Bezpieczeństwo cyfrowe w kolizji z zasadami konstytucyjnymi?

Trwające prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wywołują ożywioną debatę wśród prawników i konstytucjonalistów. Kluczowe zastrzeżenia wobec projektowanych zmian sformułował prof. Ryszard Piotrowski, który w wywiadzie dla „Rzeczpospolitej” wskazuje na szereg niespójności proponowanych przepisów z Konstytucją RP. Spór dotyczy fundamentalnej kwestii: jak wyważyć realne potrzeby obronne państwa z ochroną wolności gospodarczej i praw obywatelskich?

Centralnym punktem krytyki prof. Piotrowskiego jest instytucja Dostawcy Wysokiego Ryzyka (DWR). Projekt zakłada, że administracja państwowa będzie mogła dość arbitralnie wykluczyć konkretnych producentów technologii z polskiego rynku, jeśli zostaną uznani za zagrożenie dla bezpieczeństwa narodowego.

Profesor zwraca uwagę na trzy kluczowe aspekty prawne:

• Naruszenie prawa własności: Nakaz wycofania sprawnego i legalnie nabytego sprzętu bez zapewnienia odszkodowania stoi w sprzeczności z art. 21 i art. 64 Konstytucji. Państwo przenosi w ten sposób finansowe skutki swoich decyzji politycznych bezpośrednio na przedsiębiorców.

• Ograniczenie kontroli sądowej: Projekt przewiduje specyficzny tryb odwoławczy, który zdaniem konstytucjonalisty drastycznie ogranicza rolę sądów administracyjnych. Jeśli sąd nie będzie mógł merytorycznie zbadać tajnych przesłanek decyzji ministra, prawo do sądu (art. 45 Konstytucji) stanie się fasadowe.

• Wyłączenie procedur KPA: Odejście od standardów Kodeksu postępowania administracyjnego ogranicza prawo strony do czynnego udziału w postępowaniu, co narusza zasadę rzetelnej procedury i demokratycznego państwa prawnego.

Kontekst operacyjny i gospodarczy

Z perspektywy państwa, nowelizacja jest odpowiedzią na dynamicznie zmieniającą się sytuację geopolityczną i narastające zagrożenia hybrydowe. Zwolennicy zaostrzenia przepisów argumentują, że w obliczu wojny cyfrowej tradycyjne procedury administracyjne są zbyt wolne, a bezpieczeństwo infrastruktury krytycznej (telekomunikacji, energetyki, bankowości) jest wartością nadrzędną.

Jednak analiza publicystyczna pozwala dostrzec szersze konsekwencje wprowadzenia tych zmian w obecnym kształcie:

1. Niepewność inwestycyjna: Brak jasnych kryteriów uznawania podmiotów za dostawców wysokiego ryzyka wprowadza element nieprzewidywalności dla inwestorów zagranicznych i krajowych operatorów. Ryzyko nagłej konieczności wymiany infrastruktury może hamować cyfryzację kraju.

2. Koszty transformacji: Wykluczenie dużych dostawców technologii wpłynie na wzrost cen usług cyfrowych. Bez mechanizmów wsparcia lub odszkodowań, koszty te zostaną ostatecznie przerzucone na konsumentów.

3. Relacja Państwo-Obywatel: Proponowany model zarządzania cyberbezpieczeństwem przesuwa środek ciężkości w stronę władzy wykonawczej. Rodzi to pytania o granice uznaniowości urzędniczej w obszarze, który dotyka strategicznych zasobów prywatnych firm.

Ostatecznie wszystko to sprowadza się do kluczowego pytania: czy bezpieczeństwo może być czynnikiem pozwalającym na działanie państwa na obrzeżach prawa? Prawdopodobnie nie ma jednej, dobrej odpowiedzi na to pytanie. Zakładam jednak, że odpowiedź w naszej części świata musi być twierdząca, jednak tylko wtedy, gdy mówimy o sytuacji nagłej, nieprzewidzianej, nie dającej czasu na żmudny proces prawotwórczy. W przypadku nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa jest inaczej. Sprawa ta ciągnie się bardzo długo, a jakikolwiek pośpiech jest tu obecny w tej samej ilości, co orzeszki ziemne w wielu produktach spożywczych – śladowych.

Nikt, a przynajmniej nikt rozsądny, chyba nie kwestionuje dziś konieczności wzmocnienia cyberodporności państwowych instytucji oraz firm o znaczeniu strategicznym. Trzeba to jednak robić z głową. Czasu na to działanie było naprawdę dużo. Szkoda byłoby go stracić. A taką stratą, jeśli wierzyć profesorowi Ryszardowi Piotrowskiemu, byłoby odesłanie ustawy do instytucji pełniącej obecnie rolę Trybunału Konstytucyjnego. Wówczas ustawa mogłaby zostać uznana za niekonstytucyjną, a cały proces prac musiałby wrócić formalnie, do początku. Pytanie tylko, czy chcemy tak ryzykować?