Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) zawiera przepisy, które mogą wydawać się niezgodne z rolą przypisaną Narodowemu Banku Polskiemu (NBP) w przepisach konstytucji i ustawy o NBP, w szczególności w zakresie niezależności banku centralnego, podał NBP w opinii do projektu noweli.
“Na wstępie uprzejmie informujemy, iż co do zasady Narodowy Bank Polski przyjmuje z aprobatą propozycje zmian w projekcie ustawy, w szczególności dotyczące utworzenia podmiotów mających zapewnić dostęp oraz wymiany eksperckiej dotyczącej cyberzagrożeń. Niemniej jednak zwracamy uwagę, że w projekcie ustawy pomimo braku bezpośrednich odwołań do Narodowego Banku Polskiego, propozycje niektórych przepisów mogą wydawać się niezgodne z rolą przypisaną NBP w przepisach konstytucji RP i ustawy z dnia 29 sierpnia 1997 r. o Narodowym Banku Polskim w zakresie wartości fundamentalnych z punktu widzenia podstaw funkcjonowania banku centralnego w Polsce, w szczególności jego niezależności” – czytamy w opinii opublikowanej na stronach Rządowego Centrum Legislacji.
Zastrzeżenia NBP dotyczą propozycji przepisów, wedle których pełnomocnik rządu ds. cyberbezpieczeństwa uzyskałby kompetencje do wydawania ostrzeżeń i poleceń zabezpieczających w odniesieniu do podmiotów, o których mowa w art. 4 pkt 1-16 ustawy o KSC.
“Narodowy Bank Polski, jako jeden z podmiotów tworzących krajowy system cyberbezpieczeństwa (vide art. 4 pkt 9 ustawy o KSC), może być zatem adresatem tego rodzaju działań pełnomocnika” – podkreślono w stanowisku.
Z punktu widzenia NBP, wątpliwości budzi także projektowany art. 73 ust. 2a, który przewiduje nałożenie administracyjnej kary pieniężnej na podmiot krajowego systemu cyberbezpieczeństwa, który nie dostosował się do obowiązków określonych w art. 66b ustawy o KSC – chodzi tam m.in. o to, że “w przypadku sporządzenia oceny ryzyka określającej wysokie ryzyko dostawcy sprzętu lub oprogramowania podmioty krajowego systemu cyberbezpieczeństwa: 1) nie wprowadzają do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania; 2) wycofują z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie”.
“Do kręgu podmiotów objętych sankcjami zalicza się także Narodowy Bank Polski, na który – w myśl aktualnie projektowanego art. 74 ust. 1a pkt 1 – może zostać nałożona kara pieniężna przez organ nadzorujący. Ze względu na konstytucyjny status Narodowego Banku Polskiego, a także obowiązujące rozwiązania w ustawie o KSC, brak jest organu sprawującego nadzór na NBP, co oznacza, że przytoczone powyżej przepisy odnoszące się do możliwości nakładania administracyjnej kary pieniężnej na NBP nie będą miały zastosowania. Zasadnym jest zatem wyłączenie NBP z zakresu podmiotowego omawianych przepisów, tj. projektowanego art. 73 ust. 2a oraz art. 74 ust 1a pkt 1”- czytamy dalej.
NBP zwraca ponadto uwagę, że jest operatorem systemów płatności “o kluczowym znaczeniu dla stabilności całego systemu finansowego w Polsce” – tj. SORBNET2 i TARGET2-NBP.
“Potencjalne zakłócenie funkcjonowania tych systemów może nieść za sobą skutki w postaci zaburzeń transmisji pieniądza w skali całego kraju. Dlatego też, w ocenie NBP, powierzanie pełnomocnikowi rządu ds. cyberbezpieczeństwa kompetencji umożliwiających ingerowanie w systemy IT będące komponentem infrastruktury płatniczej, której operatorem jest bank centralny, nie znajduje uzasadnienia” – stwierdzono także.
W związku ze swoimi zastrzeżeniami, NBP proponuje wprowadzenie w projekcie ustawy zmian, które załączył do swojej opinii.