Rada Legislacyjna

  Rada Legislacyjna                                                                                                 2024-06-14

            przy

  Prezesie Rady Ministrów

        RL.460.6.2024

(Minister Cyfryzacji)

Opinia

o rządowym projekcie ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa

 

 

I. Uwagi ogólne

 

1. [Przedmiot niniejszej opinii] Przedmiotem niniejszej opinii jest projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa (dalej: „Projekt”). Projekt został przygotowany przez Ministra Cyfryzacji, zaś przedmiotem niniejszej opinii jest jego wersja z dnia 20 maja 2024 r.[1] Niniejsza opinia została opracowana i przyjęta przez Radę Legislacyjną z jej własnej inicjatywy, w wykonaniu jej ustawowych zadań.[2]

2. [Ogólna charakterystyka treści Projektu] Projekt przewiduje unormowanie w prawie polskim organizacji krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadań i obowiązków podmiotów wchodzących w skład tego systemu, w tym sposobu sprawowania nadzoru, kontroli i koordynacji działalności podmiotów tego systemu (art. 1 Projektu). Projekt ma w swoim założeniu służyć stosowaniu w prawie polskim przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie)[3] (dalej: „Rozporządzenie UE o Cyberbezpieczeństwie”). Normowany Projektem krajowy system certyfikacji cyberbezpieczeństwa ma na celu wspieranie wytwarzania wysokiej jakości technologii informacyjno-komunikacyjnych (dalej: „ICT”)[4], a konkretnie produktów ICT, usług ICT i procesów ICT, przez wprowadzenie procedur w zakresie certyfikacji produktów ICT, usług ICT lub procesów ICT w ramach europejskich albo krajowych programów certyfikacji cyberbezpieczeństwa.[5] W tym zakresie Projekt przewiduje, że akredytowane jednostki oceniające zgodność będą wydawały europejskie certyfikaty oraz krajowe certyfikaty dotyczące produktów ICT, usług ICT i procesów ICT,[6] natomiast minister właściwy do spraw informatyzacji będzie pełnił funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa (o którym jest mowa w art. 58 Rozporządzenia UE o Cyberbezpieczeństwie), a więc będzie sprawował nadzór, kontrolę oraz ogólną koordynację działalności innych niż on sam podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa[7] – czyli jednostek oceniających zgodność, Polskiego Centrum Akredytacji akredytującego jednostki oceniające zgodność, oraz dostawców produktów ICT, usług ICT lub procesów ICT, którzy poddają swoje technologie ocenie zgodności (certyfikacji).[8]

3. [Ogólna ocena Projektu] Rada Legislacyjna pozytywnie opiniuje Projekt i rekomenduje poddanie go dalszym pracom legislacyjnym. Projekt dotyczy absolutnie kluczowego obecnie aspektu (wymiaru) bezpieczeństwa państwa polskiego, jakim jest cyberbezpieczeństwo. Cyberbezpieczeństwo – rozumiane jako ogół działań niezbędnych do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed wszelkimi  potencjalnymi okolicznościami, zdarzeniami lub działaniami, które mogą tym sieciom i systemom oraz ludziom wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie na nich wpłynąć[9] – jest bardzo złożonym i permanentnie trwającym procesem (continuum): procesem właśnie, a nie stanem rzeczywistym lub stanem dającym się idealnie osiągnąć. Cyberbezpieczeństwo jest bezpieczeństwem cyberprzestrzeni,[10] przy czym owa cyberprzestrzeń odgrywa we współczesnym świecie kluczową rolę dla zapewnienia funkcjonowania infrastruktury krytycznej, usług publicznych, działalności gospodarczej i różnego rodzaju interakcji społecznych (komunikacja, rozrywka, zdobywanie wiedzy, itp.). Cyberprzestrzeni zagrażają bardzo różne zjawiska, w tym zwłaszcza intencjonalne zewnętrzne interferencje (cyberataki, cyberprzestępstwa, cyberterroryzm, walka lub wojna informacyjna)[11] oraz niedoskonałość i zawodność sieci oraz systemów informatycznych. Szczególnie groźne w swoich skutkach są świadome ataki na cyberprzestrzeń, które mogą pochodzić od różnych aktorów, państwowych i niepaństwowych, przy czym ataki organizowane lub inspirowane przez inne państwa wprost godzą w suwerenność atakowanego państwa.[12] Ataki na cyberprzestrzeń są kluczowym wyzwaniem dla całego obszaru euro-atlantyckiego, który – posługując się sformułowaniami zaczerpniętymi z najnowszej koncepcji strategicznej Organizacji Paktu Północnoatlantyckiego – nie jest obecnie w stanie pokoju, zaś jego cyberprzestrzeń jest nieustannie atakowana przez złośliwych intruzów, co prowadzi do degradacji naszej infrastruktury krytycznej, zakłóca funkcjonowanie usług publicznych, powoduje pozyskiwanie przez wrogów informacji wywiadowczych, skutkuje kradzieżą naszej własności intelektualnej oraz osłabia naszą aktywność i zdolność militarną.[13]

Cyberbezpieczeństwo Polski oraz pozostałych państw członkowskich UE i NATO wymaga podejmowania skoordynowanych i złożonych działań na bardzo wielu różnych płaszczyznach: techniczno-technologicznej i informatycznej, militarnej, prawnej, gospodarczej, społecznej, naukowej, edukacyjnej, itp. Certyfikacja cyberbezpieczeństwa – stanowiąca przedmiot opiniowanego przez Radę Legislacyjną Projektu – sama w sobie nie stanowi gwarancji cyberbezpieczeństwa certyfikowanych produktów ICT, usług ICT i procesów ICT. Certyfikacja cyberbezpieczeństwa jest raczej pewną procedurą i metodyką techniczną stosowaną w celu potwierdzenia, że produkty ICT, usługi ICT i procesy ICT zostały przetestowane i że spełniają one określone wymogi cyberbezpieczeństwa ustanowione w stosownych dokumentach prawnych, w tym zwłaszcza w europejskim programie certyfikacji cyberbezpieczeństwa lub w krajowym programie certyfikacji cyberbezpieczeństwa oraz w zawartych tam normach technicznych.[14] Jednakże, zdaniem Rady Legislacyjnej, pomimo swojego techniczno-formalno-proceduralnego wymiaru certyfikacja cyberbezpieczeństwa ma – i będzie miała – co najmniej pośredni i refleksowy pozytywny wpływ na stopniowe zwiększanie się stanu cyberbezpieczeństwa w Polsce (i w całej UE). Przede wszystkim certyfikacja może prowadzić w przyszłości do zakupów i użytkowania przez podmioty publiczne, przez przedsiębiorstwa oraz przez konsumentów takich produktów, usług i procesów ICT, które, będąc uprzednio poddane procedurze certyfikacji, przeszły pomyślnie stosowną ocenę z punktu widzenia ich zgodności z określonymi normami i wymogami oraz zostały uznane za – przynajmniej formalnie i na obecnym etapie – dostatecznie zabezpieczone przed cyberzagrożeniami. Certyfikacja cyberbezpieczeństwa prowadzi do wyeksponowania (wyróżnienia) tych produktów ICT, usług ICT i procesów ICT, które w pełni spełniają odnośnie jakościowe standardy, co zwiększa ich atrakcyjność na rynku oraz prowadzi do ich pożądanej proliferacji w środowisku informacyjno-komunikacyjnym oraz w systemach technologicznych.  

W obecnym stanie prawnym i faktycznym certyfikacja cyberbezpieczeństwa w Polsce występuje, ale nie jest oparta na specjalnie jej dedykowanych podstawach prawnych: jest raczej dokonywana na ogólnych podstawach prawnych dotyczących oceny zgodności (certyfikacji) produktów, które w Polsce tworzy ustawa z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku,[15] zaś w całej UE podstawą tą są przepisy rozporządzenia Parlamentu Europejskiego i Rady (WE) Nr 765/2008 z dnia 9 lipca 2008 r. ustanawiającego wymagania w zakresie akredytacji i uchylającego rozporządzenie (EWG) nr 339/93[16] (dalej: „Rozporządzenie UE o Akredytacji”). Problematyka certyfikacji cyberbezpieczeństwa nie jest natomiast w ogóle unormowana w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.[17]

Na poziomie całej UE certyfikacja cyberbezpieczeństwa jest aktualnie uregulowana w Rozporządzeniu UE o Cyberbezpieczeństwie (zob. zwłaszcza tytuł III tego aktu zatytułowany: „Ramy certyfikacji cyberbezpieczeństwa”), zaś państwa członkowskie UE miały obowiązek zacząć stosować zawarte w tym akcie prawnym przepisy dotyczące certyfikacji cyberbezpieczeństwa już od dnia 28 czerwca 2021 r. (art. 69 ust. 2 Rozporządzenia UE o Cyberbezpieczeństwie), co dotyczy zwłaszcza przepisów o krajowych organach do spraw certyfikacji cyberbezpieczeństwa (art. 58 Rozporządzenia UE o Cyberbezpieczeństwie), jednostkach oceniających zgodność (art. 60 Rozporządzenia UE o Cyberbezpieczeństwie) oraz karach za naruszenie tego unijnego reżimu (art. 65 Rozporządzenia UE o Cyberbezpieczeństwie). Projekt jest zatem przedsięwzięciem legislacyjnym niezwykle pilnym w sensie formalno-prawnym, zaś z punktu widzenia realnych potrzeb Polski jest on niezbędny w sposób wręcz bezdyskusyjny. Pomijając już przy tym jego wymiar stricte ochronny dla polskiej cyberprzestrzeni i dla interesów bezpieczeństwa Polski oraz Polaków, warto też uwypuklić pozytywny wymiar Projektu dla zwiększania konkurencyjności rynkowej polskich przedsiębiorców będących producentami czy też sprzedawcami produktów ICT, usług ICT i procesów ICT. Mianowicie, wydawane w Polsce na podstawie Projektu dla polskich przedsiębiorców europejskie certyfikaty cyberbezpieczeństwa będą musiały być uznawane we wszystkich państwach członkowskich UE (art. 56 ust. 10 Rozporządzenia UE o Cyberbezpieczeństwie), co bez wątpienia zwiększy atrakcyjność poddanych takiej certyfikacji polskich produktów, usług i procesów ICT na rynkach w innych państwach członkowskich UE.

Projekt na ogół w udany sposób tworzy polskie ramy prawne certyfikacji cyberbezpieczeństwa, wykorzystując przy tym pewne uniwersalne instytucje czy też kategorie prawne odnoszące się do oceny zgodności produktów, a także co do zasady poprawnie wykonuje on przepisy Rozporządzenia UE o Cyberbezpieczeństwie. Niestety, w obu tych zakresach spraw twórcy Projektu nie ustrzegli się mimo wszystko pewnych błędów, niespójności, niekonsekwencji, braku precyzji czy też wręcz nie w pełni prawidłowego odczytania sensu niektórych przepisów Rozporządzenia UE o Cyberbezpieczeństwie. W poniższych rozważaniach Rada Legislacyjna zwraca uwagę na najistotniejsze mankamenty legislacyjne i merytoryczne Projektu oraz proponuje konkretne sposoby zaradzenia im.

 

II. Szczegółowe usterki Projektu oraz propozycje Rady Legislacyjnej ich wyeliminowania

 

1. [Niepoprawne opisanie zakresu zastosowania Projektu] Art. 1 Projektu nie w pełni poprawnie opisuje zakres zastosowania Projektu, czyniąc to niewłaściwie z punktu widzenia logiki formalnej: przepis zawiera niepotrzebne powtórzenie oraz błąd idem per idem. Art. 1 Projektu stanowi co następuje: „Ustawa określa: 1) organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu; 2) sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.”. W tym względzie należy zauważyć, że sprawy wymienione w powołanym art. 1 pkt 2 Projektu (jako przedmiot regulacji Projektu) mieszczą się w sensie treściowym (kategorialnym) w zakresie spraw wymienionych w art. 1 pkt 1 Projektu; tak więc w art. 1 pkt 2 Projektu mamy do czynienia z niepotrzebnym powtórzeniem materii wymienionej w art. 1 pkt 1 Projektu. Sprawowanie nadzoru i kontroli, o czym jest mowa w art. 1 pkt 2 Projektu, mieści się bowiem w zakresie zadań i obowiązków dwóch podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa, a mianowicie w zakresie zadań i obowiązków ministra właściwego do spraw informatyzacji (zob. zwłaszcza art. 9 ust. 2 Projektu) oraz w zakresie zadań i obowiązków Polskiego Centrum Akredytacji (zob. art. 8 Projektu); z kolei zadania i obowiązki podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa zostały wymienione jako odrębny przedmiot regulacji w art. 1 pkt 1 Projektu. Tym samym art. 1 pkt 2 Projektu, mówiąc o nadzorze i kontroli, nie wymienia odrębnej i samodzielnej kategorii spraw mieszczących się w zakresie zastosowania Projektu, lecz wymienia po prostu jedną z subkategorii takich spraw, mieszczących się w zakresie art. 1 pkt 1 Projektu. Rzecz jasna, sprawy wymienione w art. 1 pkt 2 Projektu (czyli nadzór i kontrola) jak najbardziej zasługują na ich wyeksponowanie w przepisie określającym zakres zastosowania Projektu, ale nie jako osobny (odrębny, samodzielny) przedmiot regulacji, ale jako część (egzemplifikacja) przedmiotu regulacji opisanego w art. 1 pkt 1 Projektu, czyli jako część zadań i obowiązków podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa.

