Rada Legislacyjna

Rada Legislacyjna                                                                                                   2024-09-13

            przy

  Prezesie Rady Ministrów

        RL.460.13.2024

 

Opinia

o rządowym projekcie rozporządzenia Ministra Cyfryzacji w sprawie udzielania pomocy de minimis na rozwój produktów i usług z zakresu cyberbezpieczeństwa w ramach programu „Cyfrowa Europa”

(Minister Cyfryzacji)

 

I. Uwagi ogólne

 

1. [Przedmiot niniejszej opinii] Przedmiotem niniejszej opinii jest rządowy projekt rozporządzenia Ministra Cyfryzacji w sprawie udzielania pomocy de minimis na rozwój produktów i usług z zakresu cyberbezpieczeństwa w ramach programu „Cyfrowa Europa” (dalej: „Projekt”), w jego wersji z dnia 6 września 2024 r., podany do publicznej wiadomości (tj. opublikowany na stronie internetowej Rządowego Centrum Legislacji) w dniu 9 września 2024 r.^[1] Niniejsza opinia została opracowana i przyjęta przez Radę Legislacyjną z jej własnej inicjatywy, w ramach wykonania przez nią jej ustawowych zadań.^[2]

2. [Kontekst i treść Projektu] Projekt ma być aktem wykonawczym wydanym na podstawie art. 45a ust. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa^[3] (dalej: „Ustawa”). Ten ostatni przepis stanowi, że „Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, szczegółowe warunki oraz tryb udzielania pomocy w ramach programów, o których mowa w ust. 1, uwzględniając konieczność realizacji celów określonych w tych programach oraz efektywnego i skutecznego jej wykorzystania oraz przejrzystości jej udzielania, a także zgodności tej pomocy z rynkiem wewnętrznym.”. Programami, o których jest mowa w powołanym w tym przepisie art. 45a ust. 1 Ustawy są programy rządowe lub inne programy finansowane ze środków wskazanych w art. 5 ust. 3 pkt 6 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych,[4] w ramach których pomocy publicznej lub pomocy de minimis udziela minister właściwy do spraw informatyzacji i których celem jest wspieranie działań w obszarze cyberbezpieczeństwa (art. 45a ust. 1 Ustawy). Rozporządzenie, którego zapowiedzią jest Projekt ma określać szczegółowe warunki oraz tryb udzielania pomocy de minimis w związku z realizacją projektu pod nazwą „National Coordination Centre – Poland (NCC-PL)” (dalej: „Projekt NCC-PL”) w ramach programu „Cyfrowa Europa”, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2021/694 z dnia 29 kwietnia 2021 r. ustanawiającym program „Cyfrowa Europa” oraz uchylającym decyzję (UE) 2015/2240[5] (dalej: „Rozporządzenie UE 2021/694”). Przy czym Projekt NCC-PL – przyjęty w ramach programu „Cyfrowa Europa” – jest to projekt pomocowy opracowany przez Polskę zgodnie z przepisami UE o pomocy państwa oraz zgodnie z Rozporządzeniem UE 2021/694, zgłoszony w odpowiedzi na stosowne ogłoszenie Komisji Europejskiej[6] i zatwierdzony przez Komisję Europejską jako zgodny z rynkiem wewnętrznym.[7]

3. [Ogólna ocena Projektu] Rada Legislacyjna pozytywnie opiniuje Projekt i uznaje za zasadne szybkie jego przyjęcie, po uprzednim wszakże rozważeniu uwag Rady Legislacyjnej zamieszczonych w niniejszej opinii. Przyjęcie Projektu ma bardzo ważne znaczenie dla polskiej gospodarki oraz dla polepszenia stanu cyberbezpieczeństwa w Polsce,[8] gdyż Projekt po jego przyjęciu będzie stanowił bezpośrednią podstawę prawną dla działań prawnych i faktycznych skutkujących finansowym wspieraniem ze środków publicznych (tzn. ze środków pochodzących w połowie z polskiego budżetu oraz w połowie ze środków UE) takich przedsięwzięć, które są realizowane przez przedsiębiorców mających siedzibę w Polsce i polegają na tworzeniu lub rozwoju produktów lub usług z zakresu cyberbezpieczeństwa lub na podnoszeniu konkurencyjności tychże przedsiębiorców zajmujących się cyberbezpieczeństwem. Istotne jest przy tym to, aby Projekt został obecnie przyjęty możliwie szybko (bez zbędnej zwłoki) i aby dzięki temu stosowne publiczne środki pomocowe mogły być uruchomione jak najprędzej, gdyż zatwierdzony przez Komisję Europejską Projekt NCC-PL – dla realizacji którego Projekt tworzy prawną infrastrukturę – ma ustalony termin zakończenia jego realizacji na dzień 31 grudnia 2025 r.[9] Do upływu tej daty trzeba będzie dokonać w Polsce wielu złożonych oraz praco- i czasochłonnych działań, takich jak: przygotowanie i przeprowadzenie naboru lub naborów wniosków przedsiębiorców, rozpatrzenie tychże wniosków przedsiębiorców, wybranie przedsięwzięć zasługujących na publiczne finansowanie oraz zawarcie stosownych umów z wybranymi przedsiębiorcami. Sprawa przyjęcia Projektu jest więc istotnie bardzo pilna, przy czym z uwagi na gospodarczą, społeczną oraz cywilizacyjną wagę działań pomocowych w tym zakresie państwo polskie nie może sobie pozwolić na utratę możliwości wykorzystania wchodzących tutaj w grę środków publicznych, w tym unijnych.

