Podkomisja stała do spraw funkcjonowania zarządzania kryzysowego /nr 18/ (16-04-2026)

Podkomisja stała do spraw funkcjonowania zarządzania kryzysowego, obradująca pod przewodnictwem posła Konrada Frysztaka (KO), przewodniczącego podkomisji, rozpatrzyła:

– rządowy projekt ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (druk nr 2355) – kontynuacja.

W posiedzeniu udział wzięli: Wiesław Szczepański sekretarz stanu w Ministerstwie Spraw Wewnętrznych i Administracji wraz ze współpracownikami, Izabela Walczak naczelnik wydziału w Departamencie Bezpieczeństwa Ministerstwa Klimatu i Środowiska wraz ze współpracownikiem, Michał Staśkiewicz główny specjalista w wydziale Departamentu Strategii i Planowania Operacyjnego Ministerstwa Obrony Narodowej, Zbigniew Muszyński dyrektor Rządowego Centrum Bezpieczeństwa wraz ze współpracownikami, Anna Sławińska główny specjalista w Departamencie Bezpieczeństwa i Ochrony Informacji Urzędu Komisji Nadzoru Finansowego, Paulina Kudaruk radca prawny w Rządowej Agencji Rezerw Strategicznych, płk Krzysztof Kozakiewicz radca prawny w Zarządzie Planowania Operacyjnego – P3 Sztabu Generalnego Wojska Polskiego, płk Adam Stacherczak zastępca dyrektora Wojskowego Biura Zarządzania Częstotliwościami, Krzysztof Serafin zastępca dyrektora Departamentu Bezpieczeństwa Narodowego Banku Polskiego wraz ze współpracownikami, Magdalena Malinowska-Wójcicka ekspert ds. legislacji Pracodawców RP wraz ze współpracownikiem oraz Monika Miłowska przewodnicząca Sieci Mapuj Pomoc wraz ze współpracownikiem.

W posiedzeniu udział wzięli pracownicy Kancelarii Sejmu: Igor Amarowicz i Gabriela Borowa – z sekretariatu Komisji w Biurze Komisji Sejmowych; Jakub Bennewicz, Tomasz Czech, Natalia Grabowska i Karina Parśniak – legislatorzy z Biura Legislacyjnego.

Przewodniczący poseł Konrad Frysztak (KO):

Dzień dobry. Witam państwa bardzo serdecznie.

Otwieram posiedzenie podkomisji stałej do spraw funkcjonowania zarządzania kryzysowego z porządkiem dziennym, który został państwu dostarczony, a dotyczy rozpatrzenia rządowego projektu ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw, druk nr 2355 – kontynuacja.

Witam serdecznie pana ministra, sekretarza stanu w Ministerstwie Spraw Wewnętrznych i Administracji Wiesława Szczepańskiego, dzień dobry, panie ministrze; witam dyrektora Rządowego Centrum Bezpieczeństwa, pana Zbigniewa Muszyńskiego; witam również zastępcę dyrektora RCB, pana Mariusza Marchlewicza; witam stronę społeczną, przedstawicieli Sztabu Generalnego, Ministerstwa Spraw Wewnętrznych i Administracji, Narodowego Banku Polskiego – wszystkich państwa, którzy dzisiaj zaszczycili nas swoją obecnością, witam serdecznie.

Szanowni państwo, wznawiam rozpatrzenie ustawy i przypomnę, iż jesteśmy na stronie 19. w zmianie nr 7, jeżeli mnie pamięć nie myli. Jeszcze tego nie zapomniałem… Moment, muszę najpierw sobie sprawdzić, upewnić się, iż jesteśmy w zmianie nr 7. Jesteśmy w zmianie nr 7, art. 6p.

Czy są uwagi do tego artykułu? Biuro Legislacyjne, bardzo proszę.

Legislator Karina Parśniak:

Dzień dobry, Biuro Legislacyjne, Karina Parśniak.

Art. 6p otwiera rozdział 4. Infrastruktura krytyczna. Mamy tutaj taką ogólną uwagę dotyczącą podziału tej ustawy na rozdziały. Mianowicie w tym rozdziale 4. zawarte są w zasadzie tylko 2 przepisy, które spokojnie mogłyby być połączone w następny rozdział. Nasza uwaga jest taka, iż trochę w naszej ocenie te rozdziały zostały wyodrębnione w sposób sztuczny i mogłyby być ograniczone do mniejszej ilości. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są inne uwagi? Nie widzę. Mamy poprawkę do tego artykułu. Bardzo proszę, pani przewodnicząca Nowogórska.

Poseł Urszula Nowogórska (PSL–TD):

Dziękuję za pomoc, panie przewodniczący.

Szanowny panie przewodniczący, Wysoka Podkomisjo, chciałam zaproponować poprawkę do art. 6p: W pkt 1 skreślić wyrazy „oraz wyznaczanie”.

Jako uzasadnienie podaję powód, iż nadmiarowe sformułowanie „wyznaczanie”, które de facto zawiera się w czynnościach związanych z procesami identyfikacji infrastruktury krytycznej, jest oczywiste dla mnie. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej?

Sekretarz stanu w Ministerstwie Spraw Wewnętrznych i Administracji Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Zatem, szanowni państwo, czy jest sprzeciw do poprawki? Nie słyszę. Wszyscy, nawiasem mówiąc, posłowie podpisali się pod tą poprawką, więc jest ona jednomyślna. A zatem stwierdzam, iż zmiana nr 7, art. 6p z poprawką został rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6r. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Art. 6q, tak?

Przewodniczący poseł Konrad Frysztak (KO):

Oczywiście art. 6p… 6q, tak.

Legislator Jakub Bennewicz:

Jeśli chodzi o art. 6q, to dwie kwestie.

Po pierwsze, zgodnie z ust. 1, mówimy o tym, jakie organy będą adekwatne w sprawie identyfikacji infrastruktury krytycznej. Jest to jedno z zadań wymienionych w poprzednim art. 6p, więc nasza wątpliwość dotyczy tego, czy będzie jasne, kto odpowiada za pozostałe zadania wymienione w art. 6p. To jest jakby uwaga powiązana z poprzednim artykułem, ale dotyczy to art. 6q, dlatego iż w art. 6q wymieniamy organy, które zajmują się tylko jednym z tych zadań z art. 6p. To jest pierwsza kwestia.

Druga kwestia dotyczy ust. 3 pkt 3 lit. a. Tam mówimy o dobrych praktykach, czyli jednym z zadań wymienionych w tym przepisie będzie udzielanie wsparcia merytorycznego operatorom infrastruktury krytycznej w zakresie wdrażania dobrych praktyk. W naszej ocenie z żadnego przepisu merytorycznego nie wynika, czym są te dobre praktyki, kto je opracowuje, w jakim trybie, gdzie są dostępne. Nic więcej na temat tych dobrych praktyk nie wiemy. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Strona rządowa, pan minister.

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pan mecenas, poproszę.

Doradca ds. obsługi legislacyjnej Rządowego Centrum Bezpieczeństwa Robert Tyszkiewicz:

Dzień dobry, witam, Robert Tyszkiewicz, Rządowe Centrum Bezpieczeństwa.

Jeżeli chodzi o konstrukcję art. 6p, oczywiście tutaj są wskazane generalnie zadania, które dotyczą infrastruktury krytycznej. Natomiast art. 6q doprecyzowuje w pewien sposób katalog organów, które będą zajmowały się konkretnie w tym przypadku identyfikacją ochrony infrastruktury krytycznej, a następnie wszystkimi czynnościami związanymi ze wsparciem, chociażby merytorycznym, operatorów infrastruktury krytycznej, których sobie wyznaczą. Wydaje mi się, iż jest to konstrukcja poprawna. Natomiast rzeczywiście my tutaj w wielu miejscach na początku rozdziału dorzucamy taki przepis, który bardzo ogólnie charakteryzuje w pewien sposób, co dalej się dzieje w poszczególnych rozdziałach. Ale jest to też jakby wpasowanie się w starą jakby treść ustawy, która obowiązuje już jednak ładnych parę lat i też próbowaliśmy jakoś specjalnie językowo nie wychodzić. Oczywiście, gdybyśmy pisali pewnie taką ustawę od nowa, napisalibyśmy to troszeczkę inaczej, pewnie tak jak państwo też sugerujecie w niektórych miejscach. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję, panie mecenasie.

Czy Biuro Legislacyjne ma jakieś uwagi dodatkowe… Nie ma. Dzięki. Zatem jest poprawka, bardzo proszę, pan przewodniczący Lachowicz.

Poseł Piotr Lachowicz (KO):

Poprawka: W art. 6q w ust. 1 skreślić wyrazy „oraz współpracy z operatorami infrastruktury krytycznej”.

Jeśli chodzi o uzasadnienie, to chodzi o doprecyzowanie treści przepisu polegające na usunięciu zbędnego sformułowania w art. 6q ust. 1. Regulację określającą współpracę między podmiotami administracji rządowej a operatorami infrastruktury krytycznej zawarto w ust. 3 samej jednostki redakcyjnej art. 6q.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej? Pozytywne, jak rozumiem. Bardzo dziękuję.

W związku z tym, czy jest zdanie przeciwne do poprawki? Nie widzę. Stwierdzam, iż poprawka została przyjęta, a co za tym idzie, zmiana nr 7, art. 6q z poprawką został rozpatrzony.

Przystępujemy do zmiany nr 7, art. 6r. Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Dziękuję. Tutaj kilka kwestii, szanowni państwo.

Po pierwsze, jeżeli chodzi o ust. 4, to takie pytanie, gdyż z przepisu wynika, iż obiekt, urządzenie, instalacja itd. zostają wpisane do wykazu infrastruktury krytycznej. Czy będzie to jasne, jak to się odbywa? Czy to się dzieje automatycznie? Czy ktoś wpisuje fizycznie te obiekty do wykazu? jeżeli tak, to czy będzie jasne, iż dzieje się to na podstawie art. 6s? Bo w naszej ocenie to nie jest takie jednoznaczne. To jest pierwsza sprawa.

A druga rzecz, jeżeli chodzi o ten przepis, to mowa jest o tym, iż zadzieje się to wtedy, gdy spełniają kryteria, o których mowa w przepisach wydanych na podstawie ust. 5. Nasze pytanie brzmi, czy to mają być wszystkie te kryteria jednocześnie, dlatego iż w innych przepisach – art. 6t, 6u, 6v – mówimy mniej więcej o tym samym, ale te kryteria są jednak wybiórcze. To nie są zawsze wszystkie kryteria, tylko są różne kryteria w zależności od tego, kto składa wniosek. Pytanie, czy to jest jakieś przeoczenie, czy tutaj celowo mają być spełniane wszystkie te kryteria?

Jeszcze, szanowni państwo, kolejna rzecz, ale będziemy mieli jeszcze jakieś uwagi do poprawek, które będą tutaj składane. Oddaję głos koleżance.

Legislator Karina Parśniak:

Celem uzupełnienia jeszcze chcieliśmy zwrócić uwagę na art. 6r ust. 5.

Dotyczy on upoważnienia ustawowego dla Rady Ministrów do określenia w drodze uchwały kryteriów pozwalających identyfikować dany obiekt za infrastrukturę krytyczną. W części wspólnej tego upoważnienia jest mowa o zaspokajaniu potrzeb obywateli, w tym potrzeb o charakterze lokalnym. Przy czym w zakresie pkt 1 tego upoważnienia odniesiono się wyłącznie do zaspokajania potrzeb obywateli. jeżeli chodzi o pkt 2 lit. f, to tutaj chcielibyśmy poprosić o wyjaśnienia, co oznacza sformułowanie „akceptowalny czas”. To są: „kryteria unikatowości – oceniane w odniesieniu do braku możliwości zastąpienia lub odtworzenia w akceptowalnym czasie”. W jaki sposób możemy rozumieć to pojęcie? Dziękuję bardzo.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Pan minister wskazał osobę – pan mecenas, bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

To ja może zacznę, później przekażę jeszcze głos kolegom z infrastruktury krytycznej.

W dużym skrócie, jeżeli chodzi o art. 6r ust. 2, mówi on o tym, jakie elementy zawiera wykaz infrastruktury krytycznej. Wpisy są dokonywane na wniosek ministrów kierujących działami administracji rządowej, wojewodów czy też Komisji Nadzoru Finansowego. Takie są przynajmniej projektowane tutaj regulacje. Później tam jest przepis mówiący o tym, który dyrektor tak na dobrą sprawę wpisuje to na wniosek. Elementy wykazu są wskazane. Natomiast następne przepisy, które mówią o różnego rodzaju konfiguracji kryteriów, dotyczą m.in. tego, iż w przypadku ministrów kierujących działami administracji rządowej stosuje się przynajmniej kryterium sektorowe i kryterium przekrojowe. Na przykład już w przypadku wojewodów stosuje się tylko i wyłącznie kryteria przekrojowe. Też jest zróżnicowanie, o ile chodzi o kryteria sektorowe. Rzeczywiście lokalne społeczności są ujęte w kryteriach przekrojowych, gdyż będą to kryteria, które będą wykorzystywane przez wojewodów. Co do założenia, ta regulacja ma dotyczyć lokalnych społeczności przy wyznaczaniu infrastruktury krytycznej przez wojewodów. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Ktoś miał jeszcze zabrać głos po panu mecenasie.

Bardzo proszę, do protokołu jakby był pan tak miły, gdyby się przedstawił.

Szef Wydziału Ochrony Infrastruktury Krytycznej Rządowego Centrum Bezpieczeństwa Jarosław Pudzianowski:

Jarosław Pudzianowski, Rządowe Centrum Bezpieczeństwa.

W przypadku potrzeb lokalnych tutaj zostało to omówione. Natomiast o ile chodzi o to zaspokajanie i odtwarzanie w zadowalającym czasie – kryterium skutkowe, czy inaczej przekrojowe, wskazuje akceptowalny czas niedostępności usługi, czyli de facto inny czas będzie odtworzenia, naprawy rurociągu, inny czas będzie odtworzenia specjalistycznej turbiny w elektrowni. To musi być ustanowione na zasadzie kontekstu organizacyjnego, który ma podmiot będący operatorem infrastruktury krytycznej. Stąd jak gdyby zróżnicowanie tych czasów jest uzależnione od czasu przywrócenia do stanu przed awarią, uszkodzeniem. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Nie widzę innych zgłoszeń. Zatem pytanie, czy są poprawki? Jest poprawka. OK, to ja ją zgłaszam.

Poprawka do art. 1 pkt 7 – w odniesieniu do poniższych poprawek należy wprowadzić ich konsekwencje w odpowiednich innych przepisach projektu. Taka dygresja. Jesteśmy przygotowani niestety tak jak ostatnio, więc w sumie tych poprawek do art. 6r będę zgłaszać 7. Później wszystkie osobno będziemy akceptować.

Poprawka nr 1: W art. 6r w ust. 2 w pkt 2 wyrazy „w tym” zastąpić wyrazami „obejmujące”.

Poprawka nr 2: W art. 6r ust. 3 otrzymuje brzmienie: „3. Wykaz infrastruktury krytycznej prowadzony jest w postaci papierowej lub elektronicznej. Wykaz jest dokumentem niejawnym”.

Poprawka nr 3: W art. 6r w ust. 5 we wprowadzeniu do wyliczenia wyrazy „w tym” zastąpić wyrazem „obejmujące”.

Poprawka nr 4: W art. 6r w ust. 5 w pkt 2 w lit. c wyrazy „świadczenia jakości” zastąpić wyrazami „jakości świadczenia”.

Poprawka nr 5: W art. 6r w ust. 5 w pkt 2 w lit. d po wyrazie „utraty” dodać wyrazy „dostępu do”.

Poprawka nr 6: W art. 6r w ust. 5 w części wspólnej do aktu wykonawczego wyraz „przedsiębiorców” zastąpić wyrazem „przedsiębiorstw”.

I poprawka nr 7: W art. 6r ust. 6 nadać brzmienie: „6. Uchwała, o której mowa w ust. 5, jest dokumentem niejawnym”.