 Ponadto art. 1 pkt 2 Projektu zawiera klasyczny błąd logiczny idem per idem, gdyż opisując formalnie zakres zastosowania Projektu (czy też właściwie jego część) czyni to poprzez wymienienie nadzoru i kontroli, które mają być sprawowane „w zakresie stosowania przepisów ustawy”, podczas gdy to właśnie zakładaną rolą i funkcją przepisu art. 1 Projektu jest precyzyjne opisane tego „zakresu zastosowania ustawy”. W art. 1 pkt 2 Projektu nie powinno zatem mieć miejsca – niczego w gruncie rzeczy nie wyjaśniające – odwołanie się do „zakresu zastosowania ustawy”, lecz po prostu musi tu nastąpić w miarę precyzyjnie opisanie tego zakresu.

Nietrudno zresztą dostrzec, że całe to opisanie zakresu zastosowania Projektu zamieszczone w jego art. 1 zostało przejęte (powielone) z przepisu art. 1 ust. 1 pkt 1 i 2 ustawy o krajowym systemie cyberbezpieczeństwa, gdzie również jest mowa o tym, że ustawa ta określa „organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu” (art. 1 ust. 1 pkt 1 powołanej ustawy) oraz „sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy” (art. 1 ust. 1 pkt 2 powołanej ustawy). Pokrewieństwo materii pomiędzy ustawą o krajowym systemie cyberbezpieczeństwa i Projektem z pewnością uzasadnia zastosowanie takiego samego schematu przy opisie zakresu zastosowania obu tych aktów prawnych, ale nie oznacza to wcale, że formalne błędy logiczne popełnione przez ustawodawcę w art. 1 ust. 1 pkt 1 i 2 ustawy o krajowym systemie cyberbezpieczeństwa powinny być obecnie powielone w art. 1 Projektu.

W związku z powyższym Rada Legislacyjna proponuje opisanie przedmiotu regulacji (zakresu zastosowania) Projektu w taki sposób, jak ona sama to uczyniła we wcześniejszych rozważaniach poczynionych w punkcie I.2 niniejszej opinii (przy ogólnej charakterystyce Projektu). Mianowicie, Rada Legislacyjna postuluje nadanie przepisowi art. 1 Projektu następującego brzmienia: „Ustawa określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, w tym sposób sprawowania nadzoru, kontroli i koordynacji działalności podmiotów tego systemu”. W takim układzie nadzór i kontrola zostaną tu jasno wymienione nie jako odrębna ogólna kategoria stanowiąca przedmiot regulacji Projektu, ale jako jedna ze szczególnych subkategorii egzemplifikujących zadania i obowiązki podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa, a przy tym zostanie jasno wskazane, czego konkretnie dotyczy ta kontrola i nadzór: nie ogólnikowo „zakresu zastosowania ustawy”, ale po prostu działalności podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa (bo tak jest w istocie, jeśli się przeanalizuje dalsze szczegółowe przepisy Projektu dotyczące nadzoru i kontroli sprawowanych przez ministra właściwego do spraw informatyzacji oraz przez Polskie Centrum Akredytacji). Ponadto obok „kontroli” i „nadzoru” sprawowanych przez właściwego ministra oraz przez Polskie Centrum Akredytacji wobec pozostałych podmiotów tworzących krajowy system certyfikacji cyberbezpieczeństwa warto też wymienić w tym kontekście „koordynację” sprawowaną wobec wspomnianych podmiotów jako kolejną z funkcji stanowiących przedmiot regulacji Projektu. Takie bowiem przewidziane w Projekcie działania właściwego ministra, jak wspieranie podmiotów tworzących krajowy system certyfikacji cyberbezpieczeństwa, współpracowanie z nimi czy też pomaganie im w realizacji ich ustawowych zadań, w tym wspieranie finansowe, a także korzystanie z pomocy tych innych podmiotów (zob. np. art. 9 ust. 2 pkt 4 oraz art. 10 Projektu; art. 58 ust. 7 lit. c), h) oraz i) Rozporządzenia UE o Cyberbezpieczeństwie), nie mieści się w zakresie ściśle rozumianej kontroli i nadzoru, lecz jest to raczej przejaw koordynowania działalności podmiotów tworzących krajowy system cyberbezpieczeństwa.[18]

2. [Wątpliwości co do zasadności wyznaczenia ministra właściwego do spraw informatyzacji jako pełniącego funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa] Poważne wątpliwości co do zgodności z przepisami Rozporządzenia UE o Cyberbezpieczeństwie budzi wyznaczenie przez Projekt ministra właściwego do spraw informatyzacji jako podmiotu mającego pełnić funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa, o którym mowa w art. 58 Rozporządzenia UE o Cyberbezpieczeństwie. Wyznaczenie wspomnianego ministra do pełnienia funkcji krajowego organu do spraw certyfikacji cyberbezpieczeństwa ma z pewnością swoje merytoryczne uzasadnienie w zakresie ustawowych zadań tego ministra. Mianowicie, minister właściwy do spraw informatyzacji kieruje działem administracji rządowej „informatyzacja”, zaś dział ten obejmuje m. in. sprawy informatyzacji administracji publicznej oraz podmiotów wykonujących zadania publiczne, sprawy systemów i sieci teleinformatycznych administracji publicznej, udział w kształtowaniu polityki Unii Europejskiej w zakresie informatyzacji, oraz sprawy bezpieczeństwa cyberprzestrzeni w wymiarze cywilnym (art. 12a ust. 1 pkt 1, 2, 5 i 10 ustawy z dnia 4 września 1997 r. o działach administracji rządowej[19]). Z tego punktu widzenia wyznaczenie przez Projekt ministra właściwego do spraw informatyzacji krajowym organem do spraw certyfikacji cyberbezpieczeństwa wydaje się być niejako naturalne, także z uwagi na konieczność zapewnienia odpowiedniego wpływu centralnej administracji rządowej na sprawy cyberbezpieczeństwa w Polsce.

Problem polega jednak na tym, że minister właściwy do spraw informatyzacji – i to z zupełnie obiektywnych względów prawnych, nie zaś z uwagi na jego subiektywne intencje czy prowadzoną politykę – nie daje gwarancji zachowania niezależności wymaganej przez przepisy Rozporządzenia UE o Cyberbezpieczeństwie. W tym względzie art. 58 ust. 3 Rozporządzenia UE o Cyberbezpieczeństwie stanowi, że „każdy krajowy organ ds. certyfikacji cyberbezpieczeństwa pozostaje niezależny od jednostek, nad którymi sprawuje nadzór, w zakresie swojej organizacji, decyzji w sprawie finansowania, struktury prawnej i procesu podejmowania decyzji”. W polskim kontekście szczególnie istotny jest wynikający z tego unijnego przepisu wymóg, zgodnie z którym krajowy organ do spraw certyfikacji cyberbezpieczeństwa „pozostaje niezależny od jednostek, nad którymi sprawuje nadzór, w zakresie […] decyzji w sprawie finansowania […] i procesu podejmowania decyzji”. W myśl Rozporządzenia UE o Cyberbezpieczeństwie oraz Projektu, minister właściwy do spraw informatyzacji jako krajowy organ do spraw certyfikacji cyberbezpieczeństwa sprawuje nadzór w szczególności nad jednostkami oceniającymi zgodność (art. 58 ust. 7 lit. d) i ust. 8 lit. a)-f) Rozporządzenia UE o Cyberbezpieczeństwie oraz art. 9 ust. 2 pkt 1 i 2 w zw. z art. 3 ust. 2 pkt 3 Projektu), czyli sprawuje nadzór nad jednostkami dokonującymi certyfikacji cyberbezpieczeństwa, i to właśnie od tych jednostek właściwy minister, jako krajowy organ do spraw certyfikacji cyberbezpieczeństwa, powinien być niezależny (w rozumieniu art. 58 ust. 3 Rozporządzenia UE o Cyberbezpieczeństwie) – tzn. powinien być niezależny „w zakresie […] decyzji w sprawie finansowania […] i procesu podejmowania decyzji”.

Tymczasem już z samych przepisów Projektu wynika, że minister właściwy do spraw informatyzacji nie będzie wcale niezależny w powyższych zakresach spraw od jednostek dokonujących certyfikacji, a konkretnie od jednostek dokonujących certyfikacji będących państwowymi instytutami badawczymi nadzorowanymi przez tego ministra, tzn. nadzorowanymi w myśl stosownych przepisów prawa polskiego o nadzorze ministra nad podległymi mu jednostkami organizacyjnymi. Brak tej niezależności w powyższym zakresie wynika zresztą nie tylko z przepisów Projektu, ale również z innych przepisów prawa, a mianowicie tych dotyczących statusu i zasad funkcjonowania w Polsce państwowych instytutów badawczych. W szczególności, art. 10 ust. 2 w zw. z art. 9 ust. 2 Projektu stanowi, że minister właściwy do spraw informatyzacji może udzielić państwowemu instytutowi badawczemu wspierającemu tego ministra w realizacji jego ustawowych zadań z zakresu certyfikacji cyberbezpieczeństwa dotacji celowej z części budżetu państwa, której jest dysponentem. Mamy tu zatem do czynienia z zależnością w zakresie finansowania. Ponadto z przepisów ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych[20] wynika, że minister sprawujący nadzór nad państwowym instytutem badawczym, co dotyczy również ministra właściwego do spraw informatyzacji, posiada daleko idące kompetencje do ingerowania w działalność oraz w finansowanie działalności państwowego instytutu badawczego, w tym posiada kompetencje do powoływania dyrektora i zastępców dyrektora państwowego instytutu badawczego (zob. art. 24 ust. 2 i art. 27 ust. 1 ustawy o instytutach badawczych), kompetencję do wydawania wiążących zaleceń pokontrolnych dla dyrektora instytutu i przewodniczącego rady naukowej instytutu (art. 35 ust. 3 ustawy o instytutach badawczych), prawo do uchylania uchwał rady naukowej instytutu (art. 35a ust. 2 ustawy o instytutach badawczych), prawo do kontrolowania działalności instytutu, w tym jego działalności finansowej (art. 36 ustawy o instytutach badawczych) oraz prawo do nakładania na instytut obowiązku realizacji dodatkowych zadań (art. 37 ustawy o instytutach badawczych). Tego rodzaju uprawnienia do ingerowania w proces podejmowania decyzji oraz w finansowanie państwowego instytutu badawczego minister właściwy do spraw informatyzacji posiada również w odniesieniu do nadzorowanych przez siebie państwowych instytutów badawczych, w tym w szczególności wobec Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (dalej: „NASK”).[21] NASK już obecnie wykonuje zadania akredytowanej jednostki certyfikującej i wydaje certyfikaty cybebezpieczeństwa.[22] Tym bardziej trudno sobie wyobrazić, aby NASK nie wykonywał tego rodzaju zadań i nie posiadał statusu jednostki oceniającej zgodność po wejściu w życie Projektu. NASK jest zresztą podmiotem bodaj najlepiej w Polsce przygotowanym merytorycznie i kadrowo do tego, by po wejściu w życie Projektu dokonywać procesów oceny zgodności produktów ICT, usług ICT i procesów ICT z wymogami bezpieczeństwa, określonymi w europejskim lub krajowym programie certyfikacji cyberbezpieczeństwa, i by wydawać w związku z tym, odpowiednio, europejskie lub krajowe certyfikaty cyberbezpieczeństwa. Pod rządami ustawy (obecnie Projektu) nie będzie to oczywiście jedyna w Polsce jednostka oceniająca zgodność, ale z pewnością będzie to jednostka w tym zakresie najważniejsza i najbardziej prominentna, zaś wydawane przez nią certyfikaty będą się cieszyły szczególnym (i zasłużonym) prestiżem. Nad tą jednostką – tak samo jak w odniesieniu do każdej innej jednostki oceniającej zgodność – nadzór będzie sprawował, przy wykorzystaniu instrumentów przewidzianych w Projekcie i w Rozporządzeniu UE o Cyberbezpieczeństwie, minister właściwy do spraw informatyzacji (jako krajowy organ do spraw certyfikacji cyberbezpieczeństwa) i minister ten powinien być wówczas „niezależny od jednostek, nad którymi sprawuje nadzór, w zakresie […] decyzji w sprawie finansowania […] i procesu podejmowania decyzji”, tak jak wymaga tego art. 58 ust. 3 Rozporządzenia UE o Cyberbezpieczeństwie. Tymczasem w odniesieniu do NASK ta wymagana przez Rozporządzenie UE o Cyberbezpieczeństwie niezależność nie będzie wówczas zapewniona, podobnie jak nie będzie ona zapewniona w odniesieniu do innych państwowych instytutów badawczych, które są nadzorowane przez ministra właściwego do spraw informatyzacji (tzn. są „nadzorowane” w rozumieniu polskich przepisów o nadzorze nad państwowymi instytutami badawczymi; odrębną kwestią jest natomiast nadzór nad nimi, jako nad jednostkami oceniającymi zgodność, sprawowany na podstawie Rozporządzenia UE o Cyberbezpieczeństwie i na podstawie Projektu).

