Jak pan ocenia zabezpieczenia antykorupcyjne procesów legislacyjnych w Polsce?

W CBA byłem analitykiem i zajmowałem się nadzorem oraz współpracą przy realizacji złożonych projektów teleinformatycznych, a także procesami dotyczącymi transformacji cyfrowej kraju. Ponadto w ramach czynności osłonowych i prac w Komitecie Rady Ministrów do spraw Cyfryzacji monitorowałem wybrane procesy legislacyjne. Na tej podstawie twierdzę, że w Polsce nie ma zabezpieczeń antykorupcyjnych przeznaczonych specjalnie dla procesu legislacyjnego. W wymiarze prawnym podstawą odpowiedzialności są po prostu przepisy Kodeksu karnego, dotyczące m.in. łapownictwa czy powoływania się na wpływy. Osoby uczestniczące w procesie stanowienia prawa niewątpliwie mają tego świadomość, co według mnie w adekwatny sposób wypełnia funkcje prewencyjne.

Natomiast elementem procedur antykorupcyjnych jest także cały obszar zarządzania konfliktem interesów. Prawo zamówień publicznych w art. 56 wprowadza definicję konfliktu interesów, nakazując osobom wykonującym czynności po stronie zamawiającego, wyłączyć się z postępowania w przypadku takiego konfliktu. Takie podejście ma zabezpieczać postępowanie o udzielenie zamówienia publicznego i czynić je w pełni obiektywnym, chroniąc tym samym interes publiczny. Analogicznych rozwiązań ustawowych nie ma w przypadku procesu legislacyjnego. Oczywiście na poziomie poszczególnych ministerstw funkcjonują procedury antykorupcyjne, w tym zarządzania konfliktem interesów, jednakże według mnie nie mogą być one traktowane jako rozwiązanie systemowe.

Mamy w Polsce narzędzie analityczne służące do wspierania i racjonalizowania procesu stanowienia prawa, czyli ocenę skutków regulacji. Jak powinno ono funkcjonować?

Od ponad 20 lat OSR był obowiązkowy jedynie dla rządowego procesu legislacji. Dopiero od kilku miesięcy dotyczy także poselskiej ścieżki. Niezmiennie twierdzę, że ocena skutków regulacji powinna obligatoryjnie poprzedzać każdą inicjatywę ustawodawczą. Dotyczy to również OSR ex-post, która w Polsce praktycznie nie istnieje, a powinna być stosowana jako standardowe narzędzie weryfikacji wdrożonych regulacji.

OSR powinna zostać rozszerzona o pełnoprawną warstwę analityczną, tak aby nie stwarzała jedynie pozorów prowadzenia oceny ex-ante prawdopodobnych skutków wdrożenia projektowanego aktu prawnego, tylko była realnym narzędziem wspierającym proces decyzyjny. W wyniku rzetelnej i kompleksowej analizy, powinna zostać podjęta decyzja czy w ogóle istnieje uzasadniona potrzeba wprowadzenia kolejnej regulacji, a jeżeli tak, to w jakim zakresie.

Generalizacja moich obserwacji, jeszcze z czasów pełnienia służby, była taka, że chęć oraz potrzeba wprowadzania określonych interwencji czy regulacji często wyprzedzała gruntowne analizy. W takich przypadkach OSR był traktowany na równi z uzasadnieniem, czyli dokumentem, który trzeba dołączyć do projektu ustawy. Oczywiście byłem też świadkiem odmiennych zachowań, jednak uważam, że jako społeczeństwo mamy w kwestii budowania świadomości czym powinien być OSR jeszcze kilka zadań do wykonania.

Czym się powinien charakteryzować idealny proces legislacyjny, bezpieczny z perspektywy antykorupcyjnej, zarówno w trakcie prac nad ustawą jak i później – podczas jej egzekucji?

Powinien rozpoczynać się od kompleksowej analizy, która da odpowiedź na pytanie, czy wprowadzenie nowej regulacji jest potrzebne, a jeżeli tak w jaki sposób i w jakim zakresie. OSR powinna szczegółowo prezentować zastosowany model przyjęty do szacowania obciążeń administracyjnych, a także wskazywać źródła uzyskanych danych, które były podstawą dla przeprowadzonych analiz.