Uzasadnienie: Poprawki mające charakter doprecyzowujący treści przepisów, m.in. zapewniają elastyczny i tym samym praktyczny sposób prowadzenia wykazu infrastruktury krytycznej. Wykaz może być prowadzony zarówno w postaci papierowej, jak i w postaci elektronicznej. Propozycja przepisu pozwala na równoczesne prowadzenie wykazu w obu postaciach. Jednocześnie propozycje wskazują na niejawny charakter prowadzonego wykazu.

Szanowni państwo, stanowisko strony rządowej do poprawek? Do wszystkich pozytywne. Bardzo dziękuję.

Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Mamy tylko wątpliwość odnoszącą się do poprawki nr 2.

Ona co prawda zmierza oczywiście w dobrym kierunku w stosunku do tego, co jest w projekcie, natomiast nasza wątpliwość dotyczy tego sformułowania, iż „wykaz jest dokumentem niejawnym”. Potem tego typu poprawka pojawi się jeszcze w wielu miejscach w projekcie i będzie dotyczyła różnych dokumentów. W naszej ocenie problem polega na tym, iż zgodnie z ustawą o ochronie informacji niejawnych, tam nie ma takiego pojęcia jak „dokument niejawny”. Jest definicja dokumentu w ustawie, która mówi o tym, iż dokumentem jest każda utrwalona informacja niejawna. Więc pytanie brzmi, czy to wykaz jest dokumentem niejawnym, czy raczej wykaz zawiera informacje niejawne? To jest jakby pierwsza rzecz.

Druga rzecz jest taka, czy będzie jasne, jaka to ma być klauzula niejawności? Dlatego iż znowuż zgodnie z ustawą o ochronie informacji niejawnych, każdorazowo wytwórca powinien nadawać jakąś klauzulę. Czy takie sformułowanie, iż cały wykaz jest dokumentem niejawnym, potem też uchwała w ust. 6 tego artykułu ma być również dokumentem niejawnym, będzie wystarczające i czy to jest adekwatne?

Przewodniczący poseł Konrad Frysztak (KO):

Panie mecenasie, jesteśmy w stanie dokonać autokorekty, ale prosimy tutaj o wsparcie merytoryczne.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Szanowni państwo, o ile chodzi o dokumenty niejawne, my stosowaliśmy zawsze tę terminologię z dokumentem niejawnym. Oczywiście wcześniej regulacje, które mówiły o tym, iż do dokumentu stosuje się przepisy ustawy o ochronie informacji niejawnych, niczego nie wnosiły, stwierdzając, iż ten dokument może być niejawny; można stosować do tego przepisy o ochronie informacji niejawnych. Chcemy, żeby te zapisy były czytelne i wprost wskazywały na to, iż wykaz jest dokumentem niejawnym. Jest to zrozumiałe w potocznym słowa znaczeniu. Również można przez takie sformułowanie, konstrukcję rozumieć, iż podlega ustawie o ochronie informacji niejawnych. Zarówno uchwała Rady Ministrów, która jest, można powiedzieć, takim filarem wyłaniania infrastruktury krytycznej, posiada szereg zagregowanych, bardzo wrażliwych danych, których w jakikolwiek sposób ujawnienie zagrażałoby z pewnością w jakiś tam sposób bezpieczeństwu państwa. Do tego wykaz, który jest na bardzo wysokiej klauzuli – zdaje się, iż na tajnym – więc też agregacja tych wszystkich danych w jednym miejscu wymaga wskazania prostej formuły: „Wykaz jest dokumentem niejawnym”. Jaka będzie dana klauzula? Taka, jaką nada wykonawca, zgodnie z ustawą o ochronie informacji niejawnych. Więcej chyba nic nie powiem. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Chyba na gorąco niczego nie wymyślimy, więc o ile państwo na Komisję, powiedzmy, będą w stanie zaproponować jakieś inne rozwiązanie, to proszę bardzo. Jak nie, to trudno. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

To Senat ewentualnie.

Dobrze, zostawiamy zatem w ten sposób. Mamy opinię pozytywną rządu. Zatem wracając do praktyki przyjętej z poniedziałkowego posiedzenia, siedem razy muszę zapytać, czy ktoś jest przeciw poprawce… Inaczej, czy są uwagi do poprawki nr 1?

Biuro Legislacyjne, bardzo proszę.

Legislator Karina Parśniak:

Panie przewodniczący, można łącznie te siedem poprawek do art. 6r. Łącznie będzie chyba sprawniej.

Przewodniczący poseł Konrad Frysztak (KO):

Jeśli jest taka podpowiedź ze strony Biura Legislacyjnego, to na pewno pójdzie nam łatwiej niż w poniedziałek. Przewodniczący mniej się zmęczy.

Zatem czy do wszystkich siedmiu poprawek do art. 6r są uwagi? Nie widzę.

Stwierdzam zatem, iż poprawki zostały przyjęte, a zmiana nr 7, art. 6r z poprawkami rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6s. Biuro Legislacyjne? Nie.

Bardzo proszę o przedstawienie się do protokołu. Zakładam, iż tutaj będzie kilka zgłoszeń. Jest na pewno z Narodowego Banku Polskiego. Bardzo proszę.

Zastępca dyrektora Departamentu Bezpieczeństwa Narodowego Banku Polskiego Krzysztof Serafin:

Krzysztof Serafin, Narodowy Bank Polski, zastępca dyrektora Departamentu Bezpieczeństwa.

Panie przewodniczący, chcielibyśmy do art. 6s ust. 1 zgłosić poprawkę i…

Przewodniczący poseł Konrad Frysztak (KO):

Przepraszamy, tutaj ze stroną rządową mamy niepewność, który przeczytałem artykuł, ale jesteśmy zgodni, iż to art. 6s.

Zastępca dyrektora departamentu NBP Krzysztof Serafin:

Art. 6s, tak.

Chciałem dopisać prezesa NBP po pkt 3 jako pkt 4 w brzmieniu: „4) prezes Narodowego Banku Polskiego w odniesieniu do infrastruktury krytycznej będącej własnością lub w posiadaniu Narodowego Banku Polskiego”.

Poprawka ta wynika z tego, gdybyście państwo ją zgłosili, iż po prostu analizując cały dokument, tę zmianę, niestety pomija się bank centralny w tym dokumencie. W związku z tym przy robieniu aktualizacji wykazów obiektów infrastruktury krytycznej nie będzie nikogo, kto zgłosi bank centralny do tego wykazu. Nie możemy liczyć, iż ktoś będzie pamiętał o banku centralnym, typu RCB czy wojewoda, czy minister, a poza tym będzie to nie za bardzo zgodne z przepisami prawa międzynarodowego. Jesteśmy jednostką niezależną, organem konstytucyjnym. W związku z tym nikt nie może nas jakby w ten sposób zgłaszać. Tylko prezes NBP może obiekty zgłosić do infrastruktury krytycznej, a infrastruktura krytyczna to jest system bezpieczeństwa państwa. Państwo sobie doskonale zdajecie sprawę, iż o ile nie będzie paliwa dla NBP, to niestety staną rachunki w tym kraju i stanie gotówka. W związku z tym również pensje i diety poselskie nie będą wypłacane. Apeluję jednak, żeby uwzględnić pana prezesa NBP i zgłosić taką poprawkę w tym miejscu.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Jestem gotów uwzględnić NBP z funkcją ewentualnie prezesa, który będzie miał prawo zgłoszenia, a nie uwzględnić prezesa, ale to myślę, iż to tylko…

Zastępca dyrektora departamentu NBP Krzysztof Serafin:

Mówię o instytucji.

Przewodniczący poseł Konrad Frysztak (KO):

Jasne, ja też oczywiście wyłącznie. jeżeli będzie stanowisko strony rządowej pozytywne, to myślę, iż to rozwiązanie znajdziemy.

Kto z państwa? Pan mecenas wskazany przez pana dyrektora i pana ministra. Bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Oczywiście tak – w odniesieniu do uwagi NBP oczywiście w żaden sposób tutaj nie kwestionujemy przedłożonej propozycji. Natomiast tutaj, jak pan wspomniał, rzeczywiście na etapie prac rządowych NBP, można powiedzieć, przewijał się w tej ustawie. Ale jednak, biorąc pod uwagę art. 227 konstytucji i pewną ustrojową rolę banku centralnego, był właśnie problem z tym, aby określić podmiot – na przykład ministra – który z ministrów mógłby w jakikolwiek sposób wyznaczać bądź współpracować, w jaki sposób ingerować w niezależność, powiedzmy, NBP. Więc co do państwa propozycji, co do zasady jesteśmy na tak. Natomiast jeszcze pytanie, bo oczywiście samo wpisanie prezesa NBP do tego proponowanego przez państwa punktu to jest jedna rzecz. Pytanie tylko, czy ewentualnie nie trzeba byłoby jeszcze wprowadzić jakichś rozwiązań kompleksowych w zakresie, które kryteria stosujemy przy wyłanianiu obiektów własnych de facto? Chyba iż zastosować przepis wprost, ale tutaj już nie wiem, czy to nie byłby pewien wyłom, o ile chodzi o stosowanie kryteriów, więc pewnie trzeba byłoby jeszcze w tym zakresie przepisy sprawdzić. Podobnie też mieliśmy kiedyś dyskusję bardzo dawno temu, zmierzającą do tego, iż NBP mógłby wyróżnić status podmiotu krytycznego. Ale przy okazji – choćby to w ustawie też przez chwilę na pewnym etapie prac rządowych było – też była kwestia ustalenia, które z obowiązków na państwu mają ciążyć, a z których państwo chcecie się wyłączyć ze względu na państwa pozycję ustrojową. Więc mi się wydaje, iż dopiero jakaś kompleksowa regulacja, którą państwo byście przedstawili, jest możliwa do ujęcia w tej ustawie, żeby jakby zachować waszą niezależność.

Przewodniczący poseł Konrad Frysztak (KO):

Pan minister, bardzo proszę.

Sekretarz stanu w MSWiA Wiesław Szczepański:

Mam taką propozycję, bo my nie negujemy przyjęcia, ale gdybyśmy mogli to albo na sprawozdaniu Komisji, albo na drugim czytaniu. Wtedy, kiedy będziemy mieć kompletną propozycję rozwiązania przez pana prezesa, dlatego iż same wpisanie tylko tej instytucji nie załatwia sprawy, bo konsekwencją będą również inne zmiany, więc musielibyśmy mieć kompletną propozycję poprawki. Więc albo to zróbmy na sprawozdaniu, albo na drugim czytaniu, wtedy posłowie mogą to zgłosić.

Przewodniczący poseł Konrad Frysztak (KO):

Moja propozycja, szanowni państwo, ponieważ to nie wybrzmiało, ale dzisiaj tak jesteśmy umówieni ze stroną rządową i Biurem Legislacyjnym, iż do około 50. strony spróbujemy rozpatrywać projekt ustawy. Co za tym idzie, będziemy spotykać się jeszcze w ostatnim tygodniu kwietnia. Zatem rozpatrzenie sprawozdania z prac podkomisji odbędzie się nie wcześniej niż w maju. Wtedy jesteśmy gotowi na etapie rozpatrzenia sprawozdania podkomisji na Komisji wprowadzić kompleksową poprawkę dotyczącą NBP. Tutaj moja prośba, by przedstawiciele banku wraz z legislatorami z RCB spotkali się w uzgodnieniu z Biurem Legislacyjnym i przygotowali kompleksowe, oczekiwane przez państwa rozwiązania.

Ponieważ nie widzę poprawki na tym etapie, stwierdzam, iż nr 7, art. 6s został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6t. Biuro Legislacyjne, bardzo proszę.

Legislator Karina Parśniak:

Jeżeli chodzi o art. 6t, który dotyczy tak naprawdę identyfikacji poszczególnych obiektów przez ministra kierującego działem administracji rządowej, to tutaj chcieliśmy zwrócić uwagę przede wszystkim na ust. 2, zgodnie z którym identyfikacja prowadzona przez ministra kierującego działem administracji rządowej ma dotyczyć takich obiektów, które będą spełniały łącznie kryterium sektorowe oraz co najmniej jedno z kryteriów przekrojowych. Zarówno kryteria sektorowe, jak i kryteria przekrojowe mają być określone w akcie wykonawczym w rozporządzeniu Rady Ministrów. Przy czym zwracamy uwagę, iż z art. 6r, który rozpatrywaliśmy przed chwilą, wynika jednak, iż mają być spełnione wszystkie kryteria określone w akcie wykonawczym. W tym przepisie ogólnym nie ma żadnego zastrzeżenia, iż ich spełnienie zależy od tego, kto jest podmiotem identyfikującym. Ta sama uwaga będzie dotyczyła, od razu powiem, art. 6f i 6u, kiedy podmiotem identyfikującym jest wojewoda i kiedy podmiotem identyfikującym jest KNF.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej, bardzo proszę.

Doradca dyrektora Rządowego Centrum Bezpieczeństwa Witold Skomra:

Witold Skomra, Rządowe Centrum Bezpieczeństwa.

Szanowni państwo, to rozróżnienie polega na tym, iż kryterium dotyczy danego sektora i jest różne w każdym z sektorów, więc podmiot musi spełnić łącznie kryterium charakterystyczne dla danego sektora i jeszcze dodatkowo co najmniej jedno z kryteriów przekrojowych. Nie ma takiej praktyki, żeby obiekt miał spełniać kilka kryteriów sektorowych. Zawsze to jest jedno spośród kryteriów sektorowych charakterystyczne dla danego podmiotu. Natomiast rozpatruje się wszystkie kryteria przekrojowe, z których musi spełnić dowolne jedno.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Biuro Legislacyjne kontente…prawie.

Czy są poprawki? Jest pani przewodnicząca Nowogórska, bardzo proszę.

Poseł Urszula Nowogórska (PSL–TD):

Tak jest, panie przewodniczący. Chciałam zgłosić pięć poprawek do art. 1 pkt 7.

Poprawka nr 1: W art. 6t w ust. 3 wyraz „warunki” zastąpić wyrazami „odpowiednie kryteria, o których mowa w art. 6r ust. 5”.

Poprawka nr 2: W art. 6t w ust. 4 wyraz „podmiot” zastąpić wyrazami „właściciela lub posiadacza obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów oraz usług”.

Poprawka nr 3: W art. 6t w ust. 5 wprowadzeniu do wyliczenia nadać brzmienie: „Minister kierujący działem administracji rządowej składa dyrektorowi Centrum wniosek o wpis do wykazu infrastruktury krytycznej zawierający:”.

Poprawka nr 4: W art. 6t w ust. 5 w pkt 2 wyrazy „w tym” zastąpić wyrazem „obejmujące”.

I poprawka nr 5: W art. 6t w ust. 6 nadać brzmienie: „6. Wniosek sporządza się i składa w postaci papierowej. Wniosek jest dokumentem niejawnym”.

Jako uzasadnienie, oczywiście te poprawki mają charakter doprecyzowujący i w odniesieniu do poniższych poprawek również takie zmiany i poprawki należy wprowadzić w ich konsekwencjach w innych przepisach projektu. Bardzo dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są uwagi do poprawek? Nie widzę. Zatem stwierdzam, iż pięć poprawek do artykułu… Ale to pan minister już powiedział wcześniej, iż do wszystkich poprawek, więc przyjąłem, iż i do tej też. Tak, słuszna uwaga – stanowisko rządu pozytywne, więc nie ma uwag. Stwierdzam, iż pięć poprawek do zmiany nr 7, art. 6t zostało przyjętych, a zmiana nr 7, art. 6t z poprawkami został rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6u. Nie widzę. Stwierdzam, iż zmiana nr 7, art. 6u został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6v. Nie widzę… Bardzo proszę, Biuro Legislacyjne, oczywiście.

Legislator Tomasz Czech:

Tutaj akurat mamy taką wątpliwość, o ile chodzi o ust. 1.