Zdaniem Rady Legislacyjnej, dla zapewnienia wymaganej przez art. 58 ust. 3 Rozporządzenia UE o Cyberbezpieczeństwie niezależności krajowego organu do spraw certyfikacji cyberbezpieczeństwa od jednostek oceniających zgodność należy poważnie rozważyć powierzenie wykonywania w Polsce funkcji krajowego organu do spraw certyfikacji cyberbezpieczeństwa organowi innemu niż minister właściwy do spraw informatyzacji. Alternatywnie, oczywistym sposobem zapewnienia w tym zakresie zgodności polskich rozwiązań prawnych z relewantnymi przepisami prawa UE byłoby odebranie ministrowi właściwemu do spraw informatyzacji kompetencji do sprawowania nadzoru nad NASK i powierzenie w tym zakresie funkcji nadzorczych innemu ministrowi, np. ministrowi właściwemu do spraw nauki.

 Szukając zaś innego niż właściwy minister ewentualnego organu, który mógłby wykonywać w Polsce funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa (w rozumieniu art. 58 Rozporządzenia UE o Cyberbezpieczeństwie) Rada Legislacyjna wskazuje na zasadność rozważenia w tym zakresie kandydatury Prezesa Urzędu Ochrony Konkurencji i Konsumentów (dalej: „Prezes UOKiK”). Prezes UOKiK jest z pewnością organem niezależnym od wszelkich podmiotów, które mają lub będą miały status jednostek oceniających zgodność, i jest też niezależny od wszystkich dostawców produktów, usług i procesów ICT (zob. art. 34a ust. 1 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów[23]), a więc w tym sensie organ ten spełnia kryterium niezależności wymagane przez art. 58 ust. 3 Rozporządzenia UE. Ponadto, co nie mniej istotne, Prezes UOKiK, wraz ze swoim urzędem, jest też doskonale merytorycznie przygotowany i odpowiednio zadaniowo sprofilowany do tego, by w przyszłości móc wykonywać funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Mianowicie, Prezes UOKiK jest ustawowo powołany do wykonywania zadań z zakresu ochrony konsumentów, w tym ochrony zbiorowych interesów konsumentów (zob. art. 31 pkt 1 i 2 ustawy o ochronie konkurencji i konsumentów) oraz zadań z zakresu nadzoru nad ogólnym bezpieczeństwem produktów (zob. art. 13 ustawy z dnia 12 grudnia 2003 r. o ogólnym bezpieczeństwie produktów);[24] mówiąc precyzyjniej, Prezes UOKiK sam nie dokonuje oceny zgodności produktów z zasadniczymi wymaganiami i nie wydaje w tym zakresie certyfikatów zgodności, ale jest organem nadzorującym te procesy oraz nadzorującym podmioty działające w ramach systemu oceny zgodności produktów (analogicznie jak krajowy organ do spraw certyfikacji cyberbezpieczeństwa będzie nadzorował jednostki oceniające zgodność oraz inne podmioty wchodzące w skład krajowego systemu certyfikacji cyberbezpieczeństwa). Co jest przy tym bardzo znamienne, w literaturze przedmiotu już wiele lat temu trafnie wskazano na okoliczność, iż zadania z zakresu ochrony przed cyberzagrożeniami są bezpośrednio powiązane z ochroną konsumentów przed zagrożeniami wynikającymi z produktów wprowadzanych na rynek i że w UE istnieje pilna konieczność zbudowania koherentntego modelu cyberbezpieczeństwa uwzględniającego rolę krajowych organów ochrony konkurencji i konsumentów w tym zakresie.[25] W takim układzie uczynienie Prezesa UOKiK krajowym organem do spraw certyfikacji cyberbezpieczeństwa przydałoby polskiemu systemowi certyfikacji cyberbezpieczeństwa element podmiotowo fachowo wyspecjalizowany w ochronie konsumentów przez zagrożeniami powodowanymi przez produkty, usługi i procesy ICT.

Przeszkodą w ewentualnym powierzeniu Prezesowi UOKiK wykonywania funkcji krajowego organu do spraw certyfikacji cyberbezpieczeństwa nie jest bynajmniej okoliczność, iż Prezes UOKiK nie może wydawać rozporządzeń jako aktów wykonawczych do ustaw, będących źródłami prawa powszechnie obowiązującego. Przepisy Rozporządzenia UE o Cyberbezpieczeństwie nie przewidują bowiem takich zadań krajowego organu do spraw certyfikacji cyberbezpieczeństwa, których realizacja bezwzględnie by wymagała możliwości ustanawiania przez taki organ przepisów prawa powszechnie obowiązującego. Projekt co prawda przewiduje, że minister właściwy do spraw informatyzacji może określać, w drodze rozporządzenia, krajowe programy certyfikacji cyberbezpieczeństwa (art. 6 Projektu), ale Projekt wcale nie powierza wspomnianego wyżej zadania ministrowi właściwemu do spraw informatyzacji jako podmiotowi wykonującemu wówczas w tym zakresie funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Również zresztą Rozporządzenie UE o Cyberbezpieczeństwie wcale nie wymaga tego, by to krajowe organy do spraw certyfikacji cyberbezpieczeństwa ustanawiały krajowe programy certyfikacji cyberbezpieczeństwa, ani też by te programy miały status prawny przepisów prawa powszechnie obowiązującego (zob. 57 i 58 Rozporządzenia UE o Cyberbezpieczeństwie). W razie więc ewentualnego powierzenia Prezesowi UOKiK wykonywania funkcji krajowego organu do spraw certyfikacji cyberbezpieczeństwa to nadal minister właściwy do spraw informatyzacji będzie mógł ustanawiać, w drodze rozporządzenia, krajowe programy certyfikacji cyberbezpieczeństwa, tak jak przewiduje to obecnie art. 6 Projektu, podobnie jak minister ten mógłby wówczas wykonywać inne jeszcze zadania wspomagające funkcjonowanie krajowego systemu certyfikacji cyberbezpieczeństwa (np. poprzez stosowne finansowanie i zadaniowanie NASK lub innych państwowych instytutów badawczych), ale już bez pełnienia formalnie funkcji krajowego organu do spraw certyfikacji cyberbezpieczeństwa.

Na marginesie tych rozważań Rada Legislacyjna pragnie przypomnieć, że Rozporządzenie UE o Cyberbezpieczeństwie dozwala państwom członkowskim na wyznaczenie więcej niż jednego krajowego organu do spraw certyfikacji cyberbezpieczeństwa (art. 58 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie). Otwiera to przed Polską, podobnie jak przed każdym innym państwem członkowskim UE, możliwość rozważenia ustanowienia co najmniej dwóch krajowych organów do spraw certyfikacji cyberbezpieczeństwa, z których jeden mógłby się zajmować nadzorem nad taką działalnością podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa, która ma charakter typowo cywilny (organ ten stanowiłby zatem komponent bezpieczeństwa konsumentów w ramach krajowego systemu certyfikacji cyberbezpieczeństwa), zaś drugi organ sprawowałby nadzór nad działalnością wojskową (militarną) podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa, w tym nad dostawcami produktów ICT, usług ICT i procesów ICT wykorzystywanych do celów ściśle wojskowych (byłby to więc komponent bezpieczeństwa militarnego w ramach krajowego systemu certyfikacji cyberbezpieczeństwa).

3. [Niejasna kwestia kompetencji ministra właściwego do spraw informatyzacji do wydawania europejskich certyfikatów cyberbezpieczeństwa] Przepisy Projektu nie przesądzają w sposób w pełni jednoznaczny kwestii tego, czy minister właściwy do spraw informatyzacji działający w charakterze krajowego organu do spraw certyfikacji cyberbezpieczeństwa jest albo nie jest uprawniony do wydawania europejskich certyfikatów cyberbezpieczeństwa (w rozumieniu nadanym temu pojęciu przez art. 2 pkt 11 Rozporządzenia UE o Cyberbezpieczeństwie oraz art. 2 pkt 6 Projektu). Generalnie z przepisów Projektu wynika, że certyfikaty cyberbezpieczeństwa (europejskie i krajowe) będą wydawały (akredytowane) jednostki oceniające zgodność (zob. art. 4, 5 i 7 Projektu). To samo wynika też z przepisów Rozporządzenia UE o Cyberbezpieczeństwie (zob. art. 2 pkt 18 powołanego aktu prawnego w zw. z art. 2 pkt 13 Rozporządzenia UE o Akredytacji oraz art. 56 ust. 4 Rozporządzenia UE o Cyberbezpieczeństwie). Równocześnie Rozporządzenie UE o Cyberbezpieczeństwie przewiduje dwie wyjątkowe sytuacje, w których europejski certyfikat cyberbezpieczeństwa może zostać wydany przez krajowy organ do spraw certyfikacji cyberbezpieczeństwa, czyli w Polsce, po wejściu w życie Projektu, przez ministra właściwego do spraw informatyzacji.

Po pierwsze, jest to dopuszczalne wtedy, gdy w należycie uzasadnionych przypadkach europejski program certyfikacji cyberbezpieczeństwa – który ustanawia Komisja Europejska – przewiduje, że europejskie certyfikaty cyberbezpieczeństwa otrzymywane na podstawie tego programu są wydawane jedynie przez podmiot publiczny, przy czym takim podmiotem publicznym może być krajowy organ do spraw certyfikacji cyberbezpieczeństwa lub podmiot publiczny akredytowany jako jednostka oceniająca zgodność (art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie).

Po drugie, jest to nakazane wtedy, gdy europejski program certyfikacji cyberbezpieczeństwa wymaga poziomu uzasadnienia zaufania „wysoki” (a więc ani nie poziomu „podstawowy” ani też nie poziomu „istotny”, tylko poziomu zaufania „wysoki”[26]). W takim przypadku europejski certyfikat cyberbezpieczeństwa wydawany w ramach tego programu może być wydany wyłącznie przez krajowy organ do spraw certyfikacji cyberbezpieczeństwa (czyli nie przez jednostkę oceniającą zgodność), z zastrzeżeniem następujących dwóch wyjątków (właściwie są to zatem wyjątki od wyjątków), w których wspomniany europejski certyfikat może zostać wówczas wydany przez jednostkę oceniającą zgodność: (1) pierwszy wyjątek dotyczy sytuacji, gdy każdy europejski certyfikat wydany przez jednostkę oceniającą zgodność jest zatwierdzany przez krajowy organ do spraw certyfikacji cyberbezpieczeństwa; (2) drugi wyjątek jest dopuszczalny, gdy krajowy organ do spraw certyfikacji cyberbezpieczeństwa dokona „ogólnego powierzenia” zadania polegającego na wydawaniu takich europejskich certyfikatów cyberbezpieczeństwa jednostce oceniającej zgodność (art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie).