Elementem OSR powinien być także rzetelny model logiczny interwencji, odpowiadający na pytania o jej zasadność, problem, który rozwiązuje oraz pytania związane z poszczególnymi polami wpływu nowej regulacji na sektor prywatny oraz budżet państwa. Obligatoryjne powinno być również tworzenie analiz scenariuszowych, polegających na przygotowywaniu różnych wariantów proponowanych interwencji, w tym tzw. opcji zerowej, jak i działań w zakresie mniejszym lub bardziej intensywnym od rekomendowanego scenariusza.

Idealny proces stanowienia prawa to także pełny udział partnerów społecznych już na etapie poprzedzającym przygotowanie projektu, tak aby pozyskiwać dodatkowe informacje oraz praktyczną wiedzę wspierającą budowę kompleksowego OSR.

Warto także korzystać z dobrych wzorców funkcjonujących w innych krajach, w których z powodzeniem wdrożono systemy deregulacyjne. Kluczem do lepszego stanowienia prawa powinno być stosowanie zasady „one in, two out”, w wyniku której, wprowadzając regulację o określonych kosztach, należy doprowadzić do takich zmian w prawie, aby jednocześnie o dwukrotność tej wartości zmniejszyć obciążenia.

Kolejnym narzędziem wprowadzającym idealny proces legislacyjny powinna być ewaluacja ex-post, która służyłaby zbadaniu wdrożonej regulacji pod kątem ustanowionych kryteriów, w tym skuteczności i efektywności. Ponadto wspierałaby proces gromadzenia wiedzy o tym, co działa, a co nie, dlaczego się tak dzieje, które koncepcje okazały się trafne, a które oparte były na niewłaściwych założeniach.

Z kolei w warstwie zabezpieczenia antykorupcyjnego rekomendowałbym wprowadzenie regulacji dotyczących zarządzania konfliktem interesów w wymiarze systemowym, jednolitym dla wszystkich osób i podmiotów odpowiedzialnych za przygotowywanie aktów normatywnych.

Centrum im. Adama Smitha opublikowało dość krytyczny raport analizujący ustawę o Krajowym Systemie Cyberbezpieczeństwa. Wynika z niego, że forsowane przepisy mogą doprowadzić do sytuacji korupcjogennych, jednocześnie wprowadzając uznaniowe prawo. Jakie rekomendacje miałby pan dla zespołu pracującego nad ustawą?

Przyznam, że nie lubię udzielać rad osobom, które o to nie proszą. Natomiast gdybym był na miejscu tych osób zastanowiłby się przynajmniej nad jedną sprawą. Z tego co pamiętam, przed zmianą rządu podawany w mediach licznik kolejnych wersji nowelizacji wskazywał bodajże liczbę 18. Po zmianie władzy obecny minister cyfryzacji wskazywał, że przyjęcie tej ustawy nastąpi bardzo szybko. O ile dobrze kojarzę obecnie mamy 6 wersję, a ostatnio w mediach społecznościowych czytałem, że planowana jest już kolejna.

Z jednej strony mnogość wersji świadczy niewątpliwie o otwartości osób odpowiedzialnych za ten projekt, skoro w wyniku dokonywanych uzgodnień, konsultacji i przekazywanych opinii modyfikują poszczególne założenia. Z drugiej strony jako były funkcjonariusz służb, wyczulony a właściwe przeczulony na punkcie bezpieczeństwa, z niepokojem patrzę, że do wejścia w życie jest jeszcze daleka droga. W obecnej sytuacji geopolitycznej przepisy wpływające na zwiększenie naszej odporności w obszarze cyberbezpieczeństwa są racją stanu.

Z analizy projektu tej nowelizacji, ale także z informacji znajdujących się w przestrzeni publicznej wiadomo, że zakres regulacyjny jest bardzo szeroki. Istnieje takie powiedzenie, że aby zjeść słonia, trzeba go pokroić na kawałki. Łączna liczba wersji obecnego projektu nowelizacji KSC oraz okres, w którym projekt znajduje się na rządowej ścieżce legislacyjnej skłania do wniosku, że mamy właśnie do czynienia z takim przysłowiowym słoniem. Może warto zatem rozważyć podzielenie projektu na dwa mniejsze. Pierwszy zawierałby jedynie obligatoryjne wymagania wynikające z dyrektywy NIS2, których przyjęcie według mnie nie stanowiłoby dużego problemu i wysiłku oraz drugi zawierający pozostałe regulacje, które mogłyby być dalej poddawane konsultacjom i doprecyzowaniu, aż do osiągnięcia względnego konsensusu. Takie podejście zapewniłoby Polsce wywiązanie się z obowiązku implementacji dyrektywy i jednocześnie szybciej osiągnęlibyśmy pierwszy przyrost w warstwie cyberbezpieczeństwa.