Zdaniem Rady Legislacyjnej, Projekt jest generalnie zgodny z mającym w tym zakresie zastosowanie prawem Unii Europejskiej, w tym w szczególności jest zgodny z Rozporządzeniem UE 2021/694, z rozporządzeniem Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającym niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu[10] (dalej: „Rozporządzenie Komisji 651/2014”) oraz z rozporządzeniem Komisji (UE) 2023/2831 z dnia 13 grudnia 2023 r. w sprawie stosowania art. 107 i 108 Traktatu o funkcjonowaniu Unii Europejskiej do pomocy de minimis[11] (choć zob. pewne uwagi krytyczne zamieszczone niżej w niniejszej opinii), a ponadto Projekt w przeważającej mierze prawidłowo realizuje upoważnienie ustawowe zawarte w art. 45a ust. 2 Ustawy (choć z pewnymi zastrzeżeniami) oraz jest zasadniczo zgodny z Zasadami techniki prawodawczej.[12] We wszystkich powyższych zakresach spraw istnieją wszakże pewne niedociągnięcia lub mankamenty, na które Rada Legislacyjna zwraca uwagę w niniejszej opinii.

 

II. Szczegółowe uwagi i zastrzeżenia względem Projektu

 

1. [Nieadekwatność treściowa ustawowej podstawy prawnej do wydania Projektu] Wskazany w Projekcie jako jego podstawa prawna przepis art. 45a ust. 2 Ustawy nie stanowi w pełni adekwatnej treściowo podstawy prawnej do wydania takiego rozporządzenia, którego zapowiedzią jest Projekt. Przepis art. 45a ust. 2 Ustawy upoważnia ministra właściwego do spraw informatyzacji do określenia, w drodze rozporządzenia, szczegółowych warunków oraz trybu udzielania pomocy w ramach takich (i tylko takich) programów, w przypadku których pomocy publicznej lub pomocy de minimis udziela on sam (jako minister właściwy do spraw informatyzacji), podczas gdy Projekt przewiduje udzielanie pomocy publicznej nie przez wspomnianego właściwego ministra, ale przez Centrum Projektów Polska Cyfrowa, które jest explicite nazywane w Projekcie „po[d]miotem udzielającym pomocy de minimis” (§ 5 Projektu; w tym ostatnim przepisie występuje niezamierzony błąd literowy: „pomiotem”). Otóż należy wyraźnie podkreślić, że Centrum Projektów Polska Cyfrowa jest jednostką budżetową odrębną w sensie prawnym od ministra właściwego do spraw informatyzacji i bynajmniej nie zmienia tego faktu okoliczność, iż minister ten nadzoruje wspomniane Centrum.[13] W tym sensie absolutnie nie jest prawdą zawarte w dołączonej do Projektu Ocenie Skutków Regulacji stwierdzenie, iż to minister będzie udzielał pomocy de minimis, o której jest mowa w Projekcie, działając w tym zakresie „przy pomocy Centrum”. Jak w tym kontekście stwierdza się w Ocenie Skutków Regulacji: „Projektowane rozporządzenie ma umożliwić ministrowi właściwemu do spraw informatyzacji udzielanie, przy pomocy Centrum Projektów Polska Cyfrowa (CPPC), pomocy de minimis na inwestycje z zakresu cyberbezpieczeństwa.” (s. 1 Oceny Skutków Regulacji). Tymczasem wbrew temu powyższemu stwierdzeniu, ani treść Projektu, ani treść regulacji prawnych dotyczących statusu prawnego ministra właściwego do spraw informatyzacji oraz statusu prawnego Centrum Projektów Polska Cyfrowa, bynajmniej nie dają podstaw do takich stwierdzeń. Przeciwnie, Projekt wyraźnie odróżnia od siebie, z jednej strony, ministra właściwego do spraw informatyzacji oraz, z drugiej strony, podmiot udzielający pomocy de minimis (§ 13 ust. 3 Projektu). W świetle Projektu, to Centrum Projektów Polska Cyfrowa (jako jednostka budżetowa i jako statio fisci Skarbu Państwa) będzie udzielało pomocy de minimis, a nie minister właściwy do spraw informatyzacji. Tymczasem przepis art. 45a ust. 2 Ustawy nie pozwala ministrowi właściwemu do spraw informatyzacji na wydanie rozporządzenia dotyczącego takiej pomocy publicznej lub pomocy de minimis, której on sam nie udziela, nawet jeżeli dane rozporządzenie dotyczy programu finansowanego w sposób określony w tym właśnie przepisie Ustawy (w zw. z art. 45a ust. 1 Ustawy), tak jak to ma być w przypadku rozporządzenia, którego zapowiedzią jest Projekt.

Na marginesie należy zauważyć, że w uzasadnieniu Projektu (na s. 2) wskazano, że: „Obsługą ww. wniosków będzie zajmowało się Centrum Projektów Polska Cyfrowa (CPPC)”. Stwierdzenie to sugeruje, że Centrum Projektów Polska Cyfrowa miałoby pełnić jedynie funkcję podmiotu obsługującego wnioski, podczas gdy ze wspomnianego przepisu § 5 Projektu wynika inna rola Centrum – jako podmiotu udzielającego pomocy de minimis. Tym samym występuje pewna niekoherencja między Projektem a jego uzasadnieniem.