Będąc skonfrontowani z tak sformułowanymi przepisami Rozporządzenia UE o Cyberbezpieczeństwie twórcy Projektu postanowili, że gdy europejski certyfikat cyberbezpieczeństwa odwołuje się do poziomu zaufania „wysoki”, wówczas taki certyfikat może zostać wydany przez jednostkę oceniającą zgodność, z tym wszakże zastrzeżeniem, że w takiej sytuacji jednostka oceniająca zgodność wydająca dany certyfikat ma obowiązek wystąpienia do ministra właściwego do spraw informatyzacji (jako do krajowego organu do spraw certyfikacji cyberbezpieczeństwa) z wnioskiem o zatwierdzenie danego wydanego przez nią europejskiego certyfikatu (art. 14 ust. 1 Projektu; nota bene, powołany przepis Projektu stanowi w tym kontekście o poziomie zaufania wysoki „o którym mowa w art. 57 ust. 2 rozporządzenia 2019/881”; tymczasem jest to formalny błąd w odesłaniu, gdyż o tymże poziomie zaufania „wysoki” jest mowa w art. 52 ust. 7 powołanego tam unijnego aktu prawnego, tj. Rozporządzenia UE o Cyberbezpieczeństwie, a nie w jego art. 57 ust. 2; tym samym to nieprawidłowe odesłanie zastosowane w art. 14 ust. 1 Projektu wymaga obecnie bezwzględnie skorygowania). O ile przy tym przepisy art. 14 ust. 1 i 2 Projektu wyraźnie przydają ministrowi właściwemu do spraw informatyzacji uprawnienie do zatwierdzenia europejskiego certyfikatu cyberbezpieczeństwa odwołującego się do poziomu zaufania „wysoki” i wydanego przez jednostkę oceniającą zgodność, o tyle nie przesądzają one wyraźnie o tym, czy minister ten może taki certyfikat samemu wydać, tak jak mu dozwala na to – jako krajowemu organowi do spraw certyfikacji cyberbezpieczeństwa – przepis art. 56 ust. 6 in principio Rozporządzenia UE o Cyberbezpieczeństwie. W normalnych przypadkach brak wyraźnego istnienia w ustawie określonej kompetencji dla właściwego ministra (tu: kompetencji do wydania europejskiego certyfikatu cyberbezpieczeństwa odwołującego się do poziomu zaufania „wysoki”) byłby w świetle konstytucyjnej zasady legalizmu (art. 7 Konstytucji RP) równoznaczny z brakiem odnośnej kompetencji po stronie właściwego ministra. Tyle tylko, że kompetencja dla krajowego organu do spraw cyberbezpieczeństwa (czyli w Polsce, po wejściu w życie Projektu, dla ministra właściwego do spraw informatyzacji) do wydania europejskiego certyfikatu odwołującego się do poziomu zaufania „wysoki” (czy też mówiąc inaczej: do wydania europejskiego certyfikatu cyberbezpieczeństwa w ramach europejskiego programu cyberbezpieczeństwa, który wymaga poziomu uzasadnienia zaufania „wysoki”) wynika wprost z bezpośrednio stosowanego w Polsce rozporządzenia unijnego.

Z drugiej jednak strony wcale nie jest takie pewne, czy po wejściu w życie Projektu minister właściwy do spraw informatyzacji rzeczywiście będzie uprawniony do wydawania europejskich certyfikatów odwołujących się do poziomu zaufania „wysoki”. Wątpliwość ta wynika bowiem z niejednoznaczności wyników wykładni przepisu art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie. Mianowicie, może być kwestią sporną to, czy jeżeli w danym państwie członkowskim UE zostanie wykorzystana wyjątkowa opcja wydawania wspomnianych europejskich certyfikatów przez jednostki oceniające zgodność (w ramach dwóch opisanych wyżej wyjątków wyspecyfikowanych w art. 56 ust. 6 lit. a) i b) Rozporządzenia UE o Cyberbezpieczeństwie) – a w Polsce Projekt przewiduje wykorzystanie jednego z takich wyjątków – to czy wówczas krajowy organ do spraw certyfikacji cyberbezpieczeństwa jest nadal uprawniony do samodzielnego wydawania europejskich certyfikatów cyberbezpieczeństwa odwołujących się do poziomu zaufania „wysoki”. Wykładnia w tym zakresie przepisu art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie może być różna: zdaniem Rady Legislacyjnej krajowy organ do spraw certyfikacji cyberbezpieczeństwa cały czas zachowuje stosowną kompetencję do wydania europejskiego certyfikatu, o czym świadczy użycie w tym kontekście przez prawodawcę unijnego spójnika alternatywy zwykłej „lub”, tzn. odnośny przepis stanowi, że w omawianych sytuacjach europejski certyfikat może być wydany przez krajowy organ do spraw certyfikacji cyberbezpieczeństwa „lub” przez jednostkę oceniającą zgodność. Ponieważ jednak taka wykładnia art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie może być kontestowana (można bowiem alternatywnie przyjąć, że spójnik „lub” jest w tym przypadku adresowany do krajowego prawodawcy, a nie do krajowego organu do spraw certyfikacji cyberbezpieczeństwa, i że to krajowy prawodawca powinien wówczas mieć w tym zakresie ostatnie słowo), to tym bardziej Projekt powinien wyraźnie przesądzić, czy minister właściwy do spraw certyfikacji może czy też nie może wydawać europejskie certyfikaty cyberbezpieczeństwa odwołujące się do poziomu zaufania „wysoki”. Nawet bowiem jeżeli przyjmiemy taką wykładnię przepisu art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie, że zasadniczo kompetencja jednostki oceniającej zgodność do wydawania odnośnych europejskich certyfikatów (o ile stworzona w prawie krajowym w ramach wyjątków dopuszczonych przez art. 56 ust. 6 lit. a) lub b) Rozporządzenia UE o Cyberbezpieczeństwie) nie wyklucza kompetencji w tym zakresie krajowego organu do spraw certyfikacji cyberbezpieczeństwa, zwłaszcza jeżeli prawo krajowe o tym milczy – a ku takiej właśnie wykładni skłania się Rada Legislacyjna – to wydaje się niewątpliwe, że w świetle Rozporządzenia UE o Cyberbezpieczeństwie prawodawca krajowy ma prawo do odebrania tej kompetencji krajowemu organowi do spraw certyfikacji cyberbezpieczeństwa (na rzecz jednostek oceniających zgodność). Jeżeli więc twórcy Projektu nie chcą, by pod rządami Projektu (przyszłej ustawy) minister właściwy do spraw informatyzacji wykonywał taką kompetencję (a trzeba przyznać, że może to być trudne z czysto praktycznego punktu widzenia, o czym jeszcze niżej), to powinni oni wyraźnie to w Projekcie przesądzić, w sensie negatywnym. Obecnie Projekt w tej kwestii całkowicie milczy. Jeżeli natomiast – wbrew temu co powiedziano wyżej – przyjmiemy wykładnię, że w świetle art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie prawodawca krajowy nie ma prawa odebrać krajowemu organowi do spraw certyfikacji cyberbezpieczeństwa kompetencji do wydawania europejskich certyfikatów odwołujących się do poziomu zaufania „wysoki”, nawet jeżeli odnośna kompetencja jest przyznawana w prawie krajowym jednostkom oceniającym zgodność (na podstawie art. 56 ust. 6 lit. a) lub b) Rozporządzenia UE o Cyberbezpieczeństwie), to tym bardziej w przepisach Projektu powinien się znaleźć przepis wyraźnie przyznający taką kompetencję ministrowi właściwemu do spraw informatyzacji. Tymczasem w aktualnej wersji Projektu takiego przepisu nie ma.

Jest w tym zakresie niestety jeszcze jeden element komplikujący spójny i całościowy obraz w tej kwestii, a mianowicie wątpliwość interpretacyjna odnośnie tego, czy europejski program certyfikacji cyberbezpieczeństwa (wydawany przez Komisję Europejską) może wyraźnie przesądzać, że europejskie certyfikaty cyberbezpieczeństwa otrzymywane na podstawie tego programu muszą być wydawane jedynie przez podmiot publiczny będący krajowym organem do spraw certyfikacji cyberbezpieczeństwa. We wcześniejszych uwagach Rady Legislacyjnej była już mowa o tym, że zgodnie z art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie „w należycie uzasadnionych przypadkach, europejski program certyfikacji cyberbezpieczeństwa może przewidywać, że europejskie certyfikaty cyberbezpieczeństwa otrzymywane na podstawie tego programu są wydawane jedynie przez podmiot publiczny. Takim podmiotem musi być jeden z wymienionych poniżej podmiotów: (a) krajowy organ ds. certyfikacji cyberbezpieczeństwa, o którym mowa w art. 58 ust. 1; lub (b) podmiot publiczny akredytowany jako jednostka oceniająca zgodność na podstawie art. 60 ust. 1”. Warto przy tym zauważyć, że to zastrzeżenie wyłączności na rzecz podmiotów publicznych (do wydawania europejskich certyfikatów cyberbezpieczeństwa) może dotyczyć wszystkich europejskich certyfikatów wydawanych w ramach danego europejskiego programu, w tym również certyfikatów odwołujących się do poziomu zaufania „podstawowy” oraz „istotny”, a nie tylko do poziomu zaufania „wysoki”, o czym jest mowa w art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie. Problem polega jednak na tym, że może być kwestią sporną to, co konkretnie w oparciu o powołany przepis art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie Komisja Europejska może w odnośnym europejskim programie postanowić: (1) czy może ona postanowić, że certyfikaty cyberbezpieczeństwa otrzymywane na podstawie tego programu muszą być wydawane jedynie przez podmiot publiczny, ale bez możliwości przesądzania przez Komisję Europejską, która konkretnie z kategorii podmiotów publicznych wskazana alternatywnie w art. 56 ust. 5 lit. a) lub b) Rozporządzenia UE o Cyberbezpieczeństwie (tzn. krajowe organy czy też jednostki oceniające zgodność) powinna to czynić; (2) czy też, alternatywnie, Komisja Europejska może wówczas wyraźnie przesądzić w ustanawianym przez siebie europejskim programie certyfikacji cyberbezpieczeństwa, że otrzymywane w ramach tego programu europejskie certyfikaty cyberbezpieczeństwa muszą być obligatoryjnie wydawane przez podmioty publiczne będące krajowymi organami do spraw certyfikacji cyberbezpieczeństwa (a nie przez podmioty publiczne będące jednostkami oceniającymi zdolność).

Bez względu przy tym na to, którą z tych obu powyższych wykładni przepisu art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie uznamy za trafną – a Komisja Europejska dotychczas o tym nie przesądziła – to i tak przepisy Projektu okazują się w obecnej ich wersji zupełnie niedostosowane do żadnej z tych obu opcji interpretacyjnych. W ramach opcji pierwszej (tzn. że Komisja Europejska może co najwyżej przesądzić, że europejskie certyfikaty w ramach danego europejskiego programu muszą być wydawane przez podmioty publiczne, ale bez możliwości wskazania przez Komisję Europejską konkretnej kategorii tych podmiotów publicznych) można bronić wykładni, że kompetencja krajowego organu do wydania wówczas europejskiego certyfikatu wynika wprost z art. 56 ust. 5 lit. a) Rozporządzenia UE o Cyberbezpieczeństwie. Bez względu wszakże na to, czy ta wykładnia jest prawidłowa, Projekt nie powinien o tej kwestii całkowicie milczeć (jak obecnie), lecz powinien to wyraźnie unormować (w jedną lub w drugą stronę). Z kolei do drugiej opcji interpretacyjnej dotyczącej art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie (tzn. że Komisja Europejska ma na podstawie art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie prawo przesądzić, że w ramach ustanowionego przez nią europejskiego programu europejskie certyfikaty cyberbezpieczeństwa muszą być obligatoryjnie wydawane tylko i wyłącznie przez krajowe organy do spraw certyfikacji cyberbezpieczeństwa) Projekt także okazuje się być niedostosowany, bo wyraźnie nie wspomina o tej kompetencji ministra właściwego do spraw informatyzacji.