Dlaczego państwo tutaj akurat wskazali, iż KNF coś robi w zakresie swojej adekwatności, podczas gdy w pozostałych przepisach jakby nie ma takiego wskazania? Czyli iż tutaj jest wyraźnie wskazane, iż tylko w zakresie swojej adekwatności, a w innych miejscach takiego dopisku nie ma. Czy to jest jakiś szczególny przepis akurat tutaj, iż to trzeba wskazać? Czy są jakieś wątpliwości? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Pan mecenas, bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Jeżeli chodzi o kwestie związane z tym, kto ma jakąś adekwatność, to jest oczywiście proste określenie, chociażby dla tego przypadku ministra kierującego działem administracji rządowej, ponieważ zarządza on tym danym działem; wojewody, ponieważ on ma swoje województwo, nazwijmy to tak kolokwialnie. Natomiast KNF oczywiście ma swoje regulacje zawarte w innych ustawach. Natomiast chcieliśmy tutaj podkreślić, iż jest to adekwatność KNF, która w żaden sposób nie będzie zazębiać się z adekwatnością ministra, chociażby, czy też innych organów. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są inne uwagi, poprawki? Nie widzę. Stwierdzam, iż zmiana nr 7, art. 6v został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6w. Czy są uwagi? Nie widzę. Stwierdzam, iż art. 6w, zmiana nr 7 został… Proszę się zgłaszać. Przepraszam, wracam.

Poseł Piotr Lachowicz (KO):

Mam uwagi, panie przewodniczący.

Przewodniczący poseł Konrad Frysztak (KO):

Uwagi i poprawki to to samo.

Bardzo proszę. Kto? Pan przewodniczący Lachowicz, bardzo proszę.

Poseł Piotr Lachowicz (KO):

W art. 1 pkt 7 poprawka nr 1: W art. 6w w ust. 1 wyrazy „z tym związanych” zastąpić wyrazami „wynikającymi z przepisów rozdziału 7”.

I poprawka nr 2: W art. 6w ust. 2 nadać brzmienie: „2. Informacje, o których mowa w ust. 1, dyrektor Centrum przekazuje niezwłocznie organowi składającemu wniosek o wpis do wykazu infrastruktury krytycznej”.

Poprawki mają charakter doprecyzowujący czynności związane z informowaniem właściciela lub posiadacza obiektu, urządzenia, instalacji, sieci, systemu oraz usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów oraz usług o dokonaniu wpisu do wykazu infrastruktury krytycznej.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Czy są uwagi do poprawek? Nie widzę. Zatem stwierdzam, iż obie poprawki zostały przez podkomisję przyjęte, a co za tym idzie, zmiana nr 7, art. 6w wraz z poprawkami został rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6x. Nie ma uwag, nie ma poprawek. Stwierdzam, iż zmiana nr 7, art. 6x został rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6y. Bardzo proszę, pan poseł Ściebiorowski.

Poseł Łukasz Ściebiorowski (KO):

Tu mam poprawki, chciałem zaproponować.

Poprawka nr 1: W art. 6y, w ust. 2 pkt 2 otrzymuje brzmienie: „2) dane inwestora realizującego obowiązki określone w art. 18 ust. 1 ustawy z dnia 7 lipca 1994 r. – Prawo budowlane (Dz. U. z 2025 r. poz. 418, 1080, 1535, 1673 i 1847), prowadzącego prace projektowe lub budowlane dotyczące potencjalnej infrastruktury krytycznej obejmujące siedzibę i adres oraz nr identyfikacji podatkowej (NIP), o ile został nadany, zwanego dalej inwestorem”.

Poprawka nr 2: W art. 6y ust. 3 otrzymuje brzmienie: „3. Wykaz potencjalnej infrastruktury krytycznej prowadzony jest w postaci papierowej lub elektronicznej. Wykaz jest dokumentem niejawnym”.

Poprawka nr 3: W art. 6y w ust. 4 wyrazy „które są” zastąpić wyrazem „będące” oraz wyrazy „gdy z założeń wynika” zastąpić wyrazami „gdy z dokumentacji budowy, o której mowa w art. 3 pkt 13 ustawy z dnia 7 lipca 1994 r. – Prawo budowlane, wynika”.

I tu też uzasadnienie – poprawki mają charakter doprecyzowujący przepisy w zakresie identyfikacji potencjalnej infrastruktury krytycznej. Bardzo proszę o przyjęcie.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko rządu?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Uwag nie ma. Czy zatem są uwagi do poprawek nr 1, 2 i 3 w art. 6y w zmianie nr 7? Nie widzę. Stwierdzam zatem, iż trzy poprawki zostały przyjęte, a zmiana nr 7, art. 6y z poprawkami rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6z. Czy są uwagi? Jest poprawka. Bardzo proszę, pani przewodnicząca.

Poseł Urszula Nowogórska (PSL–TD):

Panie przewodniczący, Wysoka Podkomisjo, składam poprawkę do art. 1 pkt 7.

Poprawka nr 1: Dotychczasową treść art. 6z oznaczyć jako ust. 1 i dodać ust. 2 w brzmieniu: „2. Dyrektor Centrum opracowuje wyciągi z wykazu potencjalnej infrastruktury krytycznej znajdującej się na terenie poszczególnych województw i przekazuje je adekwatnym wojewodom”.

Jako uzasadnienie tej poprawki podaję powód, iż dyrektor centrum opracowuje wyciągi z potencjału potencjalnej infrastruktury krytycznej znajdującej się na terenie danego województwa i przekazuje je adekwatnym wojewodom. Regulacja ta, analogicznie do przepisu dotyczącego infrastruktury krytycznej, zapewnia informacje wojewodom niezbędne do realizacji ich ustawowych zadań w odniesieniu do infrastruktury krytycznej. Bardzo dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko rządu?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Czy są uwagi do poprawki? Nie widzę. Stwierdzam zatem, iż poprawka została przyjęta, a zmiana nr 7, art. 6z z poprawką rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6za. Bardzo proszę, pan poseł Ściebiorowski.

Poseł Łukasz Ściebiorowski (KO):

Szanowna podkomisjo, też chciałbym przedstawić poprawki.

Poprawka nr 1: W art. 6za ust. 1–3 skreślić wyrazy „oraz inwestorem”.

Poprawka nr 2: W art. 6za ust. 2 zdaniu drugiemu nadać brzmienie: „Przepisy art. 6t, ust. 3–6 oraz art. 6u ust. 2 zdanie pierwsze stosuje się odpowiednio.”.

Poprawka nr 3: W art. 6za w ust. 3 zdaniu drugiemu nadać brzmienie: „Przepisy art. 6t, ust. 3–6 oraz art. 6v ust. 2 zdanie pierwsze stosuje się odpowiednio.”.

I tak samo, poprawki będą miały tu charakter doprecyzowujący. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Poproszę poprawkę. Stanowisko rządu?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Czy są uwagi do trzech poprawek do art. 6za? Nie widzę. Stwierdzam, iż poprawki zostały przyjęte, a zmiana nr 7, art. 6za z poprawkami rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zb. Nie ma? Pan przewodniczący Lachowicz, bardzo proszę.

Poseł Piotr Lachowicz (KO):

Poprawka nr 1: W art. 6zb w ust. 1 wyrazy „obowiązkach z tym związanych” zastąpić wyrazami „obowiązkach wskazanych w art. 6zc ust. 2”.

I poprawka nr 2: W art. 6zb ust. 2 nadać brzmienie: „2. Informacje, o których mowa w ust. 1, dyrektor Centrum przekazuje niezwłocznie organowi składającemu wniosek o wpis do wykazu potencjalnej infrastruktury krytycznej”.

Uzasadnienie: Poprawki mają charakter doprecyzowujący przepisy dotyczące wpisu do wykazu potencjalnej infrastruktury krytycznej.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko rządu?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Czy są uwagi do poprawek? Biuro Legislacyjne, bardzo proszę.

Legislator Tomasz Czech:

Jeżeli chodzi o tę poprawkę, to mam troszkę wątpliwości, czy będzie jasne, o jakich obowiązkach tutaj mówimy. Co prawda przepis art. 6zb ust. 1 po poprawce będzie odnosił się do obowiązków, o których mowa w art. 6zc ust. 2, ale tutaj mówimy ogólnie, iż do obowiązków inwestora w zakresie ochrony potencjalnej infrastruktury krytycznej nie stosuje się – i tutaj określone przepisy są wymienione. W związku z tym, czy będzie jasne, o jakie tutaj obowiązki chodzi? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Panie mecenasie, RCB, czy będzie to dla was jasne?

Doradca RCB Robert Tyszkiewicz:

Tak, oczywiście będzie to jasne i choćby tutaj, z tego co kojarzę, też pozostało jedna ze zgłoszonych poprawek przez Biuro Legislacyjne. Rzeczywiście choćby można powiedzieć, iż zrobiła to jeszcze lepiej, bo w art. 6zc w ust. 2 zostało nadane brzmienie: „2. Do obowiązków inwestora w zakresie ochrony potencjalnej infrastruktury krytycznej stosuje przepisy”, za co dziękujemy serdecznie, bo jest zdecydowanie lepiej niż nasze brzmienie, które mówiło o takiej bardziej selekcji negatywnej przepisów. Państwo natomiast zrobiliście to bardzo fajnie. Dziękujemy.

Przewodniczący poseł Konrad Frysztak (KO):

Ale czy ta poprawka pasuje? Tak, będzie dla was zrozumiała.

Bardzo proszę, Biuro Legislacyjne.

Legislator Tomasz Czech:

Poprawka oczywiście pasuje, dlatego iż tak czy inaczej ona się odnosi do obowiązku. My zaproponowaliśmy jedynie, żeby nie wskazać, których przepisów się nie stosuje do obowiązku inwestora, tylko które się stosuje z tego rozdziału. Aczkolwiek dalej mamy po prostu wątpliwości, czy będziemy jasno wiedzieć, jakie to są obowiązki w zakresie ochrony potencjalnej infrastruktury krytycznej z punktu widzenia tego przepisu art. 6zb.

Przewodniczący poseł Konrad Frysztak (KO):

Spróbujemy to rozwikłać, panie mecenasie.

Doradca RCB Robert Tyszkiewicz:

Jeżeli można – tak, oczywiście, tutaj, o ile chodzi oczywiście o przypadek, można powiedzieć, takiego klasycznego, pełnego operatora infrastruktury krytycznej, to są całe rozdziały dotyczące obowiązków i stosowania obowiązków. Natomiast biorąc pod uwagę, iż to jest dopiero etap budowy, projektowania – ogólnie pewnie to się skupi na budowach – te obowiązki muszą być okrojone do tego, aby nie zaburzyć, można powiedzieć, tej inwestycji, która dopiero jest tworzona, żeby jednak głównym zadaniem tego inwestora potencjalnej infrastruktury krytycznej, było wybudowanie czegoś, a nie zapewnienie temu ochrony. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko rządu jest pozytywne. Czy są uwagi do poprawek? Nie widzę. Stwierdzam, iż obie poprawki zostały przyjęte, a co za tym idzie, zmiana nr 7, art. 6zb z poprawkami rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zc. Nie ma uwag, ale jest poprawka. Bardzo proszę.

Poseł Urszula Nowogórska (PSL–TD):

Tak, jest poprawka, panie przewodniczący.

Wysoka Podkomisjo, składam jedną poprawkę: W art. 6zc, w ust. 1 wyrazy „w dokumentacji projektowej” zastąpić wyrazami „w dokumentacji budowy, o której mowa w art. 3 pkt 13 ustawy z dnia 7 lipca 1994 r. – Prawo budowlane”.

Celem tej poprawki jest precyzyjne odniesienie się do przepisów Prawa budowlanego. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko rządu?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję bardzo.

Czy są uwagi do poprawki? Nie widzę. Stwierdzam, iż poprawka została przyjęta, a co za tym idzie, zmiana nr 7, art.6zc z poprawką rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zd. Nie ma uwag. Stwierdzam, iż zmiana nr 7, art. 6zd został rozpatrzony.

Wkraczamy do rozdziału 7. Obowiązki operatora infrastruktury krytycznej i przystępujemy do rozpatrzenia zmiany nr 7, art. 6ze. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję bardzo.

Pierwsza kwestia dotyczy ust. 2 i pytanie teraz do państwa, ponieważ widzimy, iż zostały zgłoszone poprawki między innymi do ust. 3 tego przepisu, polegające na wykreśleniu wyrazów „po raz pierwszy”. Pytanie brzmi, czy to samo nie powinno dotyczyć także ust. 2, dlatego iż w takim brzmieniu, w jakim w tej chwili ten przepis ust. 2 jest, bardziej pasuje nam przepis dostosowujący, bo mówi o tym, kiedy analiza zagrożeń, o której mowa w ust. 1 pkt 1 zostanie przeprowadzona po raz pierwszy. To powinien być chyba przepis prawa materialnego, czyli powinien być na każdą okoliczność, a nie na to, kiedy będzie po raz pierwszy to sporządzone. Więc pytanie, czy tutaj nie ma jakiejś pomyłki? A jeżeli tak, to później w jakich odstępach czasu i co to znaczy „systematycznie”? Tego typu uwagi zresztą będą dotyczyły poszczególnych innych przepisów, gdzie tego typu sformułowania się pojawią. To jest pierwsza kwestia.

Druga kwestia dotyczy ust. 4, który jest przepisem upoważniającym, i w naszej ocenie minimalne wymagania w zakresie bezpieczeństwa, czy to fizycznego, technicznego itd, to są kwestie, które stanowią materię ustawową i te rzeczy powinny być jednak uregulowane w ustawie, a nie w rozporządzeniach.

Plus też taka kwestia już czysto techniczna ewentualnie, iż przepisy upoważniające zwykle powinny się znaleźć na końcu danego artykułu, a nie w środku, tak jak to tutaj się zadziało.

I kolejna kwestia dotyczy ust. 5, ale to już bardziej do poprawki, dlatego iż jeżeli chodzi o te umowy, to tam zdaje się, iż będzie poprawka na to, więc do tego się jeszcze odniesiemy.

Kolejna rzecz dotyczy ust. 5 pkt 2, gdzie jest mowa najpierw o potwierdzeniu umiejętności ochrony informacji niejawnych, a potem stosowanie przepisów o ochronie informacji niejawnych. Pytanie jest takie, czy to nie jest przypadkiem to samo? Czy jest jakaś różnica między zdolnością do ochrony informacji niejawnych a stosowaniem przepisów o ochronie informacji niejawnych? jeżeli tak, to jaka?

Podobne pytanie dotyczące pkt 2 w tym samym ustępie, a mianowicie mówimy tam o opracowywaniu, przygotowywaniu i wykonywaniu umowy, więc pytanie, czy jest jakaś różnica między opracowywaniem a przygotowywaniem umów? Bo wydaje się, iż to jest mniej więcej to samo.

I kolejna kwestia dotyczy…

Doradca RCB Robert Tyszkiewicz:

Przepraszam, jakby pan mecenas mógłby może mniej zgłaszać, to będzie nam łatwiej odpowiadać.

Legislator Jakub Bennewicz:

Tak? Dobrze.

Przewodniczący poseł Konrad Frysztak (KO):

Tak, bo to jest w ogóle bardzo duża zmiana.

Legislator Jakub Bennewicz:

Dobrze, to w takim razie na tym zrobię przerwę.

Przewodniczący poseł Konrad Frysztak (KO):

Przerwę i pan mecenas będzie kontynuował. Proszę, panie mecenasie, o ustosunkowanie się.

Doradca RCB Robert Tyszkiewicz:

Dziękuję. Myślę, iż nadążyłem.

Jeżeli chodzi o „po raz pierwszy”, oczywiście my uważaliśmy, iż „po raz pierwszy” raczej nie powinno być wpisywane w tym miejscu, tylko oczywiście w przepisach końcowych. Natomiast tutaj rzeczywiście jest to zbędne i absolutnie się zgadzamy.

Jeżeli chodzi o systematyczność, czy tam ewentualnie bieżące prowadzenie różnego rodzaju rzeczy – czyli systematyczne – o ile będzie można zmienić to w poprawce, to rzeczywiście chcielibyśmy zmienić to na „bieżące”, bo „systematyczne” to jest rzeczywiście troszeczkę takie niedookreślone stwierdzenie. Natomiast „bieżące”, czyli generalnie wykonuje pewne czynności w zależności od zmieniających się uwarunkowań i dostosowuje na przykład do swojej działalności.

Jeżeli chodzi o ust. 4, czyli upoważnienie w środku jednostki redakcyjnej, rzeczywiście może nie był to najlepszy pomysł, ale już w tym momencie tego nie zmienialiśmy, więc o ile może zostać, to myślę, iż nie będzie to przeszkadzało.