Rada Legislacyjna rozumie oczywiście bezwzględną konieczność wydania Projektu i dostrzega też okoliczność, iż obecnie nie ma innej potencjalnie wchodzącej w grę podstawy ustawowej, w oparciu o którą można by ustanowić Projekt, przynajmniej w jego obecnym kształcie treściowym. Wyjściem z tej sytuacji może być zmiana Projektu idąca w tym kierunku, aby upoważnić w nim właśnie ministra właściwego do spraw informatyzacji do udzielania pomocy de minimis na przedsięwzięcia w zakresie cyberbezpieczeństwa. W tym sensie Rada Legislacyjna postuluje rozważenie modyfikacji przepisu § 5 Projektu poprzez zmianę podmiotu udzielającego pomocy de minimis: zamiast Centrum Projektu Polska Cyfrowa należy do tego upoważnić ministra właściwego do spraw informatyzacji, ewentualnie działającego przy pomocy Centrum Projektu Polska Cyfrowa. Po takiej modyfikacji ustanowienie Projektu w oparciu o art. 45a ust. 2 Ustawy nie będzie budziło żadnych wątpliwości i będzie prawnie dopuszczalne.

Niezależnie od powyższego, Rada Legislacyjna postuluje dokonanie w przyszłości zmiany (nowelizacji) treści art. 45a ust. 1 in principio Ustawy poprzez nadanie temu przepisowi następującego brzmienia: „Minister właściwy do spraw informatyzacji albo podmiot przez niego nadzorowany lub przez niego upoważniony może udzielić pomocy publicznej lub pomocy de minimis w ramach: […]”. Po dokonaniu takiej zmiany legislacyjnej nie będzie już żadnej wątpliwości co do tego, że na podstawie art. 45a ust. 2 Ustawy (rozpatrywanego w zw. z art. 45a ust. 1 Ustawy) minister właściwy do spraw informatyzacji będzie mógł wydać rozporządzenie w sprawie pomocy publicznej lub pomocy de minimis udzielanej również w ramach takich programów, w przypadku których pomocy tej udziela nie on sam, lecz podmiot przez niego nadzorowany, taki jak np. Centrum Projektów Polska Cyfrowa. Zapewni to w przyszłości ministrowi właściwemu do spraw informatyzacji większą elastyczność w kształtowaniu treści rozporządzeń wydawanych na podstawie art. 45a ust. 2 Ustawy: otóż w rozporządzeniach tych do udzielania pomocy publicznej lub pomocy de minimis minister będzie mógł upoważniać zarówno siebie samego, jak też inny podmiot przez siebie upoważniony lub przez niego nadzorowany.

2. [Brak możliwości pełnej i rzetelnej weryfikacji zgodności Projektu z prawem UE] Na podstawie samej tylko treści Projektu, jego uzasadnienia oraz Oceny Skutków Regulacji, a także na podstawie innych dostępnych publicznie dokumentów, nie da się niestety w sposób pełny, rzetelny i obiektywny zweryfikować tego, czy Projekt rzeczywiście jest zgodny ze wszystkimi przepisami UE dotyczącymi pomocy państwa, a konkretnie, czy określone w Projekcie szczegółowe warunki udzielania pomocy de minimis w związku z realizacją Projektu NCC-PL, przyjętego w ramach programu „Cyfrowa Europa”, faktycznie są zgodne z wszystkimi warunkami Projektu NCC-PL, w takim kształcie treściowym, w jakim ten ostatni projekt pomocowy został zatwierdzony przez Komisję Europejską. Z opisu celów Projektu NCC-PL streszczonych na stosownej stronie internetowej Komisji Europejskiej wynika, że celami Projektu NCC-PL są „zbudowanie Polskiego Krajowego Centrum Koordynacji Cyberbezpieczeństwa, zgodnie z rozporządzeniem (UE) 2021/887 z dnia 20 maja 2021 r. ustanawiającym Europejskie Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa dla Przemysłu, Technologii i Badań Naukowych oraz sieć krajowych centrów koordynacyjnych. […] Projekt wesprze budowę NCC-PL, które będzie zdolne do realizacji wszystkich przypisanych mu zadań w zakresie i z intensywnością, które wynikają z potrzeb interesariuszy z takich sektorów jak: przemysł, biznes, badania naukowe, środowisko akademickie i inne społeczności. […] Celem tych działań jest zbudowanie jednego, powszechnie rozpoznawalnego i dostępnego centrum informacyjnego, ośrodka koordynacyjnego i punktu łączącego, współpracującego z rozwiniętą społecznością krajową, który przyczyni się do realizacji celów i misji ECCC i sieci NCC […]. Projekt pokazuje również przewidywaną pozycję NCC-PL w europejskim ekosystemie cyberbezpieczeństwa – jako członka sieci NCC współpracującej z ECCC, innymi europejskimi organizacjami cyberbezpieczeństwa, innymi europejskimi i krajowymi sieciami cyberbezpieczeństwa.”.[14] Z powyższego opisu wynika, że celem Projektu NCC-PL jest przede wszystkim wsparcie Polskiego Krajowego Centrum Koordynacji Cyberbezpieczeństwa (którego funkcję pełni Wydział Krajowego Centrum Kompetencji Cyberbezpieczeństwa w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji),[15] a nie wspieranie przedsiębiorców pomocą de minimis.[16]