Warto przy tym zauważyć, że przepisy art. 14 ust. 1 i 2 Projektu – które wykonują w tym zakresie przepis art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie – mogą być jeszcze od biedy podstawą wykładni a contrario, oznaczającej w tym przypadku, że skoro właściwemu ministrowi przepisy te przyznają kompetencję jedynie do zatwierdzania europejskich certyfikatów wydanych przez jednostkę oceniającą zgodność, to nie przyznają mu już kompetencji do wydawania takich europejskich certyfikatów – aczkolwiek pozostaje tu jeszcze kwestia istnienia takiej kompetencji właściwego ministra bezpośrednio na podstawie art. 56 ust. 6 in principio Rozporządzenia UE o Cyberbezpieczeństwie, o czym była mowa wyżej. Jednakże takiej wykładni a contrario nie można już nijak zastosować w odniesieniu do kompetencji do wydawania przez właściwego ministra europejskich certyfikatów w sytuacjach przewidzianych w art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie. O tej sytuacji przepisy Projektu, w tym przepisy art. 14 Projektu, w ogóle milczą. Przepisy art. 14 ust. 1 i 2 Projektu normują jedynie – a i tak w ocenie Rady Legislacyjnej za wąsko – kwestie wydawania europejskich certyfikatów cyberbezpieczeństwa w sytuacjach określonych w art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie (jest to regulacja za wąska dlatego, że brak jest tam wyraźnej wzmianki o dopuszczalności albo o niedopuszczalności wydawania europejskich certyfikatów cyberbezpieczeństwa przez ministra właściwego do spraw informatyzacji). Natomiast kwestia wydawania europejskich certyfikatów cyberbezpieczeństwa w sytuacjach określonych w art. 56 ust. 5 Rozporządzenia UE o Cyberbezpieczeństwie została w przepisach Projektu w ogóle pominięta (przemilczana). Opisane powyżej przez Radę Legislacyjną mankamenty Projektu muszą być zatem niezawodnie usunięte.    

Przy czym gdyby twórcy Projektu zdecydowali się finalnie wyraźnie przyznać ministrowi właściwemu do spraw informatyzacji kompetencję do wydawania europejskich certyfikatów cyberbezpieczeństwa – tzn. przyznać mu tę kompetencję w sytuacjach określonych w art. 56 ust. 5 lit. a) lub w art. 56 ust. 6 in principio Rozporządzenia UE o Cyberbezpieczeństwie, choć, jak powiedziano, nie można wykluczyć, że taka kompetencja właściwego ministra i tak wynika z tych przepisów bezpośrednio i może być przez ministra bezpośrednio na podstawie tych przepisów wykonywana – to wówczas trzeba by wyraźnie w Projekcie uregulować następujące dwie kwestie szczegółowe: (1) obowiązkowe rozdzielenie działalności certyfikacyjnej oraz działalności nadzorczej właściwego ministra (jako krajowego organu do spraw certyfikacji cyberbezpieczeństwa), o czym jest mowa w art. 58 ust. 4 Rozporządzenia UE o Cyberbezpieczeństwie, a także (2) akredytację jednostki certyfikującej ministra właściwego do spraw informatyzacji (jako krajowego organu do spraw certyfikacji cyberbezpieczeństwa), o czym jest mowa w art. 60 ust. 2 Rozporządzenia UE o Cyberbezpieczeństwie. Unormowanie tych kwestii, a jeszcze bardziej ich rzeczywiste wdrożenie w życie, może być oczywiście dodatkową praktyczną trudnością przy wykonywaniu przez ministra właściwego do spraw informatyzacji kompetencji do wydawania europejskich certyfikatów cyberbezpieczeństwa. Z tego punktu widzenia można nawet zrozumieć niechęć twórców Projektu do przyznania właściwemu ministrowi kompetencji do wydawania europejskich certyfikatów cyberbezpieczeństwa, ale jeżeli tak rzeczywiście jest, to w Projekcie należy o tym przesądzić (w sensie negatywnym) explicite, ze świadomością wszakże, iż taka regulacja negująca właściwemu ministrowi wspomnianą kompetencję może nie być zgodna z przepisami Rozporządzenia UE o Cyberbezpieczeństwa, o czym była mowa wyżej.

4. [Wątpliwości dotyczące cofania europejskich certyfikatów cyberbezpieczeństwa przez ministra właściwego do spraw informatyzacji] Nie w pełni jasno, spójnie i wyczerpująco jest w Projekcie unormowana kwestia cofania europejskich certyfikatów cyberbezpieczeństwa przez ministra właściwego do spraw informatyzacji, w tym kwestia relacji pomiędzy cofnięciem przez właściwego ministra europejskiego certyfikatu a odmową zatwierdzenia przez niego europejskiego certyfikatu. Chodzi tu przy tym o cofanie przez właściwego ministra europejskich certyfikatów, o których jest mowa w art. 14 ust. 1 Projektu, a więc europejskich certyfikatów odwołujących się do poziomu zaufania „wysoki” i wydanych przez jednostkę oceniającą zgodność. W tym względzie na gruncie przepisów art. 14 ust. 3-5 w zw. z art. 21 ust. 5 i 6 Projektu powstają następujące trzy prawne wątpliwości.

Po pierwsze, nie jest jasne, czy minister właściwy do spraw certyfikacji może cofnąć wspomniany europejski certyfikat jedynie już uprzednio zatwierdzony przez niego (na podstawie decyzji zatwierdzającej wydanej w oparciu o art. 14 ust. 2 pkt 1 i ust. 6 Projektu), czy też może on cofnąć wspomniany europejski certyfikat jeszcze przed jego zatwierdzeniem przez siebie, jako swoistą alternatywę odmowy zatwierdzenia europejskiego certyfikatu. Pozornie wydawać by się mogło, że właściwy minister powinien móc cofać jedynie te europejskie certyfikaty, które już zostały przez niego uprzednio zatwierdzone (w drodze decyzji wydanej na podstawie art. 14 ust. 2 pkt 1 i ust. 6 Projektu), gdyż jeżeli nie zatwierdził on jeszcze danego europejskiego certyfikatu wydanego przez jednostkę oceniającą zgodność, to wówczas, uznając, że certyfikat ten nie powinien być w świetle odnośnych przepisów wydany lub zatwierdzony (i w efekcie nie powinien być skuteczny), minister powinien po prostu odmówić jego zatwierdzenia, wydając w tym względzie decyzję odmowną na podstawie art. 14 ust. 2 pkt 2 i ust. 6 Projektu. Jest tak tym bardziej dlatego, że nie do końca wiadomo, w oparciu o jakie konkretnie kryteria właściwy minister miałby wtedy decydować, czy cofnąć dany europejski certyfikat (wydany przez jednostkę oceniającą zgodność) czy też odmówić jego zatwierdzenia. Aczkolwiek tej powyższej supozycji przeczy okoliczność, iż przepisy Projektu różnicują nieco, z jednej strony, materialne przesłanki odmowy zatwierdzenia europejskiego certyfikatu przez właściwego ministra (zob. art. 14 ust. 2 pkt 2 Projektu) oraz, z drugiej strony, materialne przesłanki cofnięcia europejskiego certyfikatu (zob. art. 14 ust. 5 Projektu). To zróżnicowanie treściowe obu kategorii przesłanek, jakkolwiek by nie oceniać jego zasadności (na temat dopuszczalności prawnej takiego zróżnicowania zob. uwagi niżej), może wskazywać na istnienie po stronie ministra właściwego do spraw informatyzacji pewnych kryteriów, którymi mógłby się on potencjalnie kierować przy dokonywaniu wyboru adekwatnego dla danej sytuacji rozstrzygnięcia (tzn. albo odmowa zatwierdzenia europejskiego certyfikatu albo jego cofnięcie, w zależności od zaistniałych przesłanek). W każdym bądź razie, zdaniem Rady Legislacyjnej, należy w art. 14 ust. 5 Projektu wyraźnie przesądzić, że minister właściwy do spraw informatyzacji jest uprawniony do cofnięcia jedynie takiego europejskiego certyfikatu (wydanego przez jednostkę oceniającą zgodność), który został uprzednio przez tego ministra zatwierdzony, tzn. zatwierdzony w drodze decyzji administracyjnej wydanej na podstawie art. 14 ust. 2 pkt 1 i ust. 6 Projektu.

Po drugie, pojawia się pytanie, czy w razie przyjęcia, że minister właściwy do spraw informatyzacji jest uprawniony do cofnięcia (w drodze decyzji) jedynie takiego europejskiego certyfikatu wydanego przez jednostkę oceniającą zgodność, który został uprzednio przez tego ministra zatwierdzony (co wydaje się opcją bardziej logiczną i co Rada Legislacyjna wyżej zarekomendowała), to czy wówczas nie powinno być tak, że cofnięcie przez właściwego ministra wspomnianego europejskiego certyfikatu powinno następować dopiero po uprzednim uchyleniu przez właściwego ministra swojej własnej decyzji o zatwierdzeniu danego europejskiego certyfikatu? Przepisy art. 21 ust. 5 i 6 Projektu stanowią, że w przypadku certyfikatów zatwierdzanych przez ministra właściwego do spraw informatyzacji, minister ten uchyla decyzję o zatwierdzeniu certyfikatu, o której mowa w art. 14 ust. 2 pkt 1 Projektu, dokonując tego uchylenia w drodze decyzji. Niestety, powołane wyżej przepisy art. 21 ust. 5 i 6 Projektu są jak gdyby całkowicie wyrwane z jakiegokolwiek kontekstu, ponieważ w ogóle nie określają one żadnych materialnoprawnych przesłanek, po spełnieniu których minister właściwy do spraw informatyzacji może podjąć decyzję uchylającą swoją wcześniejszą decyzję o zatwierdzeniu danego europejskiego certyfikatu. Być może właściwy minister powinien podjąć taką decyzję po zaistnieniu przesłanek określonych w art. 21 ust. 4 Projektu (tzn. przeprowadzone badania wykazały, że produkt ICT nie spełnia wymogów zawartych w określonym europejskim albo krajowym programie certyfikacji cyberbezpieczeństwa), ale z przepisów art. 21 ust. 5 i 6 Projektu nie wynika to w żaden sposób, a przynajmniej nie wynika to literalnie (można tu co najwyżej zastosować rodzaj wykładni systemowej wewnętrznej). Przy czym nawet jeżeli przyjmiemy wykładnię, że decyzja właściwego ministra uchylająca jego wcześniejszą decyzję o zatwierdzeniu europejskiego certyfikatu (wydanego przez jednostkę oceniającą zgodność) może zostać podjęta (tylko) w przypadkach określonych w art. 21 ust. 4 Projektu (wykładnia systemowa wewnętrzna), to i tak opisane w tym ostatnim przepisie przesłanki podjęcia przez właściwego ministra takiej decyzji uchylającej nie obejmują bynajmniej wszystkich przypadków, w których na podstawie Projektu minister ten wydaje decyzje zatwierdzające europejskie certyfikaty cyberbezpieczeństwa. Ta niekompletność w tym zakresie przesłanek z art. 21 ust. 4 Projektu wynika mianowicie z tego, że przesłanki z art. 21 ust. 4 Projektu odnoszą się tylko do produktów ICT, podczas gdy europejskie certyfikaty cyberbezpieczeństwa zatwierdzane przez ministra właściwego do spraw informatyzacji (w przypadkach, o których mowa w art. 14 ust. 1 Projektu) mogą również dotyczyć usług ICT oraz procesów ICT. Ponownie więc aktualizuje się konkluzja, iż przepisy Projektu nie określają – a przynajmniej nie określają wyczerpująco – przesłanek wydania przez ministra właściwego do spraw informatyzacji decyzji uchylającej jego wcześniejszą decyzję o zatwierdzeniu europejskiego certyfikatu cyberbezpieczeństwa.

Zdaniem Rady Legislacyjnej adekwatna i pożądana sekwencja działań w tej sprawie podejmowanych przez ministra właściwego do spraw informatyzacji powinna być następująca: najpierw minister właściwy do spraw informatyzacji uchyla swoją własną wcześniejszą decyzję o zatwierdzeniu danego europejskiego certyfikatu cyberbezpieczeństwa, o ile spełnione są stosowne materialne przesłanki uchylenia jego decyzji zatwierdzającej (i to przesłanki określone uniwersalnie dla wszystkich przypadków, w których właściwy minister może wydać decyzję zatwierdzającą europejski certyfikat, nie zaś określone jedynie fragmentarycznie, jak to ma miejsce w art. 21 ust. 4 Projektu – o ile w ogóle można przyjąć, że ten ostatni przepis określa przesłanki cofnięcia przez ministra jego decyzji o zatwierdzeniu europejskiego certyfikatu, ponieważ z odnośnych przepisów Projektu nie wynika to wprost i literalnie), zaś dopiero potem minister właściwy do spraw informatyzacji wydaje decyzję uchylającą sam europejski certyfikat (a więc właściwy minister nie uchyla już wówczas decyzji zatwierdzającej, ale uchyla bezpośrednio europejski certyfikat). W obecnej swojej wersji Projekt nie przewiduje niestety wyraźnie takiej właśnie logicznej sekwencji działań właściwego ministra. 

