mówi prof. Maciej Rogalski.
Prawnicy i eksperci podkreślają, że ustawa w aktualnym kształcie – z mechanizmem zaprojektowanym w celu wykluczenia konkretnych dostawców na podstawie kryteriów narodowościowych – jest wątpliwa z punktu widzenia zgodności z międzynarodowymi i unijnymi przepisami dotyczącymi m.in. wolnego handlu i swobody prowadzenia działalności gospodarczej.
Co istotne, dla dostawców wykluczonych z polskiego rynku na podstawie nowelizacji ustawy o KSC w tym kształcie będzie ona podstawą do dochodzenia swoich praw przed unijnymi trybunałami. Podobna sytuacja ma w tej chwili miejsce w Szwecji, która w ubiegłym roku wykluczyła chiński koncern technologiczny Huawei z budowy infrastruktury dla sieci 5G, jednak ten odwołał się do Trybunału Sprawiedliwości Unii Europejskiej.
– Nie wiemy, czy ostateczny kształt przepisów noweli ustawy o KSC pozostanie w obecnym kształcie, czy zostaną wykluczeni konkretni dostawcy i, po trzecie, czy będą oni korzystać ze środków odwoławczych. Przy założeniu pozytywnej odpowiedzi na wszystkie trzy pytania raczej nie mam wątpliwości, że podmiot, którego będzie dotyczyć taka niekorzystna decyzja, skorzysta z wszystkich dostępnych, prawnie przysługujących mu środków, w tym skargi do Trybunału Sprawiedliwości UE. Chyba że do tego czasu zostanie wydane rozstrzygnięcie przez TSUE w sprawie szwedzkiej, które będzie mieć znaczenie precedensowe. Dlatego trzeba się zastanowić, czy z ostatecznym kształtem tego projektu nie należałoby jednak poczekać do tego rozstrzygnięcia – konkluduje rektor Uczelni Łazarskiego