Z drugiej jednak strony prawdą jest, że Komisja Europejska w tym samym opisie celów Projektu NCC-PL stwierdziła lapidarnie co następuje: „Działania opisane w projekcie koncentrują się na budowaniu Polskiej Wspólnoty Cyberbezpieczeństwa oraz wzmacnianiu jej potencjału, wymiany informacji i wiedzy pomiędzy podmiotami działającymi w obszarze cyberbezpieczeństwa, wspieraniu tych podmiotów w tworzeniu partnerstw w celu realizacji większych, w tym transgranicznych projektów, a także wzmacnianiu konkurencyjności krajowych MŚP i start-upów w sektorze cyberbezpieczeństwa.”.[17] To by zaś oznaczało – mimo wszystko – dopuszczalność wspierania w ramach Projektu NCC-PL, w pewnym przynajmniej zakresie, krajowych mikroprzedsiębiorstw, małych i średnich przedsiębiorstw w odniesieniu do zagadnień cyberbezpieczeństwa. Tyle tylko, że nie jest publicznie wiadome, na co konkretnie zgodziła się Komisja Europejska zatwierdzając polski Projekt NCC-PL, tzn. jakie konkretnie rodzaje wsparcia Komisja Europejska zaaprobowała w tym względzie i na jakich szczegółowych warunkach wsparcie to może być przez Polskę w ramach tego projektu pomocowego udzielane.

Rada Legislacyjna absolutnie nie kwestionuje tego, że twórcy Projektu chcą w nim określić warunki udzielania pomocy de minimis w taki sposób, aby było to w pełni zgodnie ze wspomnianym zatwierdzonym przez Komisję Europejską Projektem NCC-PL. Rada Legislacyjna nie twierdzi też bynajmniej, że wspomniany wyżej zatwierdzony przez Komisję Europejską Projekt NCC-PL wyklucza taką właśnie pomoc de minimis, o której jest mowa w Projekcie. Rzecz jednak w tym, że bez efektywnego wglądu do tego zatwierdzonego przez Komisję Europejską Projektu NCC-PL lub do jego relewantnych fragmentów nie da się tego zweryfikować w sposób dowodny i obiektywny. Taka weryfikacja jest tym trudniejsza i tym bardziej potrzebna, że tego rodzaju pomoc publiczna, o której jest mowa w Projekcie ma jednak stanowić pewien margines czy też uboczny element publicznego wsparcia, o którym jest mowa w Projekcie NCC-PL, bo przecież zasadniczo wsparcie publiczne w ramach tego projektu pomocowego ma służyć budowie i rozwojowi działalności Polskiego Krajowego Centrum Koordynacji Cyberbezpieczeństwa (NCC-PL)  (o czym była już mowa wyżej i co wynika z treści stosownego ogłoszenia Komisji Europejskiej wszczynającego nabór wniosków pomocowych oraz ze stosownej informacji o zatwierdzonym Projekcie NCC-PL zamieszczonej na stronie internetowej Komisji Europejskiej, jak też z informacji zamieszczonej na polskim portalu rządowym).

Zdaniem Rady Legislacyjnej, dla pożądanej przejrzystości polityk publicznych oraz z uwagi na oczekiwaną przejrzystość rządowego procesu legislacyjnego byłoby zdecydowanie lepiej, gdyby twórcy Projektu zdecydowali się obecnie na publiczne udostępnienie wspomnianego zatwierdzonego przez Komisję Europejską Projektu NCC-PL lub jego odnośnych fragmentów, ewentualnie też gdyby zdecydowali się oni upublicznić treść „umowy grantowej zawartej z Komisją Europejską”, o której istnieniu autorzy Projektu sami wspominają na s. 2 uzasadnienia Projektu. W szczególności, znajomość treści zatwierdzonego przez Komisję Europejską Projektu NCC-PL lub treści „umowy grantowej zawartej z Komisją Europejską”, względnie też znajomość przynajmniej odnośnych fragmentów tychże dokumentów, są niezbędne dla rzetelnej oceny tego, czy z tymi dokumentami są zgodne przepisy § 3 Projektu, określające cele przedsięwzięć, które mają być wspierane pomocą przewidzianą w Projekcie. Dla Rady Legislacyjnej interesujące jest w tym kontekście zwłaszcza to, dlaczego § 3 Projektu pozwala udzielać pomocy de minimis jedynie w odniesieniu do „produktów” lub „usług” z zakresu cyberbezpieczeństwa (w tym na rozwój istniejących „produktów” lub „usług” z zakresu cyberbezpieczeństwa oraz na tworzenie nowych „produktów” lub „usług” z zakresu cyberbezpieczeństwa – zob. § 3 pkt 1-3 Projektu), a już nie na „procesy” z zakresu cyberbezpieczeństwa (tzn. na rozwój istniejących „procesów” oraz na powstawanie nowych „procesów” z zakresu cyberbezpieczeństwa). To rozróżnienie na „produkty”, „usługi” oraz „procesy” z zakresu cyberbezpieczeństwa (będące osobnymi kategoriami prawnymi) wynika chociażby z treści rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie).[18] Otóż to ostatnie rozporządzenie przewiduje, że certyfikacja cyberbezpieczeństwa może dotyczyć zarówno „produktów” ICT i „usług” ICT, jak też „procesów” ICT (zob. art. 2 pkt 9-11 tego rozporządzenia). Tym samym „procesy” ICT nie są w tym kontekście na szczeblu unijnym dyskryminowane (tzn. nie są dyskryminowane w kontekście certyfikacji cyberbezpieczeństwa) w porównaniu do „produktów i usług” ICT. Tymczasem § 3 pkt 5 Projektu dozwala na udzielanie pomocy de minimis na certyfikację pod kątem cyberbezpieczeństwa jedynie „produktów i usług”, ale już nie dopuszcza takiej pomocy na certyfikację „procesów” pod kątem ich cyberbezpieczeństwa. Pojawia się zatem pytanie, dlaczego ten ostatni przepis Projektu nie dozwala na udzielanie pomocy de minimis na certyfikację w zakresie cyberbezpieczeństwa „procesów” ICT, a także dlaczego przepisy § 3 pkt 1-3 Projektu nie dozwalają na udzielanie pomocy de minimis na rozwój istniejących i tworzenie nowych „procesów” z zakresu cyberbezpieczeństwa i czy takie właśnie ograniczenia (w postaci wykluczenia ze wsparcia „procesów” z zakresu cyberbezpieczeństwa) wynikają z zatwierdzonego przez Komisję Europejską Projektu NCC-PL lub ze stosownej umowy grantowej zawartej przez Polskę z Komisją Europejską?

