Interpelacja nr 10186

do ministra cyfryzacji

w sprawie nadregulacyjnych sankcji administracyjnych w projekcie ustawy o krajowym systemie cyberbezpieczeństwa (UC32)

Zgłaszający: Dariusz Matecki

Data wpływu: 09-06-2025

Interpelacja odnosi się do kolejnego przypadku nadregulacji wskazanego w raporcie Zespołu SprawdzaMY Rafała Brzoski.

Chodzi o projekt rządowy UC32 – ustawę o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Projekt ten ma implementować dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 (dyrektywa NIS2), lecz wykracza poza jej wymogi w zakresie sankcji oraz mechanizmów egzekucyjnych.

Zgodnie z projektowanym art. 53 ust. 9-11, w przypadku niezastosowania się do decyzji ministra cyfryzacji, organ ten może samodzielnie:

Zakres ingerencji ma objąć wszystkie 18 sektorów gospodarki wskazanych w projekcie, niezależnie od winy podmiotu i rodzaju jego działalności. Taka konstrukcja znacząco przekracza wymogi dyrektywy NIS2, która dopuszcza co najwyżej tymczasowe zawieszenie działalności, ale wyraźnie zaznacza, że organ ds. cyberbezpieczeństwa powinien działać zgodnie z prawem krajowym, z zachowaniem gwarancji proceduralnych, w tym prawa do sądu, prawa do obrony i do skutecznej ochrony prawnej.

Projektowana regulacja odbiera te gwarancje, przyznając organowi ds. cyberbezpieczeństwa rolę samodzielnego decydenta, a nie uczestnika postępowania prowadzonego przez właściwy organ koncesyjny czy sąd. Jest to przykład nadmiernej koncentracji władzy administracyjnej, która prowadzi do:

W związku z zapowiedzią z dnia 22 maja 2025 roku o przygotowaniu ponad 100 ustaw deregulacyjnych, konieczne jest uzyskanie odpowiedzi:

  1. Czy projekt UC32 został ujęty na liście ustaw deregulacyjnych przygotowanych przez rząd?

  2. Czy rząd zamierza usunąć z projektu UC32 przepisy przewidujące samodzielne uprawnienia ministra cyfryzacji do ograniczania działalności gospodarczej i cofania koncesji, bez udziału sądów lub organów koncesyjnych?

  3. Czy została przeprowadzona analiza zgodności projektowanego art. 53 ust. 9-11 z zasadą proporcjonalności oraz z gwarancjami proceduralnymi przewidzianymi przez dyrektywę NIS2?

  4. Czy przewidziano ocenę skutków finansowych i prawnych nowego modelu sankcyjnego dla przedsiębiorców z 18 sektorów gospodarki objętych ustawą?

Proponowana forma implementacji dyrektywy NIS2 jest klasycznym przykładem gold-platingu – tworzy zbędne obciążenia i zwiększa ryzyko administracyjne dla firm, bez poprawy faktycznego poziomu cyberbezpieczeństwa.