Przepraszam, o ile można jeszcze powtórzyć… Dobrze, może przekażę głos panu Witoldowi Skomrze. Przepraszam najmocniej, bo już tu mi się skończyły.

Legislator Jakub Bennewicz:

Powtórzyć, tak?

Doradca RCB Witold Skomra:

Trzy kolejne pamiętam.

Przewodniczący poseł Konrad Frysztak (KO):

W tych dużych artykułach będę sugerował, żebyśmy rozpatrywali to jeszcze na ustępy. Przepraszam, teraz spróbujmy już to domknąć w ten sposób, panie mecenasie.

Legislator Jakub Bennewicz:

Powtórzę może.

Jeśli chodzi o ust. 4, mówiliśmy o tym, iż minimalne wymagania dotyczące bezpieczeństwa to jest raczej naszym zdaniem materia ustawowa, a nie materia na rozporządzenie, powtarzając to, o czym mówiłem już do tej pory.

Kolejna kwestia dotyczyła ust. 5. Tam w pkt 2 dotyczyło to stosowania przepisów o ochronie informacji niejawnych i różnicy między tym a potwierdzaniem umiejętności ochrony informacji niejawnych. W tym samym punkcie, czym się różni opracowywanie od przygotowywania umowy. Jeszcze potem będą dalsze uwagi, ale na razie powtórzyłem to, co powiedziałem do tej pory. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję, panie mecenasie.

Sekretarz stanu w MSWiA Wiesław Szczepański:

Dyrektor Muszyński, a potem pan… Natomiast jeżeli mogę, panie przewodniczący, zrozumiałem, iż jesteśmy gotowi te dwie uwagi przyjąć i przed sprawozdaniem przygotowalibyśmy po prostu poprawki, które by wychodziły naprzeciw oczekiwaniom Biura Legislacyjnego.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuje, panie ministrze, za tę deklarację.

A teraz pan dyrektor Muszyński.

Dyrektor Rządowego Centrum Bezpieczeństwa Zbigniew Muszyński:

Jeśli chodzi o ochronę informacji niejawnej, to przede wszystkim podkreślę – umiejętności ochrony informacji niejawnej to jest posiadanie poświadczeń bezpieczeństwa, zaświadczeń ze szkolenia, ale to nie znaczy, iż jeszcze można stosować ochronę informacji niejawnej i uczestniczyć, ponieważ jest zasada need-to-know, czyli mając poświadczenie bezpieczeństwa, mając szkolenie, to nie znaczy, iż jeszcze się będzie stosowało przetwarzanie tej informacji, bo dopiero według zasady need-to-know osoby, które adekwatne są do wykonania określonej rzeczy, mają prawo te przetwarzać te informacje.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję

Kolejny… Proszę po prostu gospodarować głosem, tylko się przedstawiać do protokołu.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Odnośnie minimalnych wymagań zwracam uwagę, iż tak poważne regulacje, jak wymagania obiektów, terenów, są regulowane rozporządzeniem ministra. Bezpieczeństwo farm wiatrowych jest regulowane rozporządzeniem ministra i chcielibyśmy utrzymać podobną konstrukcję, o ile chodzi o minimalne wymagania w zakresie bezpieczeństwa infrastruktury krytycznej.

Dlaczego? Dlatego, iż raz wydane rozporządzenie będzie żyło, powiedzmy, rok. Przygotowany w tej chwili projekt już jest ułomny, bo nie zawiera działań zmierzających do ochrony przed sztuczną inteligencją. A dlaczego nie zawiera? Bo nikt takich wytycznych jeszcze nie opracował. Pewnie za pół roku się pojawią. Nie wyobrażam sobie, żebyśmy co pół roku zmieniali minimalne wymagania. Rozporządzenie jest o wiele wygodniejszym narzędziem.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Dziękujemy bardzo, natomiast o ile można, to do ust. 6 jeszcze następujące kwestie.

Mówimy tutaj o zasięgnięciu opinii adekwatnych sektorowych rad ds. kompetencji, o których mowa w ustawie o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości. Pytanie, czy państwa zdaniem nie trzeba doprecyzować, iż owe rady mają takie zadanie w art. 4a ust. 2 właśnie tej ustawy, do której odsyłamy, żeby to było już kompleksowo zrobione? Bo tam są zadania tych rad wymienione właśnie w przepisie.

Druga rzecz dotyczy, czego konkretnie będzie dotyczyła ta opinia, bo zasięgnięcie opinii nie do końca precyzuje, w jakim zakresie ta opinia miałaby być sporządzana.

Kolejna rzecz – z przepisu wynika, iż owe organy, które są tutaj wymienione, mogą opracować i udostępnić na stronach BIP zestawienie certyfikatów lub innych dokumentów. To rodzi pytanie, skoro mogą, a nie muszą, to od czego to będzie zależało i czy nie trzeba tutaj umieścić jakichś kryteriów, na podstawie których będą albo nie będą opracowywać i umieszczać? o ile nie umieszczą, to z kolei czy operatorzy infrastruktury krytycznej będą wiedzieli, czego mogą żądać i od kogo? Bo chyba tylko z tego umieszczenia w BIP może to potencjalnie wynikać. Jeszcze chciałbym oddać głos koleżance.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę, pani mecenas.

Legislator Karina Parśniak:

Dziękuję bardzo.

Chciałam na chwilę wrócić tylko do ust. 5. Powiem tak, widzieliśmy propozycję poprawki do tego ust. 5 do wprowadzenia do wyliczenia. Tutaj jest napisane: „Operator infrastruktury krytycznej w celu zapewnienia wdrażania rozwiązań może zawierać umowy. Przy zawieraniu umów operator ochrony infrastruktury krytycznej żąda od usługodawców:”. Dlaczego mówię o poprawce? Bo ten problem był też w przedłożeniu w druku nr 2355. Zwracamy uwagę, iż po raz pierwszy tutaj w ustawie pojawia się pojęcie „usługodawców”. Rozumiem, iż to jest trochę taki skrót myślowy, a przepis powinien raczej wskazywać, iż przy zawieraniu tych umów operator ochrony infrastruktury krytycznej żąda od podmiotów po prostu, z którymi zawiera umowy, jakichś określonych czynności czy też dokumentów. Więc to tylko kwestia wyjaśnienia z państwa strony.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Proszę o przedstawienie się.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Dla nas to jest jednoznaczne, iż o ile zawieram z kimś umowę, to jest to firma, która świadczy dla mnie usługę. o ile językowo lepiej by brzmiało „z podmiotem, z którym zawiera”, „zamierza zawrzeć” lub „zawiera umowę” – dla mnie to jest to samo. Możemy taką poprawkę… Ale tak, będzie zaraz pytanie, co to za podmiot i skąd się wziął. Przy zawieraniu umowy z tym, z kim zawierał tę umowę.

Natomiast o ile chodzi o te rady sektorowe, to te rady sektorowe mają kierunkować działania w zakresie nabywania kompetencji w poszczególnych obszarach i udzielanie takich rad jest właśnie celem powołania tychże rad sektorowych, więc trudno byłoby nam wskazać jakieś dodatkowe zadanie, które by one miały realizować. Wydaje się, iż to jest jednoznaczne. Te rady są do tego, żeby opiniować właśnie potrzeby rozwoju kompetencyjnego w poszczególnych obszarach i standaryzację oczywiście, bo w całej Unii Europejskiej wymagania kwalifikacyjne mają być docelowo zestandaryzowane. Nie widzę tutaj jakichś problemów. Tym bardziej, iż to jest tylko opiniowanie.

Jeżeli natomiast chodzi o publikowanie certyfikatów, to chodzi o pewne szczególne rozwiązania, na przykład w czasie uzgodnień sektor kolejarski zwracał nam uwagę, iż oni by woleli stosować normy i standardy już u nich przyjęte. Stąd jest taka możliwość, iż minister może charakterystyczne dla danego sektora certyfikaty publikować, a podmioty będą je stosować.

Przewodniczący poseł Konrad Frysztak (KO):

Czy Biuro Legislacyjne jeszcze ma jakąś pulę… Pani mecenas.

Legislator Karina Parśniak:

To ja chciałam tylko dodać celem uzupełnienia, bo pan powiedział, iż o ile wpiszemy, iż to będą podmioty, z którymi będą zawierane umowy, pojawi się pytanie, jakie to są podmioty. To teraz w takim razie, jacy to są usługodawcy? Problem będzie ten sam, bym choćby powiedziała, iż jeszcze gorszy. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

W takim razie, o ile to ma jakieś bardzo duże znaczenie, możemy przygotować zmianę mówiącą o tym, iż dotyczy to podmiotu, z którym będą zawierane umowy. Mam nadzieję, iż to pomoże, żeby ta ustawa była lepsza, a umowy, które są zawierane, skuteczniejsze we wdrażaniu rozwiązań.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję za tę deklarację

Na ten moment rozumiem, iż uwagi i dyskusję wyczerpaliśmy nad zmianą poprawki.

Bardzo proszę, pan poseł Ściebiorowski.

Poseł Łukasz Ściebiorowski (KO):

Dziękuję, panie przewodniczący.

Szanowna podkomisjo, panie ministrze, tu będzie dość dużo poprawek, więc pozwolicie, iż po kolei.

Poprawka nr 1: W art. 6ze w ust. 1 we wprowadzeniu do wyliczenia skreślić wyrazy „w szczególności”.

Poprawka nr 2: W art. 6ze w ust. 1 w pkt 1 wyraz „systematycznej” zastąpić wyrazem „bieżącej”.

Poprawka nr 3: W art. 6ze w ust. 1 w pkt 2 w lit. a wyrazy „w tym ochrony fizycznej oraz zabezpieczeń technicznych uwzględniających kontrolę dostępu” zastąpić wyrazami „w formie ochrony fizycznej lub zabezpieczeń technicznych uwzględniających systemy kontroli dostępu”.

Poprawka nr 4: W art. 6ze w ust. 1 w pkt 2 w lit. f wyraz „funkcjonowanie” zastąpić wyrazem „funkcjonalność”.

Poprawka nr 5: W art. 6ze w ust. 1 w pkt 3 we wprowadzeniu do wyliczenia wyrazy „przekazywanie i odbieranie” zastąpić wyrazami „sporządzanie, przekazywanie oraz odbieranie”.

Poprawka nr 6: W art. 6ze w ust. 1 w pkt 4 w lit. c spójnik „oraz” zastąpić spójnikiem „lub”.

Poprawka nr 7: W art. 6ze w ust. 1 pkt 5 nadać brzmienie: „5) zapewnienie umiejętności ochrony informacji niejawnych rozumianej jako spełnienie wymagań określonych w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwaną dalej „zdolnością do ochrony informacji niejawnych”.

Poprawka nr 8: W art. 6ze w ust. 3 skreślić wyrazy „po raz pierwszy”.

Poprawka nr 9: W art. 6ze ust. 4 nadać brzmienie: „4. Rada Ministrów określi, w drodze rozporządzenia, minimalne wymagania w zakresie bezpieczeństwa fizycznego, technicznego, osobowego, cyberbezpieczeństwa, prawnego oraz ciągłości działania, niezbędne do wdrażania rozwiązań, o których mowa w ust. 1 pkt 2, mając na uwadze potrzebę podejmowania działań zapewniających bezpieczeństwo infrastruktury krytycznej oraz zapewnienia jednolitości rozwiązań”.

I poprawka nr 10: W art. 6ze w ust. 5 wprowadzeniu do wyliczenia nadać brzmienie: „Operator infrastruktury krytycznej w celu zapewnienia wdrażania rozwiązań, o których mowa w art. 1 pkt 2, może zawierać umowy. Przy zawieraniu umów operator ochrony infrastruktury krytycznej żąda od usługodawców:”.

Tu krótko uzasadnię – poprawki mają charakter doprecyzowujący. Nie wiem, czy je rozwijać. Króciutko, o ile byłaby potrzeba. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Uwagi do poprawek? Biuro Legislacyjne.

Legislator Tomasz Czech:

Mamy uwagi do trzech poprawek.

Jeżeli chodzi o poprawkę nr 2, to bardziej taka jest poprawka, iż chyba należałoby ten projekt przejrzeć z punktu widzenia używanych pojęć, o ile chodzi o przeprowadzenie na przykład jakichś analiz, bo czasami właśnie mówimy o systematycznym przeprowadzeniu analiz, czasami mówimy o bieżącym, tak jak tutaj na przykład w tej poprawce będzie, a czasami jest choćby na bieżąco. W związku z tym tutaj trzeba będzie chyba w jakiś sposób to ujednolicić i ewentualnie przemyśleć, żeby było jasne, w jaki sposób te analizy mają być przeprowadzone i co to znaczy. To częściowo pan mecenas już wyjaśniał przy wcześniejszej poprawce, aczkolwiek czy to zawsze będzie łatwe do zidentyfikowania, w jaki sposób ma się przeprowadzać tę analizę i w jakich terminach? To jest jakby pierwsza uwaga.

Druga uwaga dotyczy poprawki nr 7, a mianowicie tutaj jest zaproponowane, żeby częściowo przenieść to, co było dotychczas w definicji umiejętności ochrony informacji niejawnej. My mieliśmy też tam pewne krytyczne uwagi, iż ta definicja nic nie wyjaśnia, tak prawdę mówiąc. Tutaj jest to w pewien sposób przeniesione. Może do Komisji jeszcze się zastanowimy, czy nie dałoby się jakoś tego bardziej doprecyzować, aczkolwiek na podstawie tego przepisu, który zostanie zmieniony, to będzie znaczyło, iż operator infrastruktury krytycznej zapewnia jej ochronę. I teraz, o ile byśmy nałożyli na to poprawkę, będzie: „zapewnienie umiejętności ochrony informacji niejawnej rozumianej jako spełnienie wymagań określonych w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnej”. Nie do końca jasne jest, jakich wymagań w tym przypadku, w jaki sposób ma w takim razie zapewnić tę ochronę.

Jeżeli chodzi o poprawkę nr 10, to tylko tak do upewnienia się, o ile chodzi o to drugie zdanie w tym art. 6ze ust. 5, gdzie jest wskazane, iż „przy zawieraniu umów operator ochrony infrastruktury krytycznej żąda od usługodawców”, i tam są dalej punkty, które wskazują między innymi określone dokumenty. Pytanie, w jaki sposób to będzie następować? Rozumiem, iż to nie będą w umowie ze stroną zawarte jakieś tam obowiązki dla tego usługodawcy, tylko bardziej, iż przy zawieraniu, rozumiem, umowy z usługodawcą w jakimś momencie tego zawierania – to też nie jest jasne, w jakim momencie – będzie operator żądał określonych dokumentów. Dziękuję bardzo.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy pan mecenas w jakiś sposób chciałby się tutaj…

Doradca RCB Robert Tyszkiewicz:

Tak, temat już rzeczywiście był poruszany, o ile chodzi o „systematyczne” i „bieżące” kwestie. Dlatego też tutaj są propozycje – poprawka nr 2 właśnie ma taki charakter czyszczący dokument i zastępujemy wyraz „systematycznej” wyrazem „bieżącej”, gdyż to bardziej odpowiada.

Jeżeli chodzi o skrót, poprawka nr 7 w art. 6ze w ust. 1 pkt 1 – oczywiście „zapewnić umiejętności ochrony informacji niejawnych”. Tak jak rozpatrywaliśmy dokument w poniedziałek, zobowiązaliśmy się, żeby nie robić z tego definicji, tylko wrzucić do pierwszej możliwej zmiany i zrobić z tego skrót. Jest to, wydaje mi się, skrót, który może być dalej stosowany i jest czytelny, przynajmniej w naszej branży, tak powiem. To chyba wszystko. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę.

Legislator Jakub Bennewicz:

Jeszcze tylko jedno pytanie.

Tylko ta jedna poprawka XXI. nie zawiera we wstępie takiej adnotacji, iż analogie i konsekwencje trzeba wprowadzić w innych przepisach, ale rozumiemy, iż tutaj też tak to mamy odczytywać, iż też konsekwencje jakby państwo uwzględniają w tej poprawce, tak?

