Zaskarżenie decyzji o nadaniu statusu operatora usług kluczowych na podstawie ustawy o cyberbezpieczeństwie
Współcześnie większość aspektów życia społeczeństwa przenosi się do sieci internetowej. Nie tylko my w codziennym życiu aktywnie korzystamy z Internetu. Aktualnie większość zadań administracji państwowej, w tym także zadań odpowiadających za sprawne funkcjonowanie państwa i jego obywateli, odbywa się z wykorzystaniem sieci.
Choć powszechną cyfryzację słusznie postrzegamy przede wszystkim jako efekt postępu cywilizacyjnego pamiętajmy jednak, że wraz z rozwojem cyfryzacji wykształciły się nowe – nieznane dotychczas - formy przestępstw. Dokonywane w sieci bądź za jej pomocą cyberprzestępstwa (np. cyberterroryzm) stanowią realne zagrożenia dla społeczeństwa i są zarazem wyzwaniem dla organów każdego państwa. Uruchommy na chwilę wyobraźnię: przypuśćmy, że w wyniku cyberataku stają wszystkie elektrownie zapewniające obywatelom energię elektryczną, bądź skasowana zostaje baza danych pacjentów w Narodowym Funduszu Zdrowia, wskutek czego nie wiadomo komu przysługują jakie świadczenia (czy w ogóle jakieś przysługują?). Przemówi do nas zapewne także przykład w postaci ataku na system informatyczny danej instytucji bankowej, a nawet większości banków, gdy utracone zostają wszelkie dane o klientach, nie ma możliwości rejestrowania płatności, nie działają bankomaty a karty płatnicze stają się bezwartościowym kawałkiem plastiku.
Powyższe scenariusze jawią się nam bez wątpienia jako apokalipsa, dlatego też organy Unii Europejskiej nakazały Państwom Członkowskim wdrożenie mechanizmów mających zapobiegać tego typu zdarzeniem (zwanym fachowo „incydentami”). Odbywa się to przede wszystkim poprzez uchwalenie przepisów implementujących europejską dyrektywę NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.), która wprowadza szczególne środki na rzecz zwiększenia poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej. W tym celu w Polsce w dniu 28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa.
System ten oparty jest na współdziałaniu odpowiednich podmiotów, do których zaliczamy operatorów usług kluczowych (OUK) czy dostawców usług cyfrowych (DUC), oraz szereg innych podmiotów wskazanych w art. 4 ustawy (np. odpowiednie Zespoły Reagowania na Incydenty Bezpieczeństwa komputerowego działające na poziomie krajowym przy Szefie ABW, Ministrze Obrony Narodowej, które określa się skrótem CSIRT - ang. Computer Security Incident Response Team).
Kim są operatorzy usług kluczowych?
Zgodnie z ustawa to podmioty, które posiadają jednostkę organizacyjną w Polsce i zarazem świadczą tzw. usługę kluczową (czyli usługę mającą kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej) a ponadto świadczenie tej usługi zależy od systemów informacyjnych, zaś incydent mający negatywny wpływ na cyberbezpieczeństwo mógłby zakłócić świadczenie tej usługi (np. doprowadziłby do przerwania ciągłości w jej świadczeniu). Obszerny katalog (Rozporządzenie liczy 64 strony – sic!) takich usług wymieniony jest w Rozporządzeniu RM z dnia 21 września 2018 r. Dokonując pewnej syntezy, chodzi o usługi polegające m.in na:
- wydobywaniu gazu ziemnego, ropy naftowej, różnych rodzajów węgla, wytwarzaniu energii elektrycznej,
- pasażerskim i towarowym transporcie lotniczym, kolejowym oraz morskim,
- usługach bankowych, ochronie zdrowia, czyli udzielaniu świadczeń zdrowotnych przez podmioty lecznicze, produkcji, obrocie i dystrybucji produktów leczniczych,
- zaopatrzeniu w wodę pitną i jej dystrybucji, czyli ujmowaniu, uzdatnianiu i dostarczeniu, odprowadzeniu ścieków, - infrastrukturze cyfrowej.
Świadczenie przez podmiot jednej z powyższych usług nie oznacza, że z mocy samego prawa nabywa on status OUK. Przeciwnie, aby uznać usługodawcę za OUK niezbędne jest wydanie decyzji przez organ właściwy do spraw cyberbezpieczeństwa w oparciu o wskazane przez mnie powyżej przesłanki. W zależności od charakteru usługi – będzie to odpowiedni minister (np. ds. energii, ds. transportu, ds. zdrowia, gospodarki morskiej i żeglugi śródlądowej itp., w przypadku banków będzie to jednak Komisja Nadzoru Finansowego). Zgodnie z przepisem ustawy, odpowiednie organy mają czas na wydanie decyzji o nadaniu podmiotom statusu OUK do dnia 9 listopada 2018 r.
Uzyskanie wskutek wydania decyzji statusu OUK nakłada na podmiot - pod rygorem nałożenia wysokich kar - szereg istotnych obowiązków związanych z utrzymaniem cyberbezpieczeństwa, monitorowanie ryzyka wystąpienia incydentu, wdrożenie odpowiednich procedur mających zapobiec incydentom itp. (szerzej na ten temat zob. artykuł adw. P. Stankiewicza, pt. Czy moja firma jest operatorem usług kluczowych? Jakie obowiązki nakłada na przedsiębiorców ustawa o cyberbezpieczeństwie?).
Pozostaje zatem do omówienia kwestia odwołania się od decyzji ministra o przyznaniu statusu OUK. W opisywanym przypadku mamy do czynienia z sytuacją dość nietypową, gdyż minister (wydający taką decyzję jako organ I instancji), jest podmiotem usytuowanym na najwyższym szczeblu hierarchii administracji państwowej. Ma to swoje dość istotne konsekwencje prawne, bowiem decyzje ministra są zasadniczo ostateczne. Co należy zatem uczynić? Zgodnie z art. 127 § 3 Kodeksu postępowania administracyjnego od decyzji wydanej w pierwszej instancji przez ministra nie służy odwołanie, jednakże strona niezadowolona z decyzji może zwrócić się do ministra z wnioskiem o ponowne rozpatrzenie sprawy w terminie czternastu dni od doręczenia jej decyzji (termin zaczyna bieg dnia następnego po dniu doręczenia decyzji). W praktyce oznacza to, że sprawy nie rozpozna organ wyższego rzędu, jak ma to miejsce w przypadku klasycznego odwołania, tylko na żądanie strony minister jeszcze raz rozważy sprawę. Jeśli minister, po ponownym rozpatrzeniu sprawy, podtrzyma swoją decyzję o nadaniu statusu OUK - podmiotowi, który kwestionuje jej zasadność - przysługuje prawo do wniesienia skargi do właściwego Wojewódzkiego Sądu Administracyjnego. Trzeba jednak pamiętać o tym, że aby móc skorzystać z prawa do skargi, należy uprzednio wyczerpać wszystkie możliwości zaskarżenia decyzji, czyli przed wniesieniem skargi do sądu trzeba wcześniej żądać od ministra ponownego rozpoznania sprawy.
Więcej o nowych obowiązkach wynikających z ustawy i terminach ich wdrożenia dowiedzą się Państwo na naszym szkoleniu: link
Zapraszam - dr Anna Franusz, Kancelaria Adwokacka Wachowski https://blog.wachowskilaw.com/