Podobne pytanie, dotyczące zgodności przepisów Projektu z zatwierdzonym przez Komisję Europejską Projektem NCC-PL lub z umową grantową zawartą z Komisją Europejską, można też zadać w odniesieniu do tych warunków udzielania pomocy de minimis, o których jest mowa w § 4 Projektu. W szczególności, można tu postawić pytanie, czy Projekt NCC-PL oraz stosowna umowa grantowa z Komisją Europejską rzeczywiście dopuszczają wykluczenie z kręgu beneficjentów pomocy przedsiębiorców kontrolowanych korporacyjnie przez państwa trzecie lub przez podmioty z państw trzecich, tak jak to przewiduje § 4 ust. 1 pkt 5 i ust. 2 Projektu, a którą to kontrolę potencjalnie dopuszcza art. 10 Rozporządzenia UE 2021/694 w odniesieniu do państw trzecich stowarzyszonych z programem „Cyfrowa Europa”?[19] Rada Legislacyjna jak najbardziej ufa twórcom Projektu, że taka zgodność w omawianym zakresie rzeczywiście występuje, ale nie można wykluczyć, że zainteresowani przedsiębiorcy (tzn. potencjalni beneficjenci pomocy de minimis w ramach Projektu NCC-PL) woleliby przekonać się o tym naocznie, nie chcąc być potem ewentualnie zmuszeni przez Komisję Europejską do poddania się uciążliwej operacji rekuperacji (windykacji) pomocy udzielonej niezgodnie z prawem UE (rekuperacja taka jest przewidziana w przepisach art. 20 w zw. z art. 1 lit. g) rozporządzenia Rady (UE) 2015/1589 z dnia 13 lipca 2015 r. ustanawiającego szczegółowe zasady stosowania art. 108 Traktatu o funkcjonowaniu Unii Europejskiej[20]).

Zdaniem Rady Legislacyjnej, wszystkie szczegółowe warunki udzielania pomocy de minimis określone w zatwierdzonym przez Komisję Europejską odnośnym projekcie pomocowym (tzn. w Projekcie NCC-PL) lub zawarte w stosownej umowie grantowej z Komisją Europejską powinny być obecnie in extenso replikowane (powtórzone) w Projekcie, czyli w dokumencie, który ma być w przyszłości aktem prawnym powszechnie obowiązującym w Polsce i wiążąco określającym szczegółowe warunki udzielania przedsiębiorcom pomocy de minimis. Rada Legislacyjna nie postuluje bynajmniej replikacji w Projekcie warunków udzielania pomocy de minimis określonych w unijnych rozporządzeniach (np. w Rozporządzeniu UE 2021/694 lub w Rozporządzeniu Komisji 651/2014), bo takiej konieczności i zasadności oczywiście nie ma, ale postuluje raczej zamieszczenie in extenso w Projekcie warunków udzielania pomocy de minimis ustalonych w Projekcie NCC-PL oraz we wspomnianej wyżej kilkakrotnie umowie grantowej zawartej pomiędzy Polską a Komisją Europejską. Rada Legislacyjna nie ma powodu wątpić, że do takiej pożądanej replikacji w Projekcie rzeczywiście doszło, ale bez efektywnego wglądu do wspomnianych wyżej dokumentów dotyczących Projektu NCC-PL z całą pewnością stwierdzić się tego nie da. Jak zwykle przy takich okazjach, kluczowe i relewantne są w tym względzie pewne szczegółowe (zniuansowane) oraz techniczne sformułowania zamieszczone w tychże dokumentach prawnych i dlatego dobrze byłoby je poznać bezpośrednio oraz w wersji pełnej i oryginalnej. Bez tej znajomości każda ocena Projektu będzie z konieczności ułomna i niepełna. W związku z powyższym Rada Legislacyjna zachęca autorów Projektu do rozważenia upublicznienia wspomnianych dokumentów.