Doradca RCB Robert Tyszkiewicz:

Panie mecenasie, oczywiście, iż tak. Dziękuję za zwrócenie uwagi.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Przypomnę, iż mamy pozytywne stanowisko strony rządowej. Czy są uwagi do dziesięciu zgłoszonych poprawek? Nie widzę. Stwierdzam zatem, iż poprawki zostały przyjęte, a w konsekwencji zmiana nr 7, art. 6 z poprawkami rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6 zf. Tutaj jest kolejna dosyć obszerna zmiana. jeżeli są uwagi, to podzielmy je na ustępy… Są dwie, więc na dwie podzielmy. Bardzo proszę, Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Tylko dwie uwagi plus jeszcze koleżanka będzie miała jakieś dodatkowe, ale to w takim razie podzielimy może na dwa bloki.

Pierwsza sprawa – chcielibyśmy się tylko upewnić, iż nasz tok rozumowania był prawidłowy, gdyż my te kwestie wprowadziliśmy w poprawkach legislacyjnych, które już zostały przyjęte, a mianowicie w ust. 2 pkt 1 mówimy o charakterystyce infrastruktury krytycznej, podczas gdy w innych punktach tego ustępu mówimy o opisie zastosowanych adekwatnie do przeprowadzonej analizy zagrożeń i rozwiązań. Potem jest opis kolejnych kwestii, więc uznaliśmy, iż tutaj prawdopodobnie pod tym słowem „charakterystyka” też się kryje opis. Tak to zmieniliśmy, ale chcielibyśmy się upewnić, iż nasz tok rozumowania jest prawidłowy.

I druga kwestia w pkt 2 lit. a – tam mówimy o danych specjalistycznej uzbrojonej formacji ochronnej chroniącej infrastrukturę krytyczną. Nie wiemy, jakich danych. Domyślamy się, iż państwo funkcjonujący w tym świecie zarządzania kryzysowego będą wiedzieli, natomiast z ustawy to nie wynika, a ponieważ za tym mogą się kryć dane osobowe, pytanie, czy nie powinniśmy doprecyzować, jakie dane tych formacji ochronnych ma się tutaj na myśli? Na razie to pierwszy blok, dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Pan mecenas, czy… Tak, bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

Jeżeli można, panie przewodniczący. Dziękuję bardzo.

Jeżeli chodzi o „charakterystykę” i „opis”, tak, dziękujemy, jest to opis.

Jeżeli chodzi o dane dotyczące SUFO, tak, moglibyśmy próbować odnosić się do przepisów, ale też wydaje mi się, iż w naszej branży w danych dotyczących specjalistycznej formacji ochronnej chroniącej infrastrukturę krytyczną raczej nie chodzi o jakieś tam dane kontaktowe, powiedzmy, czy jakiś telefon do prezesa tej firmy, tylko patrzymy na to przez pryzmat ustawy o ochronie osób i mienia, gdzie w art. 7 na przykład są wskazane dane dotyczące SUFO. To jest to jest kwestia liczby etatów, uzbrojenia, sposobów przechowywania broni, pewnie patrolowania perymetrów i różnych wszystkich, można powiedzieć, czynników charakterystycznych, które zapewniają wykonywanie przez SUFO zadań związanych z ochroną infrastruktury krytycznej. Ale tak w dużym skrócie wydaje mi się, iż te „dane specjalistyczne uzbrojonej formacji ochronnej”, jako takie sformułowanie, jest wystarczające. Moglibyśmy powiedzieć „dane o specjalistycznej”, ale to chyba kilka wniesie. Akurat przypominam sobie, iż w ustawie o krajowym systemie cyberbezpieczeństwa, o ile chodzi o podobny przepis, jest chyba sformułowanie „dane o specjalistycznej”, ale to, tak jak powiedziałem, kilka wnosi. My wiemy, o co chodzi, jest to czytelne i operator infrastruktury krytycznej przy stosowaniu zabezpieczeń, przy robieniu dokumentacji, wydaje mi się, iż też będzie wiedział, o co chodzi. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę, pani mecenas.

Legislator Karina Parśniak:

A propos tego sformułowania „dane specjalistyczne uzbrojonej formacji ochronnej chroniącej infrastrukturę krytyczną”, to chcemy państwu zwrócić uwagę na jedną rzecz, bo z jednej strony odwołujecie się do art. 2 pkt 7 ustawy o ochronie osób i mienia. W tym przepisie mamy co prawda definicję „danych specjalistycznych uzbrojonej formacji ochronnej”, ale bez tego „chroniącej infrastrukturę krytyczną”. I teraz pytanie, jaka jest państwa intencja? Czy my chcemy, żeby to były dane specjalistycznej uzbrojonej formacji ochronnej, w rozumieniu art. 2 pkt 7 ustawy o ochronie osób i mienia, chroniącej infrastrukturę krytyczną? Bo to jest kwestia intencji. o ile taka jest intencja, to trzeba by było przygotować odpowiednią poprawkę na etapie pewnie sprawozdania. To jest ta jedna rzecz.

I jeżeli jesteśmy jeszcze w tym ust. 2, to tylko proszę zwrócić uwagę, iż w lit. f państwo mówicie o ciągłości działania i odtwarzania, ale my nie wiemy czego tak naprawdę – czego ma ten przepis dotyczyć? To jest tylko do ust. 2. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Bardzo proszę, panie dyrektorze.

Zastępca dyrektora Departamentu Porządku Publicznego Ministerstwa Spraw Wewnętrznych i Administracji Mariusz Cichomski:

Bardzo dziękuję.

Szanowni państwo, musimy pamiętać o tym, iż zgodnie z ustawą o ochronie osób i mienia, to, co jest wpisane do wykazu infrastruktury krytycznej, również znajduje się w ewidencji wojewodów. W efekcie wpisania do ewidencji wojewodów na podmiot wpisany nakładane są obowiązki wynikające stricte z ustawy o ochronie osób i mienia. Tutaj mamy dwie kategorie obowiązków: plan ochrony i odpowiednie zabezpieczenie – inny plan ochrony, o którym mowa w ustawie o ochronie osób i mienia, i zabezpieczenie techniczne czy fizyczne danego obiektu, wynikającego tak naprawdę z charakteru obiektu i z tego, co jest uzgadniane w planie ochrony. Ten plan ochrony jest przyjmowany w drodze decyzji administracyjnej przez komendanta wojewódzkiego Policji w uzgodnieniu z dyrektorem adekwatnej delegatury Agencji Bezpieczeństwa Wewnętrznego, i oczywiście z kierownikiem jednostki, bo tak w tamtej ustawie się nazywa ten podmiot, który jest zobowiązany. Troszkę inaczej niż tutaj, bo w pojęciu kierownika jednostki mieści się również w tym rozumieniu operator infrastruktury krytycznej. W związku z tym to z tamtej ustawy i z planu przygotowywanego w ramach tamtej ustawy szczegółowo wynikają konkretne dane dotyczące SUFO, które w tym momencie jest zaangażowane. Oczywiście kategoria SUFO jest znacznie szersza, bo każdy ten, kto chroni i będzie chronił infrastrukturę krytyczną, musi być specjalistyczną uzbrojoną formacją ochronną, ale specjalistyczne uzbrojone formacje ochronne wykorzystywane są do znacznie większej kategorii podmiotów. Chociażby tych, które są wpisane na wspomnianą listę wojewodów. Więc tutaj to doprecyzowanie nie ma sensu, bo te przepisy w tym zakresie po prostu się przenikają. Mamy do czynienia z dwoma planami. Jeden widzi drugi. Tak naprawdę w tym momencie ten plan ochrony infrastruktury krytycznej musi widzieć plan wynikający z ustawy o ochronie osób i mienia i on z punktu widzenia fizycznego zabezpieczenia obiektu jest kluczem. Więc nie widzimy potrzeby doprecyzowania tego. To wynika ze znacznie szerszego elementu.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Nie ma więcej uwag. Czy są poprawki do art. 6zf? Bardzo proszę, pan przewodniczący Lachowicz.

Poseł Piotr Lachowicz (KO):

Poprawka nr 1: W art. 6zf w ust. 1 skreślić wyraz „stosuje”.

Poprawka nr 2: W art. 6zf ust. 4 nadać brzmienie: „4. Dokumentacja ochrony infrastruktury krytycznej jest dokumentem niejawnym”.

Poprawka nr 3: W art. 6zf w ust. 5 we wprowadzeniu do wyliczenia po wyrazach „ochrony infrastruktury krytycznej” dodać wyrazy „dyrektorowi centrum oraz”, a jednocześnie skreślić w ust. 5 pkt 4.

Poprawka nr 4: W art. 6zf w ust. 6 skreślić wyrazy „określonych” oraz po wyrazie „rozwiązań” dodać wyraz „o których mowa w art. 6ze ust. 1 pkt 2”.

Poprawka nr 5: W art. 6zf w ust. 8 po wyrazie „kluczowym” dodać wyrazy „lub ważnym”.

Uzasadnienie: poprawki mają charakter doprecyzowujący kwestie związane z dokumentacją ochrony infrastruktury krytycznej.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są uwagi do poprawek? Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Szanowni państwo, jeżeli chodzi o poprawkę nr 3 do ust. 5, to z rozmów, które prowadziliśmy z państwem przed posiedzeniem podkomisji, wynika, iż intencją tej poprawki jest, ażeby dyrektorowi centrum przekazywać zawsze, a pozostałym podmiotom wymienionym w tym przepisie nie zawsze, tylko na ich jakby żądanie czy według ich adekwatności. Natomiast chcielibyśmy zwrócić uwagę na to, iż z przepisu przez cały czas to nie będzie wynikało. Dlatego iż wyraz „odpowiednio” można rozumieć też w taki sposób, iż według adekwatności poszczególnych tych podmiotów wymienionych w pkt 1–3, a niekoniecznie, iż w zależności od potrzeb czy żądań, czy oczekiwań. Więc rozumiem, iż państwo będą tak interpretowali ten przepis, ale wprost z niego taka interpretacja naszym zdaniem nie wynika. Chcielibyśmy tylko na to zwrócić uwagę.

Jeszcze koleżanka chciała się odnieść do jednej poprawki.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę, pani mecenas.

Legislator Karina Parśniak:

Chciałam się odnieść do poprawki nr 5, która zmierza do uwzględnienia w przepisie oprócz podmiotu kluczowego również podmiotu ważnego. W związku z tym, iż my tylko dzisiaj pracujemy do art. 6zw, to celem tylko jakby przypomnienia dla państwa – podobną sytuację będziemy mieli w art. 6zzq w ust. 1 i tam ewentualnie też trzeba by było odpowiednią poprawkę w tym samym zakresie przygotować.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję, pani mecenas, za tę uwagę.

Czy są inne uwagi do poprawek? Stanowisko strony rządowej… Aha, jeszcze będzie odniesienie. Bardzo proszę.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski, RCB.

Szanowna pani mecenas, odnośnie podmiotu kluczowego i ważnego w art. 6zf, tutaj należy dodać, ponieważ to wynika z ustawy o krajowym systemie cyberbezpieczeństwa i w zależności od klasyfikacji tego podmiotu, ten podmiot może być operatorem infrastruktury krytycznej, niezależnie czy będzie podmiotem kluczowym, czy też ważnym, wynikającym z ustawy o KSC.

Jeżeli chodzi o to uwzględnienie w tym art. 6zzq, należy wskazać, iż każdy wyłaniany podmiot krytyczny z automatu będzie podmiotem kluczowym. Tutaj jak gdyby jest tylko i wyłącznie skupienie się na podmiocie kluczowym i odesłanie jest w ustawie o krajowym systemie cyberbezpieczeństwa. Nie należy dodawać tego „ważnym”, ponieważ z automatu każdy podmiot krytyczny staje się podmiotem kluczowym, zgodnie z ustawą o KSC. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej do poprawek?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję, panie ministrze.

Czy są uwagi do poprawek? Nie widzę. Stwierdzam, iż poprawki zostały przyjęte do art. 6zf, a co za tym idzie, zmiana nr 7, art. 6zf wraz z poprawkami rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6zg. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję.

Pierwsza kwestia dotyczy tego, iż przepis mówi o sporządzeniu raportu o stanie ochrony infrastruktury krytycznej. Nasze pytanie brzmi, czy nie jest potrzebny państwa zdaniem przepis dostosowujący, mówiący o tym, za jaki okres będzie sporządzany pierwszy taki raport. Bo generalnie państwo tego typu przepisy dostosowujące o pierwszym sporządzeniu poszczególnych dokumentów mają, ale nie akurat, jeżeli chodzi o raport o stanie ochrony infrastruktury krytycznej. To jest pierwsza sprawa.

Druga rzecz to jest pytanie, czy intencjonalne i celowe jest to, iż w ust. 2 pkt 1 mówimy o bezpieczeństwie fizycznym w sposób inny niż w art. 6zf ust. 2? Gdyż w art. 6zf ust. 2 mówimy o bezpieczeństwie fizycznym, w tym opisie organizacji i wykonywaniu ochrony fizycznej infrastruktury krytycznej. Tam jest dłuższy ten opis, dotyczy to też bezpieczeństwa fizycznego, ale tam precyzujemy, co w szczególności przez to rozumiemy. Czy to jest decyzja merytoryczna, iż tu jest inaczej, czy przypadkiem nie powinno się tego ujednolicić?

Jeszcze koleżanka.

Legislator Karina Parśniak:

Dziękuję bardzko.

Chciałam tylko zwrócić uwagę – ta uwaga już była zgłaszana przy poprzednim przepisie – w ust. 2 pkt 6 mówimy o ciągłości działania i odtwarzania, ale tak naprawdę chyba trzeba by było doprecyzować, czego.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Ponieważ tu mówimy o takim sprawozdaniu za rok, co się działo w poszczególnych obszarach, to nie ma sensu wymieniać wszystkich elementów składających się na bezpieczeństwo fizyczne, czy techniczne, więc skrócilibyśmy. Po prostu w raporcie mają się odnieść do wszystkich elementów związanych z bezpieczeństwem fizycznym, a co to jest bezpieczeństwo fizyczne, mają wyjaśnione wcześniej.

Co do ciągłości działania i odtwarzania, to jest standardowe określenie związane ze stosowaniem normy w sprawie ciągłości działania. Jest to jednoznaczne, iż chodzi o funkcjonalność infrastruktury krytycznej, bo to jest jedna z form jej ochrony. Można by to doprecyzować, ale to jest dla mnie oczywiste.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Doradca RCB Robert Tyszkiewicz:

Jeżeli można, gwoli uzupełnienia, to ta ciągłość działania znajduje się zarówno w jednostce redakcyjnej, w której mówimy o wdrażaniu rozwiązań na rzecz ochrony infrastruktury krytycznej, a później mówimy też, iż cały przepis dotyczy dokumentacji ochrony infrastruktury krytycznej, więc ciągłość działania i odtwarzania dotyczy infrastruktury krytycznej tylko. dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Jeszcze jakieś pytania, uwagi, poprawki? Pani przewodnicząca, bardzo proszę.

Poseł Urszula Nowogórska (PSL–TD):

Mam jedną poprawkę, krótką zresztą bardzo: W art. 6zg ust. 6 nadać brzmienie: „6. Raport o stanie ochrony infrastruktury krytycznej jest dokumentem niejawnym”.

Jest to jednoznaczne wskazanie, iż ten raport jest dokumentem niejawnym, co daje możliwość ochrony zawartych w nim informacji. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pozytywne.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Nie ma uwag, zatem stwierdzam, iż poprawka została przyjęta, a zmiana nr 7, art. 6zg wraz z poprawką rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zh. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Tylko jedna kwestia.

Chodzi o ust. 3, szanowni państwo, tam jest mowa o tym, iż „operator infrastruktury krytycznej przetwarza informacje i dane przez okres uzasadniony celem przetwarzania”. Pytanie, czy to jest prawidłowe sformułowanie? Dlatego, iż sam fakt, iż dane i informacje można przetwarzać przez okres uzasadniony celem przetwarzania, wynika, jak się wydaje, z przepisów ogólnych dotyczących przetwarzania danych osobowych. Natomiast w innych przepisach ustawy, między innymi w art. 6d ust. 3 mówimy o tym, iż te dane i informacje można przetwarzać przez okres zatrudniania pracownika, więc jest to bardziej precyzyjne. Pytanie, czy taki przepis w takim brzmieniu jest dość precyzyjny i czy przypadkiem nie wynika to w takim kształcie z przepisów ogólnych tak czy owak, więc czy ten przepis ma charakter inny niż informacyjny? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Proszę o odpowiedź.