Polska jest jednym z europejskich liderów cyfryzacji, ale czy nie grozi jej przeregulowanie, a w konsekwencji ryzyko korupcji?

Groźba przeregulowania istnieje zawsze i to niezależnie czy mówimy o polskim czy zagranicznym systemie stanowienia prawa. W poprzednich odpowiedziach już wskazywałem jak należałoby się bronić przed zjawiskiem nadregulacji. Co do ryzyka korupcji, to uważam, że jest ono wręcz immanentną cechą procesu legislacyjnego. Trzeba po prostu mieć tego świadomość i umiejętnie zarządzać tym ryzykiem, gdyż zjawisko przeregulowania niewątpliwie zwiększa prawdopodobieństwo materializacji ryzyka korupcji.

W lutym została opublikowana kolejna wersja projektu ustawy o KSC. Szereg rynkowych ekspertów wskazuje na przeregulowanie krajowego prawa względem unijnej dyrektywy. Czy pana zdaniem, tak rygorystyczne regulacje stanowią, jedyną, słuszną ścieżkę do zapewnienia Polsce bezpieczeństwa w cyberprzestrzeni?

Faktycznie w przestrzeni publicznej znajduje się bardzo dużo opinii, że nowelizacja KSC posiada szerszy zakres regulacyjny niż wynika to z dyrektywy NIS2. Wskazuje na to także sam OSR.

Jakiś czas temu miałem okazję zapoznać się z przygotowanym przez firmę EY raportem zawierającym analizę wdrożenia regulacji NIS2 w Polsce i porównania z innymi państwami UE. Spostrzeżenia i wnioski są zbieżne z opiniami pozostałych ekspertów. Polska jako jedyny kraj postanowiła w jednym akcie prawnym wdrożyć rozwiązania wynikające z dyrektywy NIS2 oraz 5G Toolbox, rozszerzając przy tym regulacje na wszystkie 18 sektorów, a nie tylko sieci 5G. Z cytowanego raportu wynika, że żadne z pozostałych państw UE nie wprowadza zaleceń 5G Toolbox w infrastrukturze innej niż telekomunikacyjna. Tak zdefiniowane regulacje wiązać się będą z konsekwencjami dla inwestycji i dostępności technologii, a konieczność usuwania sprzętu i usług HRV (high risk vendor – red.) może generować znaczne obciążenia finansowe dla podmiotów zobowiązanych do dostosowania infrastruktury. Trudno nie zgodzić się z tymi wnioskami. Takie ryzyka faktycznie istnieją, natomiast ich materializacja zależeć będzie od liczby wydanych decyzji administracyjnych i ich zakresu.

W tym kontekście muszę przyznać, że rozumiem formułowane przez przedsiębiorców i ekspertów obawy. Paradoksalnie przyczynia się do tego sam OSR oraz uzasadnienie do projektu nowelizacji, w którym znajduje się stwierdzenie, że projektodawca proponuje wprowadzenie mechanizmu pozwalającego na uznanie określonego dostawcy za dostawcę wysokiego ryzyka i w konsekwencji, wskazane w decyzji jego produkty, usługi i procesy będą musiały być wycofane z podmiotów kluczowych i ważnych. Jednocześnie wskazano, że rozwiązanie to ma na celu zapewnienie ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa. Nie przedstawiono jednak argumentacji, z której wynikałoby, że jest to jedyna możliwość, gdyż inne badane warianty będą nieefektywne. Ta sytuacja oraz fakt, że inne kraje UE wprowadzają mniej restrykcyjne modele, generuje pytania o zasadność i racjonalizm przyjętego u nas podejścia.