3. [Zbyt wąskie odesłanie zawarte w legalnej definicji „przedsiębiorcy” oraz inne mankamenty tej definicji] Legalna definicja „przedsiębiorcy” zawarta w § 2 pkt 2 Projektu w zbyt wąskim zakresie odsyła do przepisów załącznika I do Rozporządzenia Komisji 651/2014. Mianowicie, powołany przepis Projektu odsyła jedynie do art. 2 załącznika I do Rozporządzenia Komisji 651/2014, nie zaś do całego załącznika I do Rozporządzenia Komisji 651/2014. Ewidentną intencją przepisu § 2 pkt 2 Projektu jest to, aby przewidziana w Projekcie pomoc de minimis była przyznawana jedynie mikroprzedsiębiorstwom, małym lub średnim przedsiębiorstwom. W sensie merytorycznym jest to rozwiązanie jak najbardziej zgodne z Rozporządzeniem UE 2021/694 (zob. zwłaszcza art. 6 ust. 1 lit. c) Rozporządzenia UE 2021/694) oraz zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/887 z dnia 20 maja 2021 r. ustanawiającym Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa oraz sieć krajowych ośrodków koordynacji[21] (zob. zwłaszcza art. 7 ust. 1 lit. c) tego ostatniego rozporządzenia, gdzie jest mowa o tym, iż krajowe ośrodki koordynacji mają promować w szczególności udział mikroprzedsiębiorstw, małych i średnich przedsiębiorstw w projektach i działaniach z dziedziny cyberbezpieczeństwa finansowanych na podstawie odpowiednich programów unijnych). Tyle tylko, że legalna definicja mikroprzedsiębiorstwa oraz małego lub średniego przedsiębiorstwa – do której to unijnej definicji Projekt słusznie odsyła – może być tak naprawdę w pełni odczytana i zrekonstruowana dopiero w oparciu o wszystkie przepisy załącznika I do Rozporządzenia Komisji 651/2014 (rozpatrywane w całości), a nie jedynie na podstawie samego tylko art. 2 tegoż załącznika.[22] Cały ten załącznik I (do Rozporządzenia Komisji 651/2014) zatytułowany jest zresztą: „Definicja MŚP”. Dlatego też zdaniem Rady Legislacyjnej przepis § 2 pkt 2 in principio Projektu powinien de lege ferenda stanowić, że pod pojęciem „przedsiębiorstwo” należy „rozumieć mikroprzedsiębiorstwo, małe lub średnie przedsiębiorstwo w rozumieniu załącznika I do rozporządzenia Komisji (UE) nr 651/2014”.

Ponadto, w świetle załącznika I do Rozporządzenia Komisji 651/2014 całkowicie niepoprawne i nielogiczne jest zawarte w § 2 pkt 2 in fine Projektu stwierdzenie, iż zakres pojęcia „przedsiębiorca” (na potrzeby Projektu) nie obejmuje „przedsiębiorstw prowadzonych przez osoby fizyczne”. Rada Legislacyjna podziela oczywiście konieczność wykluczenia osób fizycznych z kręgu beneficjentów pomocy de minimis udzielanej na podstawie Projektu, nawet jeżeli osoby takie prowadzą działalność gospodarczą (bo wykluczenie tej kategorii osób wynika w tym względzie wprost z art. 18 ust. 3 Rozporządzenia UE 2021/694), ale jednocześnie Rada Legislacyjna kwestionuje poprawność i logiczność wspomnianego sformułowania: „[…] z wyjątkiem przedsiębiorstw prowadzonych przez osoby fizyczne” (§ 2 pkt 2 in fine Projektu). To ostatnie sformułowanie zamieszczone w Projekcie posługuje się pojęciem „przedsiębiorstwo” ewidentnie w znaczeniu funkcjonalnym lub przedmiotowym (tzn. chodzi tu o działalność gospodarczą prowadzoną przez osobę fizyczną lub o zespół środków materialnych i niematerialnych służących osobie fizycznej do prowadzenia działalności gospodarczej),[23] podczas gdy załącznik I do Rozporządzenia Komisji 651/2014 używa pojęcia „przedsiębiorstwo” tylko i wyłącznie (oraz konsekwentnie) w znaczeniu podmiotowym, tzn. w tym unijnym akcie prawnym „przedsiębiorstwem” jest „podmiot prowadzący działalność gospodarczą bez względu na jego formę prawną. Zalicza się tu w szczególności osoby prowadzące działalność na własny rachunek […]” (art. 1 załącznika I do Rozporządzenia Komisji 651/2014). Podobnie też w znaczeniu podmiotowym pojęcie „przedsiębiorstwo” jest użyte w przepisie § 2 pkt 2 in principio Projektu, w przeciwieństwie do przepisu § 2 pkt 2 in fine Projektu, co tworzy obecnie ewidentną niespójność wewnętrzną (treściową) w ramach przepisu § 2 pkt 2 Projektu.

W rezultacie, aby nie doprowadzić do konfuzji odnośnie znaczenia w Projekcie terminu „przedsiębiorstwo” (który to termin w tym samym przepisie § 2 pkt 2 Projektu najpierw jest użyty w sensie podmiotowym, a następnie w sensie przedmiotowym lub funkcjonalnym) oraz aby zapewnić zgodność w tym zakresie przepisu § 2 pkt 2 in fine Projektu z przepisami załącznika I do Rozporządzenia Komisji 651/2014 (gdzie jest konsekwentnie mowa o „przedsiębiorstwie” w znaczeniu podmiotowym), Rada Legislacyjna proponuje nadanie przepisowi § 2 pkt 2 in fine Projektu następującego brzmienia: „[…] z wyjątkiem przedsiębiorstw będących osobami fizycznymi” (zamiast występującego tam obecnie sformułowania: „[…] z wyjątkiem przedsiębiorstw prowadzonych przez osoby fizyczne”). Zdaniem Rady Legislacyjnej, taka zmiana redakcji przepisu § 2 pkt 2 in fine Projektu jest wręcz prawną koniecznością, gdyż spowoduje ona pożądane i konsekwentne (jednolite) „upodmiotowienie” używanego w Projekcie pojęcia „przedsiębiorstwo”, w sposób spójny z załącznikiem I do Rozporządzenia Komisji 651/2014.