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pan Skomra.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Tu jest celowo ograniczone w stosunku do przepisu ogólnego, bo nie każdy pracownik będzie przez cały okres czasu zajmował stanowisko związane z ochroną infrastruktury krytycznej. o ile on zmienia stanowisko, to tak ważne i wrażliwe dane, jak chociażby dane biometryczne, powinny być usuwane natychmiast, mimo iż on przez cały czas jest pracownikiem. Więc stąd to zawężenie, iż zgodnie z dokumentacją tylko na czas niezbędny do realizacji zadań te dane mają być przechowywane.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Nie ma więcej uwag, nie widzę poprawek, zatem stwierdzam, iż zmiana nr 7, art. 6zh został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zi. Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Przepis mówi o obowiązku wyznaczenia koordynatora ochrony infrastruktury krytycznej oraz jego zastępcy. Pytanie brzmi, czy państwa zdaniem nie powinno tutaj się też umieścić przepisu, który by mówił o tym, jakie są zadania tego koordynatora? Zastępca zastępuje koordynatora, ale zadania koordynatora – po co on jest wyznaczany? Z przepisów raczej to nie wynika. Jest potem mowa o tym, jakie są kryteria tego, żeby można było zostać koordynatorem, natomiast pytanie, czym on się będzie zajmował? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Pan mecenas.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Tak, przepis art. 6zi, zresztą podobnie później będzie przy pełnomocniku bezpieczeństwa świadczenia usługi kluczowej, dotyczący koordynatora ochrony infrastruktury krytycznej jest bardzo ogólny. Tu przede wszystkim chodziło o to, żeby po prostu wskazać, iż koordynację i realizację danych zadań powierza się wyspecjalizowanej osobie. W następnych przepisach zresztą wskazuje się, iż pracodawca zapewnia temu koordynatorowi warunki do wykonywania prac, dostęp do dokumentów. Regulacje w zakresie infrastruktury krytycznej od dawien dawna, jak również teraz dyrektywa CER – te wszystkie inne dyrektywy, chociażby też NIS 2 – wskazują na konieczność wyznaczania tzw. osób do kontaktów. W jednych regulacjach robi się to, iż są to osoby do kontaktów, natomiast z naszych doświadczeń wynika, iż czasami taka osoba do kontaktów ma na tyle niską rangę w organizacji danego operatora infrastruktury krytycznej czy podmiotu krytycznego w przyszłości, iż tak naprawdę poza odbieraniem telefonów i mówieniem, iż nic nie może zrobić, nie ma żadnej mocy sprawczej, co ma często znaczenie w sytuacjach kryzysowych. Dlatego też można powiedzieć, iż od lat rozmawiamy o tym i teraz mam nadzieję, iż uda się wprowadzić tę instytucję koordynatora, czyli osoby, która będzie na tyle dobrze umocowana w danej organizacji operatora infrastruktury krytycznej, iż będzie mogła zarządzać pewnymi procesami, podejmować decyzje i być na tyle sprawcza, iż będzie partnerem na przykład przy wymianie informacji w sytuacji kryzysowej. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Biuro Legislacyjne.

Legislator Tomasz Czech:

W tej chwili nam się nasunęła jeszcze taka refleksja, o ile chodzi o ten ust. 6, czyli ten obowiązek dotyczący informacji o wyznaczeniu koordynatora infrastruktury krytycznej, a mianowicie wcześniej była zgłoszona przez państwa taka poprawka, która jakby wskazywała, iż dyrektor centrum otrzymuje za każdym razem określoną informację we wcześniejszym z tych przepisów, a pozostali jedynie w zakresie jakby ich adekwatności. Teraz się zastanawiam troszeczkę, czy w tym przepisie, ewentualnie w jakim innym projekcie, również dyrektor centrum nie powinien za każdym razem otrzymywać takiej informacji? To jest do zastanowienia się, czy będzie jasne, kiedy dyrektor centrum będzie adekwatnym, żeby otrzymać tę informację o wyznaczeniu koordynatora.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę, pan mecenas.

Doradca RCB Robert Tyszkiewicz:

Rzeczywiście merytorycznie jest ewidentnie wskazane, żeby po prostu odpowiednio… Znaczy nie, akurat w tym momencie trzeba byłoby zmienić tę konstrukcję, o ile oczywiście byłaby taka możliwość i rzeczywiście zrobić w podobnym stylu, czyli wszystko idzie do dyrektora RCB, a odpowiednio idzie do ministra, adekwatnego wojewody czy KNF. Tutaj należy przyznać rację.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Tomasz Czech:

Może, panie pośle, ewentualnie na Komisję, bo może są jakieś inne przepisy, które również merytorycznie trzeba by do tego dostosować. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Mamy jeszcze poprawkę, zgłosimy ją, zobaczymy, ile ona jest w stanie skompensować i czy jest w ogóle w stanie coś skompensować. Raczej nie, więc do pakietu przy sprawozdaniu na Komisji będziemy również oczekiwać tutaj na wsparcie i współpracę ze stroną rządową.

Bardzo proszę, pan przewodniczący Lachowicz.

Poseł Piotr Lachowicz (KO):

Czyli poprawka jest jedna, jak pan przewodniczący powiedział: W art. 6zi dodać ust. 9 w brzmieniu: „9. Operator infrastruktury krytycznej, będący jednocześnie podmiotem kluczowym lub ważnym w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, przekazuje do systemu teleinformatycznego, o którym mowa w art. 46 ust. 1 tej ustawy, dane koordynatora ochrony infrastruktury krytycznej oraz zastępcy koordynatora ochrony infrastruktury krytycznej obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej”.

Uzasadnienie: dodanie ust. 9 w brzmieniu wskazanym w poprawce umożliwia przekazywanie danych służbowych koordynatora ochrony informacji infrastruktury krytycznej oraz zastępcy koordynatora ochrony infrastruktury krytycznej do Systemu S46.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej? Pozytywne. Dziękuję bardzo.

Czy są uwagi? Nie widzę. Stwierdzam zatem, iż poprawka została przyjęta, a zmiana nr 7, art. 6zi z poprawką rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zj. Bardzo proszę, Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Dziękuję.

Najpierw, jeżeli chodzi o ust. 1, proszę państwa, przepis mówi o tym, iż „operator infrastruktury krytycznej informuje określone podmioty o możliwości zastosowania urządzeń uniemożliwiających telekomunikację na określonym obszarze”. Pytanie brzmi, czy nie jest potrzebny najpierw przepis materialny o tym, iż w ogóle można stosować takie urządzenia i w jakim przypadku, a potem dopiero pisać przepis o tym, iż się informuje o tym fakcie – możliwości zastosowania takich urządzeń. To jest pierwsza kwestia.

Druga kwestia dotyczy ust. 2 pkt 3. Tam jest mowa o tym, iż w określonych przypadkach, o których mowa, tutaj konkretnie w ustawie o środkach przymusu bezpośredniego, można podjąć decyzję o dopuszczalności zastosowania pewnych urządzeń. To tak brzmi, jak gdyby te przypadki, do których tutaj odsyłamy, to były przypadki zniszczenia, unieruchomienia bezzałogowego obiektu lądowego albo przejęcia nad nim kontroli. Natomiast jak się spojrzy do tego przepisu art. 11 pkt 17 ustawy o środkach przymusu bezpośredniego, to literalnie tam jest po prostu przypadek użycia lub wykorzystania określonych środków przymusu bezpośredniego w pewnej sytuacji. Więc pytanie, czy to redakcyjnie pasuje? Tego typu przepisów jest potem w ustawie dużo więcej, ale już potem się nie będziemy do tego odnosili, bo to jest wielokrotnie. Pytanie, czy państwa zdaniem redakcyjnie tu wszystko poszło jak trzeba, iż tak powiem?

Ostatnia kwestia dotyczy ust. 5, zgodnie z którym minister obrony narodowej może powierzyć realizację pewnego zadania kierownikowi komórki organizacyjnej lub jednostki organizacyjnej podległej mu. Więc pytanie, czy ten przepis jest potrzebny, czy to nie wynika z przepisów ogólnych o podległości, z hierarchii po prostu tego, iż minister obrony narodowej generalnie może wszelkie swoje zadania powierzyć swoim podległym sobie po prostu kierownikom komórki organizacyjnej? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Odpowiedź i później pani mecenas.

Pan dyrektor Cichomski został wskazany przez pana ministra. Bardzo proszę.

Zastępca dyrektora departamentu MSWiA Mariusz Cichomski:

Bardzo dziękuję.

Jeśli chodzi o pierwszą wątpliwość co do generalnej normy, zwracam uwagę, iż w ustawie tej uchylany jest art. 42 ustawy – Prawo komunikacji elektronicznej. jeżeli w ogóle gdziekolwiek generalna norma miałaby funkcjonować, to na pewno w ustawie głównej obszarowej w tym zakresie. Natomiast on jest uchylany dlatego, bo z obecnego jego uregulowania nic nie wynika i nie stanowi ono samodzielnej kompetencji. Ten artykuł skonstruowany jest w przypadkach i na zasadach określonych w przepisach odrębnych. Przez adekwatne organy można zastosować tego typu urządzenia. I tak, przenosząc się na grunt infrastruktury krytycznej, jeżeli w ogóle byśmy stosowali tego typu urządzenia, to żeby odczytać tę kompetencję, należałoby połączyć ustawę o ochronie osób i mienia, wskazując, jakiego rodzaju środki przymusu bezpośredniego mogą być użyte przez SUFO razem z ustawą o środkach przymusu bezpośredniego, która definiuje same środki jako takie. Tę logikę należałoby odnieść również do każdej innej formacji tego rodzaju – czy ustawy o Policji w zakresie art. 18c, czy ustawy o Straży Granicznej w tym samym zakresie. Więc żeby nie tworzyć piramidalnej konstrukcji, odeszliśmy od założenia, w którym mamy generalną normę, z której mało co wynika, bo i tak odsyła do ustaw obszarowych. Natomiast to z ustaw obszarowych ma wynikać danego rodzaju kompetencja. Stąd ta konstrukcja.

Natomiast jeżeli chodzi o uwagę drugą dotyczącą odwołania do artykułu wynikającego z ustawy o środkach przymusu bezpośredniego, zwrócę uwagę, iż w przeciwieństwie do kwestii bezzałogowców latających i bezzałogowców pływających, gdzie mamy ustawy obszarowe, czyli odpowiednio ustawę – Prawo lotnicze, art. 156ze, czy projektowany przepis w ustawie o ochronie żeglugi i portów morskich, jeżeli chodzi o bezzałogowce pływające, to w przypadku bezzałogowców – już powiem w uproszczeniu – lądowych nie ma takiej ustawy, gdzie można byłoby zawiesić wyodrębnioną konstrukcję legislacyjną. Dlatego inaczej jest sformułowany projektowany przepis ustawy o środkach przymusu bezpośredniego, w którym nie jest wyłącznie wymieniany sam środek przymusu, ale też wskazywane są przypadki, w którym może być wykorzystany, czy dojść do zniszczenia, unieruchomienia czy jakiejkolwiek innej przesłanki. Stąd wydaje nam się, iż może konstrukcja jest dość karkołomna i odmienna od pozostałych dwóch przypadków, ale nie jesteśmy w stanie znaleźć innego rozwiązania ze względu na brak analogicznej ustawy.

Co do uwagi trzeciej, tutaj konsultowaliśmy się jeszcze bezpośrednio z przedstawicielem ministra obrony narodowej. Ten przepis jest potrzebny ze względu na strukturę samego resortu obrony narodowej i tam komórka – w razie czego proszę mnie poprawić – łącznościowa czy od fal nie jest traktowana jako komórka bezpośrednio Ministerstwa Obrony Narodowej.

Zastępca dyrektora Wojskowego Biura Zarządzania Częstotliwościami płk Adam Stacherczak:

Dokładnie tak. Płk Stacherczak, właśnie Wojskowe Biuro Zarządzania Częstotliwościami, czyli ta jednostka adekwatna w sprawach zarządzania częstotliwościami.

Z racji tego, iż nie jesteśmy bezpośrednio w strukturze ministerstwa, taka delegacja ustawowa według naszego departamentu prawnego jest niezbędna do powierzenia nam tego zadania.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Bardzo proszę, pani mecenas.

Legislator Karina Parśniak:

Dziękuję bardzo.

To skoro pan pułkownik wywołał tę kwestię Wojskowego Biura Zarządzania Częstotliwościami, to właśnie chciałam o to zapytać, dlatego iż z ust. 1 wynika, iż operator infrastruktury krytycznej będzie informował prezesa Urzędu Komunikacji Elektronicznej oraz kierownika jednostki organizacyjnej podległej ministrowi obrony narodowej adekwatnej w sprawach zarządzania częstotliwościami. Chcemy zwrócić uwagę, iż zarówno na gruncie tej ustawy, jak i każdej innej, bo przejrzałam system prawny, tak naprawdę nie wiadomo, co to jest za jednostka. Zatem czy każdy operator infrastruktury krytycznej będzie wiedział, kogo ma poinformować? Bo to, iż jesteście państwo taką jednostką adekwatną w sprawach zarządzania częstotliwościami, to chciałam zwrócić uwagę, iż wynika tylko z decyzji ministra obrony narodowej z 7 lipca 2024 r. w sprawie zarządzania widmem częstotliwości radiowych w resorcie obrony narodowej. Zatem pytanie, czy jednak nie powinno się tego bardziej doprecyzować, bo tak naprawdę może problem powstać po stronie takich operatorów infrastruktury krytycznej, którzy nie są w strukturach jakby administracji rządowej. Czy oni będą wiedzieli, kogo mają poinformować? To jest jedna kwestia.

Druga rzecz dotyczy tego, iż w ust. 1 pkt 2 mówicie państwo o sektorach planowanego oddziaływania urządzeń. W związku z tym, iż w całej ustawie tutaj o zarządzaniu kryzysowym w odniesieniu do sektorów zwykle odwołujemy się do załącznika do ustawy o zarządzaniu kryzysowym, pytanie, o jakiego rodzaju sektory tutaj w tym przypadku by chodziło?

Ostatnia rzecz – ust. 2 część wspólna, ponieważ mowa jest o pracownikach ochrony specjalistycznych uzbrojonych w formacji ochronnych. Chciałam zwrócić uwagę, iż w tym przypadku już państwo nie precyzujecie, iż to jest specjalistyczna uzbrojona formacja ochronna chroniąca infrastrukturę krytyczną, tak jak było w art. 6zf ust. 2, na co Biuro Legislacyjne zwracało uwagę przy okazji omawiania tego przepisu. Dziękuję bardzo.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Pan dyrektor Cichomski ponownie, jak rozumiem?

Zastępca dyrektora departamentu MSWiA Mariusz Cichomski:

Tak jest.

Szanowni państwo, to nie jest ustawa, w której ustanawiamy pozycję ustrojową komórki czy jednostki adekwatnej po stronie ministra obrony narodowej, odpowiedzialnej za kwestię łączności. Dlatego zakładamy, iż w tej chwili jest tak a nie inaczej ona nazwana na podstawie dokumentów, stosownych zarządzeń wewnętrznych ministra. Ona może przyjąć równie dobrze inną nazwę, połączyć się z czymś, wykreować jakiś inny byt prawny, więc musimy tutaj skorzystać z generalnego tak naprawdę i abstrakcyjnego charakteru normy prawnej.

Natomiast pamiętajmy o jednej rzeczy – żeby ten przepis zaistniał, to musimy mieć operatora infrastruktury krytycznej, czyli musimy mieć konkretny podmiot wyłowiony, który nawiązuje kontakt, zyskuje ten status, więc siłą rzeczy on jest bezpośrednio prowadzony do tego, żeby wiedzieć, z kim się skontaktować w przy najróżniejszych elementach swojego funkcjonowania. To jest podmiot, który musi sporządzać plan, musi być przygotowany do tego, żeby korzystać z określonego rodzaju urządzeń, więc siłą rzeczy to nie jest przypadkowy podmiot, który będzie, kolokwialnie mówiąc, po omacku szukał w resorcie obrony narodowej adekwatnej komórki organizacyjnej. I chyba to jest clou.