Po trzecie, nie da się w pełni racjonalnie wyjaśnić, dlaczego przepisy Projektu różnicują treściowo, z jednej strony, materialne przesłanki, po spełnieniu których minister właściwy do spraw informatyzacji musi odmówić zatwierdzenia europejskiego certyfikatu, o którym jest mowa w art. 14 ust. 1 Projektu wydanego przez jednostkę oceniającą zgodność oraz, z drugiej strony, materialne przesłanki cofnięcia przez tego ministra europejskiego certyfikatu, o którym jest mowa w art. 14 ust. 1 Projektu. Przesłanki odmowy zatwierdzenia przez ministra europejskiego certyfikatu cyberbezpieczeństwa są określone w art. 14 ust. 2 pkt 2 Projektu i obejmują one wydanie danego europejskiego certyfikatu niezgodnie z przepisami Rozporządzenia UE o Cyberbezpieczeństwie, niezgodnie z przepisami ustawy lub niezgodnie z określonym europejskim programem certyfikacji cyberbezpieczeństwa. Natomiast przesłanki cofnięcia przez ministra europejskiego certyfikatu cyberbezpieczeństwa są określone w art. 14 ust. 5 Projektu i obejmują one dodatkowo (oprócz tych samych i wyżej już wymienionych przesłanek) sytuację, w której produkt ICT, usługa ICT lub proces ICT, dla którego wydany został dany europejski certyfikat, nie spełnia wymogów zawartych w określonym europejskim programie certyfikacji cyberbezpieczeństwa. Na gruncie unijnym przesłanki cofnięcia przez krajowy organ do spraw certyfikacji cyberbezpieczeństwa europejskiego certyfikatu wydanego przez jednostkę oceniającą zgodność i odwołującego się do poziomu zaufania „wysoki” są określone w art. 58 ust. 8 lit. e) Rozporządzenia UE o Cyberbezpieczeństwie i są one węższe (uboższe) treściowo niż te określone w przepisie art. 14 ust. 5 Projektu (bo nie ma wśród nich przesłanki, w myśl której produkt, usługa lub proces ICT, dla którego wydany został dany europejski certyfikat, nie spełnia wymogów zawartych w określonym europejskim programie certyfikacji cyberbezpieczeństwa). Taka treść art. 14 ust. 5 Projektu nie narusza wszakże przepisu art. 58 ust. 8 lit. e) Rozporządzenia UE o Cyberbezpieczeństwie, gdyż z tego ostatniego przepisu wynika, że wskazane tam przesłanki mają charakter jedynie minimalny („co najmniej”), a więc prawodawca krajowy jest uprawniony do ich treściowego rozszerzenia (rozbudowania), tak jak to przewiduje art. 14 ust. 5 Projektu. Niemniej jednak pojawia się pytanie, dlaczego te przesłanki cofnięcia przez właściwego ministra europejskiego certyfikatu (o którym mowa w art. 14 ust. 1 Projektu) są określone w art. 14 ust. 5 Projektu w sensie treściowym znacznie szerzej niż przewidziane w art. 14 ust. 2 pkt 2 Projektu przesłanki odmowy zatwierdzenia przez właściwego ministra europejskiego certyfikatu (o którym mowa w art. 14 ust. 1 Projektu)? Jest to rozwiązanie zupełnie nielogiczne, gdyż może ono prowadzić do tego, że minister właściwy do spraw informatyzacji, będąc skonfrontowany z wnioskiem jednostki oceniającej zgodność o zatwierdzenie europejskiego certyfikatu, nie będzie mógł podjąć decyzji o odmowie zatwierdzenia danego europejskiego certyfikatu nawet w sytuacji, w której będzie miał on pewność, że dany produkt ICT, usługa ICT lub proces ICT, dla którego wydany został europejski certyfikat, nie spełnia już dłużej wymogów zawartych w określonym europejskim programie certyfikacji cyberbezpieczeństwa, a więc gdy już na tym etapie zatwierdzania przez ministra europejskiego certyfikatu zostanie w istocie spełniona przesłanka cofnięcia przez tego ministra europejskiego certyfikatu. Taka sytuacja jest jak najbardziej możliwa do wyobrażenia i nie można wykluczyć jej zaistnienia, gdyż może się przecież zdarzyć, że w momencie wydawania europejskiego certyfikatu dany produkt ICT, usługa ICT lub proces ICT spełniały wymogi zawarte w określonym europejskim programie certyfikacji cyberbezpieczeństwa, a więc wydanie europejskiego certyfikatu nie naruszyło wówczas Rozporządzenia UE o Cyberbezpieczeństwie, ustawy i określonego europejskiego programu certyfikacji, lecz wkrótce potem sytuacja danego produktu, usługi lub procesu ICT uległa zmianie, tak, iż w momencie aplikowania do właściwego ministra o zatwierdzenie wydanego europejskiego certyfikatu dany produkt, usługa lub proces ICT nie spełnia już dłużej wymogów zawartych w określonym europejskim programie certyfikacji cyberbezpieczeństwa. W takim przypadku właściwy minister będzie zmuszony zatwierdzić dany europejski certyfikat (bo nie będzie spełniona żadna z przesłanek odmowy zatwierdzenia europejskiego certyfikatu), ale tylko po to, by zaraz potem ten certyfikat cofnąć (z uwagi na spełnienie się przesłanki cofnięcia określonej w przepisie art. 14 ust. 5 in fine Projektu). Dlatego też w celu uniknięcia takiej nielogiczności Rada Legislacyjna proponuje de lege ferenda, aby przesłanki cofnięcia przez właściwego ministra europejskiego certyfikatu, określone w art. 14 ust. 5 Projektu, były identyczne treściowo z przesłankami odmowy zatwierdzenia przez właściwego ministra europejskiego certyfikatu, określonymi w art. 14 ust. 2 pkt 2 Projektu (co w praktyce oznacza konieczność poszerzenia tych ostatnich przesłanek o przesłanki określone w art. 14 ust. 5 in fine Projektu).

5. [Brak unormowania w Projekcie dopuszczalności wniesienia skargi do jednostki oceniającej zgodność wydającej europejski certyfikat cyberbezpieczeństwa] Wbrew przepisowi art. 63 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie, Projekt nie przewiduje dopuszczalności wniesienia skargi do jednostki oceniającej zgodność, która wydała europejski certyfikat cyberbezpieczeństwa. W art. 16 Projekt przewiduje co prawda środek zaskarżenia w postaci skargi, ale może ona zostać wniesiona tylko do ministra właściwego do spraw informatyzacji, w tym na jednostkę oceniającą zgodność (zob. art. 16 ust. 1 Projektu). Natomiast w myśl przepisów Projektu, do samej jednostki oceniającej zgodność skargi wnieść nie można, bo nie zostało to w Projekcie przewidziane. Tymczasem art. 63 ust. 1 in principio Rozporządzenia UE o Cyberbezpieczeństwie wyraźnie stanowi, że „Osoby fizyczne i prawne mają prawo do wniesienia skargi do podmiotu, który wydał europejski certyfikat cyberbezpieczeństwa”. Na gruncie Projektu europejski certyfikat cyberbezpieczeństwa jest wydawany właśnie przez jednostki oceniające zgodność (zob. art. 4 i 7 Projektu), z tym jedynie zastrzeżeniem, że jeżeli europejski certyfikat cyberbezpieczeństwa odwołuje się do poziomu zaufania „wysoki”, to wówczas certyfikat ten, wydany przez jednostkę oceniającą zgodność, podlega zatwierdzeniu przez ministra właściwego do spraw informatyzacji, działającego w charakterze krajowego organu do spraw cyberbezpieczeństwa (zob. art. 14 ust. 1-4 Projektu). W odniesieniu do tych ostatnich przypadków – a więc w odniesieniu do przypadków, gdy europejski certyfikat cyberbezpieczeństwa jest wydawany przez jednostkę oceniającą zgodność, ale jest zatwierdzany przez krajowy organ do spraw cyberbezpieczeństwa – przepis art. 63 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie stanowi, że wówczas skarga dotycząca europejskiego certyfikatu cyberbezpieczeństwa (wydanego przez jednostkę oceniającą zgodność, ale potem zatwierdzanego przez krajowy organ) jest wnoszona i rozpatrywana przez krajowy organ do spraw cyberbezpieczeństwa, czyli na gruncie Projektu przez ministra właściwego do spraw informatyzacji. Art. 16 ust. 1 Projektu rzeczywiście przewiduje możliwość wniesienia skargi na jednostkę oceniającą zgodność do ministra właściwego do spraw informatyzacji, ale, jak już powiedziano wyżej, przepis ten, ani też żaden inny przepis Projektu, nie przewiduje możliwości wniesienia skargi wprost do jednostki oceniającej zgodność. Tymczasem taka możliwość musi w prawie krajowym istnieć, gdyż art. 63 ust. 1 in principio Rozporządzenia UE o Cyberbezpieczeństwie wyraźnie przecież stanowi, że prawo do złożenia skargi do krajowego organu do spraw cyberbezpieczeństwa na jednostkę oceniającą zgodność istnieje tylko wtedy, gdy ta ostatnia jednostka działa w warunkach opisanych w art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie, a więc gdy wydany przez jednostkę oceniającą zgodność europejski certyfikat jest zatwierdzany przez krajowy organ do spraw cyberbezpieczeństwa (względnie też gdy krajowy organ do spraw certyfikacji cyberbezpieczeństwa dokona ogólnego powierzenia zadania polegającego na wydawaniu takich europejskich certyfikatów cyberbezpieczeństwa jednostce oceniającej zgodność – czego Projekt w ogóle nie przewiduje). Jeżeli zaś nie zachodzi ten ostatnio opisany przypadek przewidziany w art. 56 ust. 6 Rozporządzenia UE o Cyberbezpieczeństwie (w Projekcie jest on opisany w art. 14 ust. 1), to wówczas dla każdego innego przypadku należy przyznać w prawie krajowym prawo do wniesienia skargi wprost do podmiotu, który wydał europejski certyfikat cyberbezpieczeństwa, gdyż wyraźnie o tym stanowi art. 63 ust. 1 in principio Rozporządzenia UE o Cyberbezpieczeństwie. Tymczasem Projekt tego prawa nie gwarantuje. Jeżeli europejski certyfikat cyberbezpieczeństwa odwołuje się do poziomu zaufania „podstawowy” lub „istotny”, to wówczas jest on wydawany przez jednostkę oceniającą zgodność bez potrzeby jego zatwierdzenia przez krajowy organ do spraw cyberbezpieczeństwa – wynika to zarówno z Rozporządzenia UE o Cyberbezpieczeństwie, jak też z Projektu. W takim przypadku art. 63 ust. 1 in principio Rozporządzenia UE o Cyberbezpieczeństwie przyznaje osobom fizycznym i prawnym prawo do złożenia skargi wprost do jednostki oceniającej zgodność i w ogóle nie aktualizuje się wówczas drugi człon alternatywy określonej w art. 63 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie, a więc nie aktualizuje się wtedy możliwość wniesienia skargi do krajowego organu do spraw certyfikacji cyberbezpieczeństwa: skarga przysługuje wtedy tylko do jednostki oceniającej zgodność. De lege ferenda prawo to musi gwarantować również Projekt, czego w obecnym brzmieniu nie czyni.

Przepisy dotyczące skargi zawarte w art. 16 Projektu mają jeszcze ten mankament, że nie wyszczególniają minimalnych elementów skargi, zwłaszcza w odniesieniu do danych podmiotu składającego skargę. W przypadku, gdy określony europejski program certyfikacji bezpieczeństwa nie przewiduje zasad rozpatrywania skarg, art. 16 ust. 2 Projektu nakazuje stosować odpowiednio przepisy działu VIII Kodeksu postępowania administracyjnego[27] (dalej: „k.p.a.”) o skargach. Tymczasem k.p.a. przewiduje mało sformalizowane przepisy dotyczące składania skarg. Potrzeba wskazania minimalnych danych, które powinny znaleźć się w skardze, wynika z tego, że Rozporządzenie UE o Cyberbezpieczeństwie w art. 63 ust. 2 ustanawia obowiązek poinformowania skarżącego o podjętej decyzji, a także o jego prawie skutecznego środka prawnego przed sądem (o czym jest mowa niżej). Tym samym minister właściwy do spraw informatyzacji musi mieć odpowiednie informacje o skarżącym. Dlatego też w art. 16 Projektu należałoby wskazać minimalne elementy skargi. Dzięki temu skarżący będzie mógł realizować uprawnienia przyznawane mu w przepisach unijnych.