4. [Niejednoznaczność i nieprawidłowość odesłania zamieszczonego w § 6 ust. 4 Projektu] Odesłanie zawarte w § 6 ust. 4 Projektu jest niejednoznaczne treściowo oraz nieprawidłowe z punktu widzenia Zasad techniki prawodawczej. Powołany przepis § 6 ust. 4 Projektu odsyła do art. 17 Rozporządzenia UE 2021/694, stanowiąc, że „Pomoc de minimis jest udzielana zgodnie z kryteriami kwalifikowalności, o których mowa w art. 17 rozporządzenia 2021/694.”. W tym kontekście nie do końca wiadomo, czy przepis § 6 ust. 4 Projektu odsyła do całego art. 17 Rozporządzenia UE 2021/694, czy też odsyła jedynie do art. 17 ust. 2 Rozporządzenia UE 2021/694. Twierdzenie o odsyłaniu przez § 6 ust. 4 Projektu do całego art. 17 Rozporządzenia UE 2021/694 (tzn. do obu jego ustępów) jest uzasadnione literalnym brzmieniem omawianego tutaj przepisu odsyłającego oraz ma oparcie w regule wykładni językowej lege non distinguente nec nostrum est distinguere.[24] Z kolei za opcją interpretacyjną, zgodnie z którą § 6 ust. 4 Projektu odsyła jedynie do art. 17 ust. 2 Rozporządzenia UE 2021/694, przemawia wykładnia systemowa zewnętrzna: mianowicie, o „kryteriach kwalifikowalności”, do których odsyła § 6 ust. 4 Projektu jest explicite mowa właśnie w art. 17 ust. 2 Rozporządzenia UE 2021/694 („Kryteria kwalifikowalności w odniesieniu do działań przeprowadzanych w ramach Programu określa się w programach prac.”[25]), aczkolwiek w pewnej mierze kryteria kwalifikowalności w tym względzie wynikają też (co najmniej pośrednio) z art. 17 ust. 1 Rozporządzenia UE 2021/694.

Jeżeli przyjmiemy interpretację, zgodnie z którą przepis § 6 ust. 4 Projektu odsyła do całego art. 17 Rozporządzenia UE 2021/694 (tzn. do obu jego ustępów), to wówczas takie odesłanie jest obarczone podwójnym błędem. Po pierwsze, tak rozumiane odesłanie z Projektu jest obarczone błędem formalno-prawnym, polegającym na odesłaniu przez jeden przepis do drugiego przepisu, który sam odsyła do innych jeszcze przepisów. Mówiąc zaś konkretnie: § 6 ust. 4 Projektu odsyła (m. in.) do art. 17 ust. 1 Rozporządzenia UE 2021/694, zaś ten ostatni przepis odsyła do przepisów art. 3-8a Rozporządzenia UE 2021/694, co powoduje niezgodność odesłania przewidzianego w § 6 ust. 4 Projektu z § 157 Zasad techniki prawodawczej, stanowiącym, że „Nie odsyła się do przepisów, które już zawierają odesłania.”. Po drugie, tak interpretowane odesłanie zawarte w § 6 ust. 4 Projektu jest obarczone błędem merytorycznym, gdyż jest ono po prostu zbyt szerokie zakresowo. Mianowicie, art. 17 ust. 1 Rozporządzenia UE 2021/694, odsyłając do art. 3-8a Rozporządzenia UE 2021/694, odsyła tym samym do przepisów mówiących o wszystkich sześciu celach szczegółowych Programu „Cyfrowa Europa”, podczas gdy Projekt dotyczy w istocie tylko jednego z tychże celów, a mianowicie celu szczegółowego nr 3 („Cyberbezpieczeństwo i zaufanie”, o którym jest mowa w art. 6 Rozporządzenia UE 2021/694), co wynika chociażby z ogólnych warunków ogłoszonego przez Komisję Europejską konkursu na projekty pomocowe oznaczonego sygnaturą: „DIGITAL-ECCC-2022-CYBER-03-NAT-COORDINATION”[26] (i w odpowiedzi na które to ogłoszenie Polska złożyła wniosek zatwierdzony następnie przez Komisję Europejską jako Projekt NCC-PL). Z powyższych względów Rada Legislacyjna uznaje, że jeżeli autorzy Projektu chcą poprzez § 6 ust. 4 Projektu rzeczywiście odesłać do całego art. 17 Rozporządzenia UE 2021/694 (tzn. do obu jego ustępów), to aby uczynić to poprawnie (i aby uniknąć wspomnianych wyżej dwóch błędów) powinni oni de lege ferenda odesłać najpierw wprost, bezpośrednio i konkretnie do art. 6 Rozporządzenia UE 2021/694 (określającego kryteria kwalifikowalności w postaci opisu celów, na jakie może być przyznawana pomoc wspierająca przedsięwzięcia, o których jest mowa w Projekcie, przy czym we wspomnianym art. 6 Rozporządzenia UE 2021/694 chodzi tylko i wyłącznie o cele mieszczące się w zakresie celu szczegółowego nr 3, który jest relewantny dla Projektu), a następnie powinni oni odrębnie odesłać do art. 17 ust. 2 Rozporządzenia UE 2021/694 (mówiącego o kryteriach kwalifikowalności określonych w programach prac).