Państwa członkowskie moją swobodę w implementacji dyrektyw, tak aby dostosować je do własnych uwarunkowań prawnych, technologicznych i gospodarczych, zatem sam fakt, że inne kraje UE wdrażają NIS2 odmiennie niż Polska nie może stanowić samoistnej przesłanki do krytyki projektu nowelizacji KSC. Biorąc jednak pod uwagę fakt, że niezaprzeczalnie przyjęty kierunek jest najbardziej restrykcyjny ze wszystkich modeli, a tym samym może generować dla przedsiębiorców znaczne skutki finansowe oraz wywoływać negatywne konsekwencje dla inwestycji i dostępności technologii, dostrzegam potrzebę wyjaśnienia przez projektodawcę takiego podejścia i odpowiedzenia na pytanie „dlaczego”. Według mnie takich wyjaśnień obecnie brakuje, a mogłyby one zostać poczynione np. poprzez rozbudowanie OSR o wyniki analiz scenariuszy alternatywnych.

W świecie cyfrowym wojna z Białorusią i Rosja właściwie już trwa, prawodawstwo musi tu nadążać za rzeczywistością. Według jakich kryteriów, powinna odbywać się kwalifikacja dostawców technologii pod kątem bezpieczeństwa?

Z treści uzasadnienia do projektu nowelizacji wynika, że w toku procesu podejmowania decyzji administracyjnej minister cyfryzacji będzie otrzymywać opinię Kolegium do Spraw Cyberbezpieczeństwa w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Na opinię będą się składać różne analizy dotyczące danego dostawcy. Część z tych analiz będzie mierzalna, gdyż dotyczy takich aspektów jak ustalenie struktury właścicielskiej, posiadanych certyfikatów, czy liczby i rodzajów wykrytych podatności i incydentów dotyczących produktów, usług i procesów dostarczanych przez dostawcę sprzętu lub oprogramowania oraz sposobu i czasu ich eliminowania. Pozostałe takie jak ocena zagrożeń, które stwarza dostawca w wymiarze ekonomicznym, wywiadowczym oraz terrorystycznym, a także dla zobowiązań sojuszniczych i europejskich, czy ocena prawdopodobieństwa z jakim dostawca znajduje się pod wpływem czy wręcz kontrolą danego państwa, stanowią już kryteria ocenne, czyli posiadają atrybut uznaniowości.

Biorąc pod uwagę charakter gromadzonych w tej części analizy informacji, należy spodziewać się, że będą one stanowić informacje niejawne, czyli – co zrozumiałe – nie będą w pełni podawane do publicznej wiadomości. Przyjęcie przez projektodawcę takiego trybu postępowania w naturalny sposób będzie generować ryzyka występowania sytuacji korupcyjnych oraz będzie narażać Ministra Cyfryzacji na zarzuty o nieuprawnione czy niewspółmierne do sytuacji działania skutkujące koniecznością ponoszenia dodatkowych kosztów przez przedsiębiorców znajdujących się na liście podmiotów kluczowych i ważnych.

W projekcie nowelizacji ustawy KSC zostały określone nowe rodzaje analiz jakie będą mogły być zlecane CSIRT MON, CSIRT NASK lub CSIRT GOV. Będą to analizy dotyczące wpływu konkretnych produktów, usług lub procesów na bezpieczeństwo oraz analizy dotyczące trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem ich wytwarzania i dostarczania. Z uzasadnienia do projektu wynika, że analizy te będą mogły posłużyć jako dowód w ramach postępowania o uznaniu dostawcy za dostawcę wysokiego ryzyka.

Dodatkowo projekt zakłada, że zespoły CSIRT będą mogły prowadzić badania produktów i usług pod kątem zagrożeń dla bezpieczeństwa narodowego. Według mnie warto by było połączyć te dwa uprawnienia i uczynić z nich obligatoryjne działanie w procedurze oceny dostawcy wysokiego ryzyka. Przygotowany w ten sposób raport zawierający wyniki konkretnego badania oraz jego oceny wpływu na bezpieczeństwo stanowiłby obiektywny dowód w sprawie, gdyż prowadzenie badania np. w laboratorium NASK-PIB odbywałoby się z użyciem dedykowanej metodologii, która zawiera zbiór zasad, procedur i technik wspierających prowadzenie obiektywnych i wiarygodnych badań.

materiał z serwisu partnerskiego Cyfrowa Gospodarka