6. [Brak zagwarantowania przez Projekt w pełnym zakresie sądowej kontroli wymaganej przez Rozporządzenie UE o Cyberbezpieczeństwie] Istotną usterką Projektu jest brak gwarantowania przez Projekt istnienia w Polsce w pełnym zakresie sądowej kontroli nad certyfikacją cyberbezpieczeństwa wymaganej przez przepisy Rozporządzenia UE o Cyberbezpieczeństwie. Przepisy art. 64 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie wymagają zagwarantowania w prawie krajowym osobom fizycznym i prawnym prawa do skutecznego środka prawnego w odniesieniu do dwóch kategorii zachowań jednostek oceniających zgodność oraz krajowych organów do spraw certyfikacji cyberbezpieczeństwa: (1) wobec decyzji podjętych przez jednostkę oceniającą zgodność lub krajowy organ do spraw certyfikacji cyberbezpieczeństwa, w tym gdy doszło do nieprawidłowego wydania, niewydania lub uznania europejskiego certyfikatu cyberbezpieczeństwa, którego posiadaczami są te osoby fizyczne lub prawne (art. 64 ust. 1 lit. a) Rozporządzenia UE o Cyberbezpieczeństwie); (2) wobec bezczynności w sprawie skargi wniesionej do jednostki oceniającej zgodność lub do krajowego organu do spraw certyfikacji cyberbezpieczeństwa na podstawie art. 63 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie (art. 64 ust. 1 lit. b) Rozporządzenia UE o Cyberbezpieczeństwie).

O ile przy tym prawo polskie – tzn. przepisy Projektu rozpatrywane w związku z przepisami ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi[28] (dalej: „p.p.s.a.”) – generalnie zapewniają osobom zainteresowanym prawo do wniesienia skargi do sądu administracyjnego w odniesieniu do zachowań wskazanych wyżej w punkcie (1), choć i tak z pewnymi wątpliwościami oraz zastrzeżeniami, o których jest mowa niżej, o tyle na pewno nie da się tego powiedzieć w odniesieniu do bezczynności w sprawie skargi, o której jest mowa wyżej w punkcie (2).

Jeżeli chodzi o decyzje podjęte przez jednostkę oceniającą zgodność lub krajowy organ do spraw certyfikacji cyberbezpieczeństwa, w tym zwłaszcza decyzje w sprawach wydania, niewydania lub uznania europejskiego certyfikatu cyberbezpieczeństwa (jest to kategoria zachowań wymieniona w art. 64 ust. 1 lit. a) Rozporządzenia UE o Cyberbezpieczeństwie), to są to – przynajmniej w większości lub co do zasady – albo decyzje administracyjne w rozumieniu przepisów k.p.a., np. decyzja właściwego ministra w sprawie zatwierdzenia, odmowy zatwierdzenia lub cofnięcia europejskiego certyfikatu, albo też swoiste akty administracyjne, jak np. wydanie lub odmowa wydania certyfikatu przez jednostkę oceniającą zgodność. Decyzje w rozumieniu k.p.a. podlegają zaskarżeniu do sądu administracyjnego na podstawie art. 3 § 2 pkt 1 p.p.s.a., natomiast wydanie lub odmowa wydania certyfikatu przez jednostkę oceniającą zgodność podlega – jak się wydaje – zaskarżeniu do sądu administracyjnego na podstawie art. 3 § 2 pkt 4 p.p.s.a., w zakresie, w jakim wydanie lub odmowa wydania certyfikatu przez jednostkę oceniającą zgodność mogą być uznane za wymienione w tym ostatnim przepisie „inne niż określone w pkt 1-3 akty lub czynności z zakresu administracji publicznej dotyczące uprawnień lub obowiązków wynikających z przepisów prawa”, względnie też gdy jest to bezczynność organu w tych sprawach, podlegająca zaskarżeniu do sądu administracyjnego na podstawie art. 3 § 2 pkt 8 w zw. z pkt 1 i 4 p.p.s.a.

W tym miejscu należy jeszcze wyjaśnić, że w doktrynie prawa administracyjnego wypowiedziany został pogląd, iż certyfikat bezpieczeństwa wydawany na podstawie ogólnych przepisów o ocenie zgodności oraz certyfikat cyberbezpieczeństwa są to szczególnego rodzaju akty administracyjne, a konkretnie są to tzw. kwalifikujące akty administracyjne, które mają cechy rozstrzygnięcia administracyjnego.[29] Należy wszakże zastrzec, iż pogląd ten został wyrażony na gruncie ogólnych przepisów o ocenie zgodności (a więc bez związku z Projektem), które to przepisy przewidywały (w przeszłości, bo dawno zostały już uchylone), że wydanie certyfikatu bezpieczeństwa jest przesłanką prawnej dopuszczalności wprowadzenia produktu na rynek. W przypadku przewidzianych w Projekcie i w Rozporządzeniu UE o Cyberbezpieczeństwie certyfikatów cyberbezpieczeństwa sprawa ta wygląda jednak odmiennie, ponieważ uzyskanie takiego certyfikatu nie jest i nie będzie warunkiem dopuszczalności wprowadzenia produktu, usługi lub procesu ICT na rynek, w szczególności dlatego, że certyfikacja ta jest zasadniczo dobrowolna, chyba że prawo UE lub prawo krajowe stanowi inaczej (art. 56 ust. 2 Rozporządzenia UE o Cyberbezpieczeństwie). Skoro zaś certyfikacja cyberbezpieczeństwa jest dobrowolna i skoro uzyskanie certyfikatu cyberbezpieczeństwa nie jest warunkiem wprowadzenia produktu, usługi lub procesu ICT do obrotu, to mogą pojawić się wątpliwości, czy rzeczywiście wydanie lub odmowa wydania certyfikatu cyberbezpieczeństwa przez jednostkę oceniającą zgodność jest aktem lub czynnością z zakresu administracji publicznej, które dotyczą uprawnień lub obowiązków wynikających z przepisów prawa w rozumieniu art. 3 § 2 pkt 4 p.p.s.a. W doktrynie i orzecznictwie stwierdza się, że do kategorii aktów lub czynności w rozumieniu art. 3 § 2 pkt 4 p.p.s.a. należą tylko takie z nich, w przypadku których istnieje ścisły i bezpośredni związek pomiędzy danym aktem lub czynnością (lub zaniechaniem ich wydania) a możliwością realizacji przez podmiot zewnętrzny określonych praw lub obowiązków wynikających z przepisów prawa.[30] Zdaniem Rady Legislacyjnej, niestety nie można z całą pewnością stwierdzić, że akt wydania albo odmowy wydania certyfikatu cyberbezpieczeństwa przez jednostkę oceniającą zgodność jest zawsze takim właśnie aktem, który ściśle i bezpośrednio warunkuje możliwość realizowania przez dostawcę produktu, usługi lub procesu ICT ich praw lub obowiązków wynikających z przepisów prawa. O ile w pewnych sytuacjach tak może rzeczywiście być (tzn. w zakresie, w jakim certyfikacja cyberbezpieczeństwa jest obowiązkowa lub gdy istnieją szczególne przepisy prawa unijne lub krajowe wiążące z faktem posiadania albo nieposiadania certyfikatu cyberbezpieczeństwa konkretne skutki prawne), o tyle w innych sytuacjach tego rodzaju związek (warunkowanie)  może w ogóle nie istnieć, co będzie uniemożliwiało zaskarżenie aktu wydania albo odmowy wydania certyfikatu cyberbezpieczeństwa do sądu administracyjnego na podstawie przepisu art. 3 § 2 pkt 4 p.p.s.a. Tymczasem art. 64 ust. 1 lit. a) Rozporządzenia UE o Cyberbezpieczeństwie jasno przesądza, że prawo krajowe musi w każdym przypadku przyznawać prawo do skutecznego środka prawnego przed sądem w odniesieniu do rozstrzygnięć jednostek oceniających zgodność w związku z wydaniem lub niewydaniem europejskiego certyfikatu cyberbezpieczeństwa. W prawie polskim takie prawo do skutecznego środka prawnego przed sądem (administracyjnym) nie zawsze będzie zapewnione (przy czym wiele będzie jeszcze zależało od praktyki, jaka wykształci się w tym względzie w polskich sądach administracyjnych).

O ile przy tym w odniesieniu do decyzji przewidzianych w art. 64 ust. 1 lit. a) Rozporządzenia UE o Cyberbezpieczeństwie prawo do skutecznego środka prawnego przynajmniej w niektórych sytuacjach będzie w prawie polskim zagwarantowane (choć na pewno nie we wszystkich sytuacjach, w których powołany unijny przepis tego wymaga), o tyle z całą pewnością prawo polskie nie gwarantuje skutecznego środka prawnego w odniesieniu do bezczynności, o której jest mowa w art. 64 ust. 1 lit. b) Rozporządzenia UE o Cyberbezpieczeństwie, a więc w odniesieniu do bezczynności w sprawie skargi wniesionej do jednostki oceniającej zgodność lub do krajowego organu do spraw certyfikacji cyberbezpieczeństwa na podstawie art. 63 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie. W tym kontekście trzeba przede wszystkim przypomnieć, że Projekt, wbrew przepisowi art. 63 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie, w ogóle nie przewiduje możliwości wniesienia skargi do jednostki oceniającej zgodność: zgodnie z Projektem, na jednostkę oceniającą zgodność można złożyć skargę, ale tylko do ministra właściwego do spraw informatyzacji, a nie do samej tej jednostki (art. 16 ust. 1 pkt 2 Projektu; zob. też uwagi wyżej w punkcie II.5 niniejszej opinii). Skoro zaś Projekt nie przewiduje możliwości wniesienia skargi do jednostki oceniającej zgodność, to tym samym również bezczynność tej jednostki w sprawie wniesionej do niej skargi nie może zostać zaskarżona do sądu (administracyjnego), co jest z kolei niezgodne z art. 64 ust. 1 lit. b) Rozporządzenia UE o Cyberbezpieczeństwie. Co więcej, w przypadku skargi wniesionej do ministra właściwego do spraw informatyzacji, co Projekt dopuszcza na podstawie art. 16 ust. 2 Projektu, bezczynność tego ministra w sprawie wniesionej do niego skargi również nie może być, co do zasady, przedmiotem skargi wniesionej do sądu administracyjnego. Jest tak zaś dlatego, że do rozpatrywania przez właściwego ministra tego rodzaju skarg przepis art. 16 ust. 2 Projektu nakazuje odpowiednio stosować przepisy działu VIII k.p.a. o skargach, a tymczasem bezczynność organów administracji w sprawie aktów lub czynności takich jak skargi, które są rozpatrywane w ramach postępowania określonego w k.p.a., nie może być przedmiotem zaskarżenia do sądu administracyjnego – wynika to z brzmienia przepisów art. 3 § 2 pkt 4 i 8 p.p.s.a. i jest przy tym jednoznacznie potwierdzane w orzecznictwie polskich sądów administracyjnych.[31]

Wszystko to co powiedziano dotychczas uzasadnia sformułowanie konkluzji, iż przepisy Projektu, rozpatrywane w związku z innymi przepisami prawa polskiego, w tym przepisami k.p.a. i p.p.s.a., nie gwarantują w pełnym zakresie jednostkom prawa do skutecznego środka prawnego przed sądem, tak jak wymaga tego przepis art. 64 ust. 1 lit. a) i b) Rozporządzenia UE o Cyberbezpieczeństwie. W związku z powyższym Rada Legislacyjna rekomenduje wprowadzenie do Projektu szczególnego przepisu, który jako lex specialis będzie przyznawał zainteresowanym osobom możliwość wniesienia skargi do sądu administracyjnego zarówno na wszystkie akty i zaniechania jednostek oceniających zgodność w sprawie wydania albo odmowy wydania certyfikatu cyberbezpieczeństwa, jak też na bezczynność jednostek oceniających zgodność oraz na bezczynność ministra właściwego do spraw informatyzacji w sprawach rozpatrywania przez te podmioty skargi, o której jest mowa w art. 16 Projektu (z dodatkowym zastrzeżeniem, iż zakres przedmiotowy prawa do tej skargi musi zostać rozszerzony, zgodnie z tym co jest wymagane w tym względzie przez art. 63 ust. 1 Rozporządzenia UE o Cyberbezpieczeństwie).