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pan pułkownik jeszcze coś?

Zastępca dyrektora WBZC płk Adam Stacherczak:

Tak, o ile mogę.

Oczywiście do nawiązania kontaktu – my sobie tak to wyobrażamy – operator, powołując się na odpowiedni artykuł z ustawy, skieruje pismo oczywiście do ministerstwa. Natomiast później to pismo trafi do nas i wtedy będziemy już bezpośrednio, jako adekwatna instytucja w tej sprawie, rozmawiać z operatorem.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Wszystko jasne. Nie mamy poprawek do tego, zatem stwierdzam, iż zmiana nr 7, art. 6zj… Nie ma pytań.

Głos z sali:

Było pytanie, ale nie było odpowiedzi.

Przewodniczący poseł Konrad Frysztak (KO):

Nie było? To pan pułkownik, bardzo proszę.

Zastępca dyrektora WBZC płk Adam Stacherczak:

Tak, o ile można.

Pani mecenas zadała pytanie o te sektory. Powiem tak – do określenia dokładnego obszaru oddziaływania tych urządzeń uniemożliwiających telekomunikację, my w wojsku na to mówimy „jammery”, służy kilka podstawowych parametrów. Między innymi są to charakterystyki anten, tylko iż te anteny mają różne charakterystyki. One mogą być dookólne, mogą działać w określoną stronę. Dlatego potrzebujemy jeszcze takich rzeczy, jak na przykład elewacja, azymut. Żeby nie komplikować tutaj zapisów ustawy, chodzi nam konkretnie o sektor oddziaływania, czyli w którą stronę to urządzenie będzie tak naprawdę tę łączność obezwładniać. Bo oprócz dronów potencjalnego przeciwnika oczywiście narażone są nasze własne systemy, więc musimy zdać sobie z tego sprawę i wymagać to będzie od nas ogromu pracy koordynacyjnej.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Ponieważ już stwierdziłem, iż zmiana nr 7, art. 6zj została rozpatrzona, zatem przystępujemy do rozpatrzenia zmiany nr 7, art. 6zk… Kartka mi się przewróciła, przepraszam – art. 6zk. Mea culpa, art. 6zk został przyjęty. A zatem przystępujemy do zmiany nr 7, art. 6zl…

Legislator Karina Parśniak:

Art. 6zk jeszcze.

Przewodniczący poseł Konrad Frysztak (KO):

Przepraszam, szanowni państwo, bo ja już się gubię, mam suflerów z obu stron. Państwo zaczęliście mnie poprawiać i w końcu się zakręciłem. Przepraszam, wracamy. Stwierdziłem, iż zmiana nr 7, art. 6zj został przyjęty.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zk. Czyli miałem rację, ale tutaj dziękuję za taką rewolucyjną gotowość, jednak tym razem niepotrzebna.

Strona społeczna, bardzo proszę. Proszę o przedstawienie się na potrzeby protokołu.

Ekspert ds. legislacji Pracodawców RP Magdalena Malinowska-Wójcicka:

Dzień dobry. Magdalena Malinowska-Wójcicka, pracodawcy RP.

Z pewnymi wątpliwościami – tak naprawdę dotyczą one Prawa pocztowego, które nam się w art. 6zk pojawia po raz pierwszy w ust. 1 pkt 12. Nasze wątpliwości dotyczą dwóch aspektów.

Pierwszym aspektem jest to, czy rzeczywiście cały sektor usług pocztowych powinien być objęty wymogami bycia usługą kluczową. Tutaj chcemy zwrócić uwagę na to, iż Polska jest jednym z niewielu krajów, który przy implementacji tych przepisów do krajowego porządku prawnego, zdecydował się na objęcie tymi wymogami wszystkich usług pocztowych. Wszystkie usługi pocztowe oznaczają także sektor przesyłek kurierskich i to sektor przesyłek kurierskich komercyjnych, takich konsumenckich. Czyli z literalnego brzmienia przepisu i załącznika do ustawy wynika, iż usługą kluczową będzie na przykład dostarczenie pralki albo usługą kluczową będzie zamówienie firmą kurierską butów. Nasze wątpliwości polegają na tym, czy nie jest to zbyt daleko idące włączenie usług kluczowych. Bylibyśmy bardzo wdzięczni ze strony rządu i strony rządowej za ewentualne rozważenie albo zawężenia tego tylko i wyłącznie do tych usług kluczowych pocztowych, które powinny być objęte takim zakwalifikowaniem do usług kluczowych; ewentualnie wyjaśnieniami, dlaczego zdecydowano się na tak szerokie potraktowanie usług pocztowych jako usług kluczowych.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

RCB się odniesie.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski, RCB.

W ramach odpowiedzi na to pytanie należy przyjąć kilka faktów, które dotyczą i są opisane w ustawie o zarządzaniu kryzysowym.

Po pierwsze, żeby być podmiotem krytycznym, najpierw trzeba być operatorem infrastruktury krytycznej, czyli zostać wyłonionym za pośrednictwem czy ministra adekwatnego, tudzież zgodnie z podziałem zadaniowym, czy też adekwatnego wojewodę, czy też KNF, czy też w przyszłości NBP. Jak gdyby to predestynuje bycie tym operatorem infrastruktury krytycznej, oczywiście po spełnieniu odpowiednich kryteriów skutkowych, czyli tzw. przekrojowych, jak również kryteriów sektorowych. Tych, które są przypisane dla konkretnego sektora. Dopiero wtedy na podstawie analizy tego podmiotu, który, o ile będzie w tym systemie pocztowym operatorem infrastruktury krytycznej, należy rozważyć pod względem istotności skutku zakłócającego świadczenie usługi kluczowej przez ten podmiot, czy ten podmiot będzie spełniał odpowiednie wymagania, czyli gdzie ten wpływ zakłócenia tej usługi realizowanej przez podmiot pocztowy w tym momencie będzie miał znaczącą funkcję związaną z niedostarczeniem tej usługi na odpowiednim poziomie. W ramach tego należy wskazać, iż będą dwa akty wykonawcze. Pierwszy to jest właśnie uchwała w zakresie wyłaniania infrastruktury krytycznej i drugi dokument, który jest rozporządzeniem o usługach i progach istotności skutku zakłócającego. Dopiero po spełnieniu tego wszystkiego będziemy mogli mówić, czy dany podmiot będzie właśnie tym podmiotem krytycznym.

Należy wskazać dodatkowo, iż ustawa o krajowym systemie cyberbezpieczeństwa również jako podmioty ważne wskazuje podmioty będące w sektorze przesyłek kurierskich czy też w sektorze pocztowym, jak tutaj możemy powiedzieć. Tam nie ma żadnej wolumetrii. Tam wszystkie podmioty, które spełniają warunki bycia podmiotem ważnym, są właśnie objęte ustawą o KSC, gdzie w niektórych przypadkach te wymagania dotyczące i stawiane tym podmiotom są adekwatne, a wręcz przewyższają w pewnych aspektach sprawy związane z ochroną infrastruktury krytycznej, a tym bardziej byciem podmiotem krytycznym. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są inne uwagi? Pani mecenas, bardzo proszę.

Legislator Karina Parśniak:

Dziękuję bardzo.

Do art. 6zk mamy do państwa pytanie, ponieważ w przepisie tym całym, zarówno w ust. 1, jak i w ust. 2, mowa jest o sektorach. Czy to mają być sektory inne niż określone w załączniku do ustawy? Bo dotychczas zawsze mówimy o sektorach określonych w załączniku do ustawy poza wyjątkiem, o którym wcześniej rozmawialiśmy, dotyczącym tego, co nam pan pułkownik wyjaśniał do poprzedniego przepisu. Ta uwaga również dotyczyłaby następnego przepisu – art. 6zl. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Kto się będzie odnosić? Pan mecenas.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Oczywiście chodzi o sektory wymienione w załączniku do ustawy.

Legislator Karina Parśniak:

To w takim razie poprosilibyśmy o poprawkę na etapie sprawozdania do art. 6zk i 6zl, bo nie jesteśmy w stanie tego zrobić na redakcję. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Myślę, iż możemy liczyć na taką pomoc i zostanie to przygotowane.

Czy są poprawki do art. 6zk? Nie widzę. Stwierdzam zatem, iż zmiana nr 7, art. 6zk został przez Komisję rozpatrzony.

Przechodzimy do rozpatrzenia zmiany nr 7, art. 6zl. Pan mecenas.

Legislator Jakub Bennewicz:

Dziękuję. Kilka takich kwestii dotyczących precyzji przepisów.

Pierwsza z nich dotyczy pkt 5. Tam jest mowa o współpracy z podmiotami krytycznymi w danym sektorze lub podsektorze w zakresie obsługi incydentów. Pytanie brzmi, czy to jest wystarczająco precyzyjne, czy z tego przepisu będzie wynikało, na czym ta kooperacja w zakresie obsługi incydentów ma konkretnie polegać?

Kolejna taka kwestia dotyczy pkt 6 i 7. Tam jest mowa o monitorowaniu stosowania przepisów ustawy przez podmioty krytyczne i prowadzeniu kontroli podmiotów krytycznych. Wydaje się, iż nie ma żadnych przepisów materialnych, które by dotyczyły tego, na czym ma polegać to monitorowanie i ta kontrola. Kto kontroluje, jak kontroluje, w jakim trybie kontroluje, jakie są uprawnienia kontrolne. Czy tutaj nie potrzeba jakichś przepisów dotyczących tego?

I podobna kwestia odnosi się do pkt 9, gdzie jest mowa o uczestniczeniu w planowaniu i organizowaniu ćwiczeń podmiotów krytycznych oraz w razie potrzeby brania w nich udziału. Też pytanie brzmi, czy nie potrzebujemy przepisów materialnych dotyczących organizacji tych ćwiczeń, kto je organizuje, jak je organizuje, jak często je organizuje, według jakiego programu itd.? Jak to w innych ustawach, gdy się mówi o tego typu uprawnieniach czy czynnościach, to zwykle się określa. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Pan dyrektor Cichomski czy pan mecenas? Pan mecenas, bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Tutaj podobnie, jak już wcześniej się rozmawialiśmy o przepisach dotyczących infrastruktury krytycznej – również w przypadku organu do spraw podmiotów krytycznych wymieniamy rzeczywiście ten enumeratywnie zmieniony katalog zadań, które należą do organu do spraw podmiotów krytycznych i w dalszych przepisach one są uszczegółowione. To jest też takie dostosowanie do obecnej nomenklatury dosyć już leciwej ustawy o zarządzaniu kryzysowym. Dlatego próbowaliśmy się tekstowo wpasować w obecne przepisy.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są inne uwagi, poprawki? Nie widzę. Stwierdzam zatem, iż zmiana nr 7, art. 6zl został rozpatrzony.

Przechodzimy do zmiany nr 7, art. 6zm. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję bardzo.

Jeśli chodzi o ten przepis, to po pierwsze, w ust. 1 w pkt 7 występuje odesłanie do dyrektywy. O tym już mówiliśmy, więc się nie będę już szerzej nad tym rozwodził. Jest to generalnie błąd legislacyjny. W kilku miejscach udało się to poprawić, natomiast tutaj zostało.

Następnie ust. 2 pkt 1. Tam jest mowa o informacjach na temat infrastruktury krytycznej zlokalizowanej na terytorium RP itd. Pytanie, czy to będzie wystarczająco jasne, gdyż nie wiemy znowuż, jakie to mają być informacje?

Następna kwestia dotyczy ust. 2 pkt 2 i tu znowuż występują dobre praktyki związane ze zgłaszaniem i obsługą incydentów istotnych, więc tu znowuż takie pytanie jak wcześniej: czym są te dobre praktyki, kto je opracowuje, gdzie będą udostępniane? Nie ma na ten temat przepisów.

I to samo pkt 4 – też dobre praktyki krajowe dotyczące podnoszenia świadomości, szkoleń itd. Również tutaj brakuje jakichkolwiek przepisów na temat tego, kto to opracowuje, gdzie umieszcza, jak to będzie dostępne. Koniec, jeżeli chodzi o mnie. To tyle, jeżeli chodzi o ten przepis.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Panie ministrze?

Sekretarz stanu w MSWiA Wiesław Szczepański:

Pan mecenas.

Doradca RCB Robert Tyszkiewicz:

Jeżeli można w kwestii niewskazywania bezpośrednio dyrektywy, akurat staraliśmy się wszędzie poprawiać przepisy w tym zakresie, żeby nie było odwołań bezpośrednich do dyrektywy i próbowaliśmy to robić opisowo, co na razie nam dobrze idzie. Natomiast w tym miejscu rzeczywiście, gdybyśmy chcieli opisać grupę współpracy i odnieść się do ustawy o KSC, otrzymalibyśmy taką konstrukcję, iż odwołujemy się do przepisu, który odwołuje się do dyrektywy. Więc możemy chyba pozostawić w tym miejscu dyrektywę, gdyż możemy to zrobić przez odniesienie się do ustawy o KSC, ale tam z kolei będzie wskazana dyrektywa.

Natomiast pozostałe dwa pytania – o ile chodzi o te wszystkie kompetencje pojedynczego punktu kontaktowego, to są też w bardzo dużej mierze, w większości przypadków, regulacje, które musimy po prostu transponować do polskiego porządku.

Jeżeli chodzi o informacje na temat infrastruktury krytycznej zlokalizowanej na terytorium RP, która służy realizacji usług kluczowych w innych państwach członkowskich, to jest prawdopodobnie merytoryczne nawiązanie do tego, co w tej chwili stanowi europejską infrastrukturę krytyczną, czyli jedna infrastruktura krytyczna w jednym kraju może oddziaływać na infrastrukturę krytyczną innych krajów, ale to też po prostu są najzwyczajniej w świecie informacje, które są wymagane przez Komisję Europejską i Grupę ds. Odporności Podmiotów Krytycznych w zakresie wymiany danych na temat infrastruktury krytycznej. A dobre praktyki, to nie jestem specjalistą, ale pan Witold z pewnością jest. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Mamy obowiązek wynikający z dyrektywy nawiązać współpracę w zakresie identyfikowania infrastruktury krytycznej – zarówno tej, która jest zlokalizowana na terytorium RP, a służy realizacji czy utrzymaniu usług kluczowych w innych krajach, i w drugą stronę, bo to działa w dwie strony, mamy możliwość pozyskiwania informacji o ochronie infrastruktury leżącej na terytorium innego państwa, niezbędnej do realizacji naszych usług kluczowych. Ten cały obszar jest właśnie opisany w dyrektywie jako zadanie pojedynczego punktu kontaktowego. Jakie będą to informacje? Zobaczymy, jaki będzie charakter tej infrastruktury. Czy to będzie fizyczna rura, czy to będzie usługa chmurowa na przykład. Przypominam, iż znaczna część infrastruktury niezbędnej do realizacji usług chmurowych dla całej Europy jest zlokalizowana w Polsce, więc raczej oczekujemy, iż to inne kraje będą od nas chciały uzyskać informacje o poziomie ochrony.

Natomiast o ile chodzi o dobre praktyki, to my ich używamy, odkąd chronimy infrastrukturę krytyczną. Opracowujemy takie dokumenty, one nie są obowiązujące. W ramach współpracy z operatorami infrastruktury krytycznej i podmiotami krytycznymi w tych wstępach do artykułów mamy obowiązek właśnie publikowania różnych dokumentów ułatwiających pracę tymże podmiotom i nazywamy je dobrymi praktykami. po prostu wskazujemy, jak dobrze coś robić bez obowiązku stosowania, bo jest to często uzależnione od rodzaju podmiotu. Chciałem jeszcze zwrócić uwagę, iż pojęcie „dobre praktyki”, jako obowiązek stosowania takich miękkich sposobów oddziaływania, w dyrektywie powtarza się siedem razy, więc nawiązujemy do dyrektywy, do praktyki dotychczas stosowanej. Jest to dla nas zrozumiałe. Nie jest to obowiązkowe, więc jest to bardziej nasz obowiązek niż obowiązek podmiotu; jest to ułatwienie im życia, a nie obowiązek stosowania.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Nie ma innych pytań. Są poprawki. Pani przewodnicząca Nowogórska.