Z kolei jeżeli przyjmiemy interpretację, zgodnie z którą przepis § 6 ust. 4 Projektu odsyła nie do całego art. 17 Rozporządzenia UE 2021/694, lecz jedynie do art. 17 ust. 2 Rozporządzenia UE 2021/694 (a więc jeśli przyjmiemy, że taka jest w istocie intencja twórców Projektu), to w takim układzie obecnie zawarte w § 6 ust. 4 Projektu odesłanie jest literalnie zdecydowanie za szerokie. W takiej sytuacji należy je literalnie zawęzić tylko i wyłącznie do przepisu art. 17 ust. 2 Rozporządzenia UE 2021/694.

5. [Niepełna realizacja wytycznych do wydania rozporządzenia zawartych w art. 45a ust. 2 Ustawy] Projekt w zasadzie w ogóle nie zawiera przepisów, które by mogły przyczyniać się do efektywnego i skutecznego wykorzystania pomocy de minimis udzielanej na podstawie Projektu. W tym sensie Projekt nie realizuje jednej z konkretnych wytycznych zamieszczonych w art. 45a ust. 2 Ustawy, a przynajmniej w niewielkim stopniu ją realizuje. Wytyczna ta nakazuje właściwemu ministrowi, by wydając przewidziane w tym przepisie rozporządzenie uwzględnił konieczność „efektywnego i skutecznego jej wykorzystania”, tzn. efektywnego i skutecznego wykorzystania uregulowanej w nim pomocy państwa lub pomocy de minimis. Projekt z pewnością realizuje – w różnym co prawda stopniu, ale jednak realizuje – wszystkie pozostałe wytyczne zamieszczone w art. 45a ust. 2 Ustawy, a więc: (1) konieczność realizacji celów określonych w odnośnych programach pomocowych (zob. zwłaszcza § 3 i § 6 ust. 4 Projektu), (2) konieczność przejrzystości udzielania pomocy (przewidziana w Projekcie pomoc w formie bezzwrotnego finansowania, czyli dotacji,[27] jest z samej definicji przejrzystą formą pomocy publicznej,[28] a ponadto o przejrzystości jej udzielania przesądza przewidziany w Projekcie konkursowy tryb naboru i rozpatrywania wniosków przedsiębiorców[29]), a także (3) konieczność zgodności tej pomocy z rynkiem wewnętrznym (choć zob. uwagi wyżej w punkcie II.2 niniejszej opinii). Ale akurat brak jest w Projekcie przepisów ukierunkowanych na zapewnienie efektywnego i skutecznego wykorzystania udzielanej pomocy.

W tym względzie Rada Legislacyjna proponuje rozważenie wprowadzenia do Projektu przepisów obligujących beneficjentów pomocy do okresowego i dokonywanego ex officio sprawozdawania (raportowania) podmiotowi udzielającemu pomocy de minimis o stanie realizacji wspieranego przedsięwzięcia lub przedsięwzięć w trakcie obowiązywania umowy dotacyjnej, tak aby ten ostatni podmiot mógł na bieżąco reagować na ewentualnie dostrzeżone nieprawidłowości w tym względzie po stronie wspieranego przedsiębiorcy. W Projekcie można też postanowić, że podmiot udzielający pomocy de minimis ma obowiązek zamieszczenia postanowień dotyczących wspomnianego obowiązku raportowania w umowie o udzielenie pomocy de minimis. Alternatywnym rozwiązaniem jest też zobligowanie w Projekcie podmiotu udzielającego pomocy de minimis do tego, aby podmiot ten w regulaminie konkursu, o którym jest mowa w § 14 Projektu zamieścił (ustalił) uznane przez siebie za stosowne takie kryteria oceny wniosków przedsiębiorców, które pozwolą mu ocenić (oszacować) realne prawdopodobieństwo efektywnego zrealizowania przez przedsiębiorcę wszystkich celów wspieranego przedsięwzięcia w jak najdalej idącym stopniu.

 

III. Konkluzje

 

Rada Legislacyjna pozytywnie opiniuje Projekt i opowiada się za jego dalszym szybkim procedowaniem oraz za finalnym przyjęciem. Rada Legislacyjna w pełni bowiem docenia znaczenie i wagę Projektu zarówno dla polskiej gospodarki, jak też dla pożądanego wzmocnienia w Polsce stanu cyberbezpieczeństwa. Jednocześnie wszakże Rada Legislacyjna – z uwagi na swoje ustawowe zadania – nie może przemilczeć pewnych dostrzegalnych mankamentów Projektu, a także niedoskonałości (i w związku z tym niepełnej adekwatności) ustawowej podstawy prawnej do jego wydania. Rada Legislacyjna zdaje sobie sprawę z tego, że obecnie nie ma prawdopodobnie możliwości szybkiej zmiany Ustawy (w zakresie dotyczącym treści upoważnienia do wydania rozporządzenia w art. 45a Ustawy), ale mimo wszystko Rada Legislacyjna pragnie wskazać na zasadność takiej nowelizacji w przyszłości. Doraźnie zaś należałoby zmienić podmiot, który na podstawie Projektu udziela pomocy de minimis: w miejsce Centrum Projektów Polska Cyfrowa powinien to być minister właściwy do spraw informatyzacji. Ponadto Rada Legislacyjna uprzejmie prosi o rozważenie wszystkich pozostałych wskazanych przez nią w niniejszej opinii uwag do Projektu.

 

 

Na podstawie projektu opinii przygotowanego przez prof. dra hab. Marka Szydło Rada Legislacyjna przyjęła niniejszą opinię w trybie obiegowym w dniu 13 września 2024 r.