7. [Brak przesądzenia przez Projekt o rodzaju procedury sądowej stosowanej w odniesieniu do sądowej kontroli decyzji w sprawie nałożenia kary pieniężnej] Projekt niestety nie wskazuje w swoich przepisach tego, jaka konkretnie procedura sądowa ma być stosowana w sprawach kontroli przez Sąd Okręgowy w Warszawie – Sąd Ochrony Konkurencji i Konsumentów (dalej: „SOKiK”) decyzji administracyjnych wydawanych przez ministra właściwego do spraw informatyzacji w sprawie nałożenia kary pieniężnej. Taka właściwa procedura sądowa nie została wskazana ani w przepisie art. 24 ust. 5 Projektu, który przydaje SOKiK kompetencję do rozpatrywania odwołań od decyzji ministra w tych sprawach, ani też w przepisach zmieniających Projektu (których zresztą w Projekcie w ogóle nie ma), który by nowelizowały w tym zakresie przepisy Kodeksu postępowania cywilnego[32] (dalej: „k.p.c.”) i przesądzały w nich wyraźnie, że SOKiK jest właściwy do rozpatrywania w tym zakresie odwołań i że stosuje wówczas w tym względzie wskazaną w tych przepisach k.p.c. określoną (konkretną) procedurę.

Art. 24 ust. 5 Projektu stanowi, że „Od decyzji ministra właściwego do spraw informatyzacji w sprawie nałożenia kary pieniężnej przysługuje odwołanie do Sądu Okręgowego w Warszawie – Sądu Ochrony Konkurencji i Konsumentów.”. Problem polega jednak na tym, że ani ten przepis, ani też żaden inny przepis Projektu, nie określa i nie wskazuje konkretnych reguł proceduralnych, zgodnie z którymi takie odwoławcze postępowanie sądowe ma się toczyć. Oczywiście, postępowanie sądowe przed SOKiK, który jest sądem powszechnym, powinno się toczyć zgodnie z przepisami k.p.c., ale w k.p.c. nie ma bynajmniej ogólnych przepisów dotyczących generalnie rozpatrywania przez SOKiK odwołań od decyzji administracyjnych jako takich: w k.p.c. są jedynie przepisy proceduralne dotyczące rozpatrywania przez SOKiK lub przez inne sądy powszechne odwołań od ściśle określonych kategorii decyzji administracyjnych, tzn. od decyzji wydawanych przez organy rentowe, od decyzji Prezesa UOKiK oraz od decyzji organów regulacyjnych (np. Prezesa Urzędu Komunikacji Energetycznej lub Prezesa Urzędu Regulacji Energetyki), w tym w sprawach kar pieniężnych nakładanych przez organy regulacyjne (zob. art. 477[8]-477[14a] k.p.c. oraz art. 479[28]-479[88] k.p.c.) Natomiast w k.p.c. nie ma obecnie przepisów dotyczących rozpatrywania przez SOKiK lub inny sąd powszechny odwołań od decyzji wydawanych przez ministra właściwego do spraw informatyzacji w sprawie nałożenia kary pieniężnej. Po wejściu w życie Projektu w obecnym kształcie nie będzie zatem dokładnie wiadomo, zgodnie z jakimi regułami proceduralnymi SOKiK będzie musiał rozpatrywać odwołanie, o którym mowa w art. 24 ust. 5 Projektu, w tym w szczególności nie będzie wiadomo, co SOKiK będzie miał prawo z daną zaskarżoną decyzją zrobić i czy np. w tych sprawach będzie przysługiwała skarga kasacyjna (do Sądu Najwyższego), zwłaszcza niezależnie od wartości przedmiotu zaskarżenia.

Co jest przy tym bardzo znamienne, nawet w przypadku zawartych w k.p.c. przepisów o rozpatrywaniu odwołań od decyzji wydanych przez Prezesa UOKiK lub przez organy regulacyjne jest kwestią wysoce sporną to, czy np. SOKiK może wówczas uchylić decyzję danego organu administracji i przekazać sprawę do ponownego rozpoznania temu organowi. Sporne są zatem konsekwencje prawne przepisów kompetencyjnych zawartych w art. 479[31a] § 3, art. 479[53] § 2, art. 479[64] § 2, art. 479[75] § 2 i art. 479[86] § 2 k.p.c.[33] Tym bardziej zatem będzie to sporne w odniesieniu do odwołań od decyzji, o których mowa w art. 24 ust. 5 Projektu, skoro Projekt nie przesądza w ogóle o procedurze, jaką należy wówczas stosować. Takie zaniechanie prawodawcze zupełnie bez potrzeby narusza konstytucyjne prawo do sądu przewidziane w art. 45 ust. 1 Konstytucji RP, bo uprawnione podmioty (tzn. podmioty, na które minister właściwy do spraw informatyzacji nałoży karę pieniężną) nie będą wówczas wiedziały, czego w istocie mogą domagać się od SOKiK (w szczególności, czy tylko orzeczenia reformatoryjnego, czy również kasatoryjnego) i w ramach jakiej procedury mogą to czynić.

W związku z powyższym Rada Legislacyjna postuluje wyraźne przesądzenie w Projekcie, że postępowanie odwoławcze przed SOKiK od decyzji, o których mowa w art. 24 ust. 5 Projektu toczy się przy odpowiednim zastosowaniu np. przepisów k.p.c. o rozpatrywaniu odwołań od decyzji w sprawach z zakresu ochrony konkurencji i konsumentów, czyli przepisów art. 479[28]-479[35] k.p.c. Zastrzeżenie o odpowiednim stosowaniu wskazanych przepisów k.p.c. pozwoli uniknąć konieczności nowelizowania w tym zakresie przepisów k.p.c. i ustanawiania tam odrębnego postępowania w tych sprawach.

Ponadto, dla zachowania większej przejrzystości opisów czynów podlegających karom pieniężnym, Rada Legislacyjna sugeruje przeniesienie wyjaśnienia pojęcia „przeciętnego wynagrodzenia” z art. 23 ust. 1 Projektu do słowniczka wyrażeń ustawowych w art. 2 Projektu. Ponadto, zgodność z terminologią (i stylistyką) stosowaną w zasadniczej części Projektu wymaga zastąpienia w art. 23 ust. 2 Projektu występującej tam frazy: „Jednostka oceniająca zgodność, która działa […]” następującą treścią: „Jednostka oceniająca zgodność, która podejmuje działania […]”.

8. [Brak w Projekcie przepisu przejściowego dotyczącego ważności już wydanych certyfikatów cyberbezpieczeństwa wydanych na podstawie krajowego programu] Mankamentem Projektu jest brak zamieszczenia w nim przepisu przejściowego, który by wyraźnie przesądzał o reżimie prawnym stosowanym do certyfikatów wydanych przed wejściem w życie ustawy (obecnie Projektu) na podstawie krajowych programów certyfikacji cyberbezpieczeństwa dotyczących tych produktów, usług i procesów ICT, które nie są objęte europejskim programem certyfikacji cyberbezpieczeństwa.

Prawdą jest, że w odniesieniu do certyfikatów cyberbezpieczeństwa dotyczących produktów ICT, usług ICT i procesów ICT objętych obowiązującym europejskim programem certyfikacji cyberbezpieczeństwa stosowne przepisy kolizyjne (na styku z prawem unijnym i krajowym) oraz przepisy intertemporalne (związane z wejściem w życie europejskich programów certyfikacji cyberbezpieczeństwa) są zawarte w art. 57 ust. 1-3 Rozporządzenia UE o Cyberbezpieczeństwie, podobnie jak art. 57 ust. 1 zd. 2 Rozporządzenia UE o Cyberbezpieczeństwie zawiera przepis kolizyjny i przepis przejściowy dotyczący krajowych programów certyfikacji cyberbezpieczeństwa i powiązanych z nimi procedur dotyczących produktów ICT, usług ICT i procesów ICT, które nie są objęte europejskim programem certyfikacji cyberbezpieczeństwa (te ostatnie krajowe programy i procedury mogą funkcjonować nadal). Niemniej jednak  przepis art. 57 ust. 1 zd. 2 Rozporządzenia UE o Cyberbezpieczeństwie nie zawiera przepisu przejściowego dotyczącego wydanych w tym zakresie krajowych certyfikatów. Z przepisu art. 57 ust. 1 zd. 2 Rozporządzenia UE o Cyberbezpieczeństwie wynika jedynie, że wspomniane tam krajowe programy i krajowe procedury mogą nadal funkcjonować. Ale jest przy tym rzeczą prawodawcy krajowego przesądzenie tego, jaki reżim prawny – dawny czy nowy – ma być stosowany wobec już wydanych w tym zakresie krajowych certyfikatów cyberbezpieczeństwa. W Polsce powinien to de lege ferenda przesądzić Projekt, a obecnie tego nie czyni. Rada Legislacyjna postuluje zatem wyraźne przesądzenie w specjalnie w tym celu stworzonym przepisie przejściowym Projektu o reżimie prawnym mającym być stosowanym do certyfikatów wydanych przed wejściem w życie ustawy (obecnie Projektu) na podstawie krajowych programów certyfikacji cyberbezpieczeństwa dotyczących tych produktów, usług i procesów ICT, które nie są objęte europejskim programem certyfikacji cyberbezpieczeństwa: w Projekcie trzeba mianowicie wyraźnie przesądzić, że np. wspomniane krajowe certyfikaty nadal obowiązują do końca terminu ich ważności i stosuje się do nich przepisy dotychczasowe, albo też że certyfikaty te stają się certyfikatami w rozumieniu nowej ustawy (obecnie Projektu), przy jednoznacznym wskazaniu, jaki ma być ich okres ważności.

 

III. Konkluzje

 

Rada Legislacyjna pozytywnie opiniuje Projekt i rekomenduje poddanie go dalszym pracom prawodawczym w ramach rządowego procesu legislacyjnego. Projekt, przewidując uregulowanie kwestii dotyczących organizacji i funkcjonowania krajowego systemu certyfikacji cyberbezpieczeństwa, zmierza tym samym do unormowania zagadnień absolutnie kluczowych dla bezpieczeństwa państwa polskiego i jego obywateli: zagadnień związanych z cyberbezpieczeństwem. Sama instytucja certyfikowania produktów, usług i procesów ICT nie zapewni eo ipso w Polsce pożądanego stanu cyberbezpieczeństwa, ale instytucja ta jest niewątpliwie jedną z ważnych przesłanek ułatwiających realizowanie tej wartości i sprzyjających jej coraz pełniejszemu urzeczywistnianiu. W szczególności przewidziana w Projekcie certyfikacja może przyczynić się do zakupywania przez podmioty publiczne i prywatne oraz do korzystania przez użytkowników jedynie z takich produktów ICT, usług ICT i procesów ICT, które są certyfikowane, a więc przeszły pozytywnie stosowną procedurę oceny zgodności i spełniają stosowne wymogi cyberbezpieczeństwa ustanowione w odnośnych aktach prawnych (unijnych lub polskich). Stworzenie tego rodzaju krajowego systemu certyfikacji cyberbezpieczeństwa jest zresztą wymagane przez prawo UE, a Polska jest w tym zakresie opóźniona z wykonaniem prawa UE.

Jakkolwiek Projekt na ogół udanie normuje kwestie związane z certyfikacją cyberbezpieczeństwa, to jednak twórcy Projektu nie ustrzegli się określonych – niekiedy zresztą dość poważnych – błędów legislacyjnych oraz merytorycznych, w tym związanych z niepełnym zapewnieniem wykonania stosownych przepisów prawa Unii Europejskiej. W niniejszej opinii Rada Legislacyjna dokonała zidentyfikowania wielu tych mankamentów i konstruktywnie wskazała pożądane sposoby ich wyeliminowania. Rada Legislacyjna, działając w poczuciu odpowiedzialności za prawidłowe uregulowanie w Polsce problematyki certyfikacji cyberbezpieczeństwa, związanej z tak ważną przecież kwestią samego cyberbezpieczeństwa jako takiego, prosi obecnie decydentów politycznych, aby w poczuciu tej samej odpowiedzialności zechcieli życzliwie rozważyć zgłoszone w niniejszej opinii uwagi Rady Legislacyjnej.

 

 

Na podstawie projektu opinii przygotowanego przez prof. dra hab. Marka Szydło Rada Legislacyjna przyjęła niniejszą opinię na posiedzeniu w dniu 14 czerwca 2024 r.