Poseł Urszula Nowogórska (PSL–TD):

Tak jest. Panie przewodniczący, Wysoka Podkomisjo, mam dwie poprawki.

Poprawka nr 1: W art. 6zm w ust. 1 w pkt 8 wyrazy „o których mowa w ustawie” zastąpić wyrazami „o którym mowa w art. 4 pkt 18 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa”.

I poprawka nr 2: W art. 6zm w ust. 5 pkt 1 skreślić wyraz „niezwłocznie”.

Jako uzasadnienie tych poprawek podaję likwidację odniesienia do dyrektywy w treści ustawy oraz doprecyzowanie regulacji w zakresie prowadzenia pojedynczego punktu kontaktowego. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej pozytywne. Dziękuję bardzo. Biuro Legislacyjne.

Legislator Tomasz Czech:

Tutaj akurat mamy wątpliwości co do tej drugiej poprawki, a mianowicie skreślenia tego wyrazu „niezwłocznie”. Z jednej strony rzeczywiście będzie to taki przepis, który jakby zobowiązuje pojedynczy punkt kontaktowy do przekazywania KE informacji o określonych organach, czyli wyznaczonych do spraw podmiotów krytycznych, czy o przepisach dotyczących kar pieniężnych. Nie będzie się tu wskazywało, iż ma to nastąpić niezwłocznie, jak rozumiem, chociaż tutaj była wątpliwość – na przykład niezwłocznie ma przekazać przepisy dotyczące kar pieniężnych, czyli adekwatnie w którym momencie? Ale z drugiej strony, czy to będzie jasne, kiedy ma przekazać te informacje? Czy to będzie zgodne w ogóle z dyrektywą z tego punktu widzenia, czy w ogóle pojedynczy punkt kontaktowy będzie mógł sobie w jakiś sposób wybrać, iż na przykład, nie wiem, po pół roku, po roku w jakiś sposób nie będzie to monitorowane przez KE na przykład w tym zakresie i czy jest to wystarczające jakby zobowiązanie dla punktu kontaktowego, żeby te informacje przekazywał do KE? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Panie mecenasie, proszę o głos.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Tak, oczywiście tutaj wykreślamy wyraz „niezwłocznie”, ponieważ w tym miejscu to powinno być zadanie stałe i bardziej takie, które będzie powodowało możliwość przekazywania jakichś danych, o ile chodzi o zmianę w organach. Jak również nie wiem, dlaczego akurat jakoś wyjątkowo dyrektywa kładzie nacisk na weryfikację wysokości kar, ale tak jest to wskazane w dyrektywie.

Natomiast o ile chodzi o „po raz pierwszy” – w art. 30 ustawy mamy, iż „Pojedynczy Punkt Kontaktowy, o którym mowa w art. 6zm ust. 1 ustawy zmienionej w art. 1, w brzmieniu nadanym niniejszą ustawą – co wykreślimy prawdopodobnie – po raz pierwszy przekazuje KE informacje o przepisach dotyczących kar pieniężnych nie później niż w ciągu 7 dni od dnia wejścia w życie ustawy”. I później podobne kwestie dotyczą też przekazywania danych dotyczących organów do spraw podmiotów krytycznych. Akurat tutaj będzie termin – przynajmniej na razie jest w projekcie – trzech miesięcy. Natomiast dlatego tu wykreśliliśmy niezwłocznie, bo troszeczkę się rozpędziliśmy. Tu wpisaliśmy zadanie, które powinno być stałe, bez wskazywania „niezwłocznie”. Dyrektywa wymaga, żeby przekazać te informacje niezwłocznie, a po raz pierwszy zostanie to przekazane niezwłocznie w terminach określonych w przepisie, w art. 30 ustawy. Tak mi się wydaje, iż to dobrze wygląda.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Tylko jedna rzecz – czy będzie jasne, bo „po raz pierwszy”, rozumiem, iż jest ten przepis, ale później czy to jest wystarczający przepis dla punktu kontaktowego, żeby wiedział, iż za każdym razem, kiedy zostanie wyznaczony jakiś organ, na przykład do spraw podmiotu krytycznego, tudzież ewentualnie zostanie wprowadzona, załóżmy, zmiana w przepisach dotyczących kar pieniężnych, żeby informował KE o tych zmianach w tym zakresie? Bo tutaj takiego zobowiązania nie będzie w tym przypadku.

Przewodniczący poseł Konrad Frysztak (KO):

Pan mecenas, bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

W sumie to sprowadza się do tego, iż jak zmienią się przepisy o karach albo zmienią się regulacje dotyczące organu – ale to też wymaga zmiany ustawy – wówczas te informacje zostaną przekazane i zrobi to pojedynczy punkt kontaktowy w ramach swoich zadań. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są uwagi do poprawek? Nie widzę. Stwierdzam zatem, iż obie poprawki zostały przyjęte, a co za tym idzie, zmiana nr 7, art. 6zm z poprawkami został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zn. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Tylko jedna taka, wydawałoby się, drobna kwestia, jeżeli chodzi o ust. 2.

Tam mówimy o tym, iż w konsultacjach, o których mowa w ust. 1, organy do spraw podmiotów krytycznych wypracowują w zależności od potrzeb rozwiązania w zakresie zwiększenia odporności itd. Więc pytanie, czy potrzebujemy tych wyrazów „w zależności od potrzeb”, bo wydawałoby się, iż jeżeli tych potrzeb nie ma, to po prostu się nie wypracowuje. Te wyrazy wydają się zbędne. Pytanie, czy można je wykreślić? To wszystko.

Przewodniczący poseł Konrad Frysztak (KO):

Panie mecenasie?

Doradca RCB Robert Tyszkiewicz:

Powiem szczerze – merytorycznie nie jestem tu ekspertem, natomiast jest to regulacja, która po prostu dokonuje implementacji przepisów unijnych, więc wrzuciliśmy regulację w ramach implementacji dyrektywy.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Nie ma innych uwag, zatem stwierdzam, iż zmiana nr 7, art. 6zn został rozpatrzony. N jak Natalia.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zo. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję.

Pierwsza kwestia dotyczy ust. 3 i tam mówimy o tym, iż wykaz podmiotów krytycznych jest prowadzony w systemie teleinformatycznym, o którym mowa w ustawie o KSC o konkretnym przepisie. Pytanie, czy w związku z tym nie musimy, czy nie powinniśmy również, uzupełnić tego przepisu właśnie art. 46 ust. 1 ustawy o KSC, który mówi o tym, jakie są funkcjonalności tego systemu, ażeby też z tamtej ustawy analogicznie wynikało, iż system jest także przeznaczony do prowadzenia owego wykazu? To jest pierwsza kwestia.

Następnie, jeżeli chodzi o strukturę ust. 5, to proszę zwrócić uwagę, iż w poszczególnych punktach mówimy o danej formacji, o danej służbie, tak jak Agencja Bezpieczeństwa Wewnętrznego, Agencja Wywiadu i tylko w pkt 7 jest wymieniony organ wprost jako prezes Urzędu Ochrony Danych Osobowych. Pytanie, czy nie powinniśmy tego ujednolicić i też mówić na przykład tylko o Urzędzie Ochrony Danych Osobowych, a nie o prezesie, skoro w innych punktach, tak jak powiedziałem, mówimy o całej formacji.

Kolejna kwestia dotyczy pkt 17, gdzie mówimy o podmiocie, w ramach którego funkcjonuje Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego poziomu krajowego. Wydaje nam się, iż w ustawie o KSC mówimy o tym, iż ten zespół działa „na poziomie krajowym”, a nie jest „poziomu krajowego”. To jest kwestia redakcyjna. Pytanie, czy mamy rację i czy nie należałoby tego ujednolicić? To tyle. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Bardzo proszę, RCB.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski, RCB.

Idąc od końca z uwagami, jest to CSIRT poziomu krajowego. Tak jest w ustawie i tak zawsze jest przyjęte, iż to są CSIRT poziomu krajowego.

W zakresie drugiej uwagi dotyczącej tego wykazu prowadzonego w Systemie S46, czyli w systemie, o którym mowa w art. 46, to stanowisko było wielokrotnie uzgadniane i komunikowane z ministrem adekwatnym ds. cyfryzacji, i to zostało przyjęte. Tak ma to brzmieć, zgodnie właśnie z tą uwagą. Tak iż tutaj nie widzimy jakiegoś sprzeciwu. Natomiast kwestia, czy prezesowi UODO. To pozostaje panu mecenasowi.

Doradca RCB Robert Tyszkiewicz:

Jeżeli można. W toku prac rządowych też po części były przyjmowane uwagi poszczególnych podmiotów, czy też ministrów. W tym momencie akurat rzeczywiście nie wiem, czy to powinno być ujednolicone. Możemy jeszcze, o ile państwo pozwolicie, zweryfikować to na etap Komisji. o ile taka poprawka będzie konieczna poprzez wskazanie urzędu, a nie organu, to wówczas możemy tego dokonać.

Co do kwestii połączenia z ustawą o KSC, to ten projekt w obszarze zmian i dostosowania pod kątem nowelizacji ustawy o KSC będzie musiał być dokonany i z pewnością poprawki w ustawie zmieniającej ustawę o KSC jeszcze będą przedkładane. Wynika to po prostu z tego, iż projekt ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw został przyjęty przez Radę Ministrów w momencie, kiedy, zdaje się, nowelizacja ustawy o KSC została ogłoszona w Dzienniku Ustaw. W tym momencie troszeczkę musimy dostosować przepisy naszej ustawy w zakresie zmian ustawy o KSC.

Szef wydziału RCB Jarosław Pudzianowski:

Panie przewodniczący, Jarosław Pudzianowski.

Teraz sprawdziłem – incydenty dotyczące ochrony danych osobowych zgłasza się organowi nadzorczemu, którym w RP jest prezes UODO. Tak iż jest prawidłowo.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Pan poseł Ściebiorowski, bardzo proszę.

Poseł Łukasz Ściebiorowski (KO):

Dziękuję, panie przewodniczący.

Szanowni państwo, poprawka nr 1: W art. 6zo w ust. 2 wprowadzeniu do wyliczenia nadać brzmienie: „Wykaz podmiotów krytycznych zawiera dane podmiotów krytycznych obejmujące:”.

Poprawka nr 2: W art. 6zo w ust. 2 w pkt 1 skreślić wyrazy „podmiotu krytycznego”.

Poprawka nr 3: W art. 6zo w ust. 2 w pkt 4 po wyrazie „nazwę” dodać wyraz „świadczonej” oraz skreślić wyrazy „zgodną z wykazem usług kluczowych”.

Poprawka nr 4: W art. 6zo w ust. 2 po pkt 5 dodać pkt 5a w brzmieniu: „5a) dane pełnomocnika bezpieczeństwa usługi kluczowej oraz zastępcy pełnomocnika bezpieczeństwa usługi kluczowej obejmujące imię i nazwisko, nr telefonu oraz adres poczty elektronicznej”.

Te poprawki mają charakter doprecyzowujący przepisy, jeżeli tak mogę zaproponować. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej? Pozytywne. Dziękuję bardzo. Biuro Legislacyjne również nie wnosi uwag. Czy są inne uwagi do poprawek? Nie widzę. Zatem stwierdzam, iż cztery poprawki do art. 6zo zostały przyjęte, a co za tym idzie, zmiana nr 7, art. 6zo wraz z poprawkami został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zp. Biuro Legislacyjne, proszę bardzo.

Legislator Jakub Bennewicz:

Tutaj, szanowni państwo, będzie troszkę więcej uwag, więc może je zblokujemy.

Pierwsza kwestia dotyczy ust. 1 pkt 2. Tam co prawda będzie poprawka do tego przepisu, ale akurat pkt 2 się nie będzie zmieniał. Po pierwsze, nasze pytanie brzmi, czy to będzie jasne, o jaki incydent tutaj chodzi? Gdyż odwołujemy się po prostu do jakiegoś incydentu, który miałby istotny skutek zakłócający. Czy nie trzeba tego jakoś powiązać z tym operatorem infrastruktury krytycznej, który występuje we wprowadzeniu do wyliczenia? To jest pierwsza kwestia.

Po drugie, skoro mówimy o tym, iż incydent miałby istotny skutek zakłócający, czy nie powinniśmy tego w jakiś sposób powiązać z tymi progami istotności, które występują w innych przepisach?

Może jeszcze jedno pytanie, zanim zrobię przerwę – dotyczy ust. 3 i tam jest wykaz usług kluczowych, który miałby być określany w drodze rozporządzenia przez Radę Ministrów. W naszej ocenie troszkę brakuje przepisów materialnych dotyczących tego zakresu, więc pytanie, czy państwo takie przepisy materialne gdzieś widzą? Ażeby móc określić pewne kwestie w rozporządzeniu, powinny być najważniejsze przepisy na ten temat umieszczone w ustawie. Tutaj może na razie postawię średnik.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę, RCB.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Sformułowanie „incydent miałby istotny skutek zakłócający” jest dla nas jednoznaczne. W rozporządzeniu Rady Ministrów mają się ukazać usługi najważniejsze i do każdej z tych usług ma być wskazany istotny skutek zakłócający, więc szukamy podmiotu, który może wywołać incydent wyższy niż istotny skutek zakłócający. Jest to dla nas oczywiste. Jest to implementacja – takiego słownictwa tam się używa. Nie budzi to żadnych wątpliwości. Po ukazaniu się rozporządzenia Rady Ministrów właśnie w sprawie tychże usług i progów istotności będzie to zrozumiałe.

Odnosząc się do samego wykazu, faktycznie określenie „wykaz” jest tutaj niefortunne i chyba to jest objęte poprawką. Chodzi o to, żeby Rada Ministrów… Nie bardzo jest sens tworzenia dodatkowego prawa materialnego. Dyrektywa mówi, iż każdy kraj członkowski ma sporządzić wykaz usług kluczowych i to jest wypełnienie normy dyrektywy. Rada Ministrów określa wykaz. Nic więcej nie potrzebujemy. Jest to jednoznaczne.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Jakub Bennewicz:

To tylko taki krótki komentarz, iż to może nie tyle jest kwestia potrzeb, co kwestia wymagań tego, jak powinny być skonstruowane przepisy upoważniające, ale to już tak na marginesie.

I teraz, jeżeli chodzi o dalsze uwagi do tego samego przepisu, mówimy teraz cały czas o ust. 3. To jest przepis, przypomnę, upoważniający, a tego typu przepisy powinny być szczególnie precyzyjne, dlatego iż wyznaczają zakres tego, co ma objąć rozporządzenie. W pkt 6 mówimy o tym, iż wydanie rozporządzenia ma być uzależnione od utrzymania wystarczającego poziomu świadczenia usługi kluczowej. Pytanie, jak to mierzyć, iż będzie to wystarczający poziom świadczenia, w zależności od czego? Gdyż jest to, tak jak powiedziałem, element zakresu przedmiotowego tego rozporządzenia.

Później jeszcze bardziej to jest uwypuklone w pkt 7, gdzie mówimy o tym, iż należy wziąć pod uwagę inne czynniki charakterystyczne dla danego sektora lub podsektora, o ile występują. W naszej ocenie nie jest to precyzyjnie określony zakres przedmiotowy rozporządzenia, a upoważnienia powinny być szczegółowe, zgodnie z konstytucją.

I teraz, jeżeli chodzi o to zdanie drugie, które stanowi wytyczne, tam jest mowa o tym, iż wydając rozporządzenie, należy określić co najmniej jeden próg istotności skutku zakłócającego. Wydaje się, iż to jest kolejny element zakresu przedmiotowego, a zostało to tak określone, jak gdyby to była wytyczna. Więc pytanie, czy tego wymogu nie należałoby ująć wcześniej w zakresie przedmiotowym rozporządzenia, a nie wśród wytycznych? Pytanie też, czy można w ten sposób zobowiązywać ministra do tego, co ma tam w tym rozporządzeniu określić? To jest jedna kwestia.

Jeszcze, proszę państwa, jeżeli chodzi o ten przepis – ostatnie pytanie – czy są wytyczne do tych właśnie progów istotności skutku zakłócającego dla świadczenia usług kluczowych? Gdyż wytyczne powinny się odnosić do każdego elementu zakresu przedmiotowego rozporządzenia. W naszej ocenie te wytyczne, które tu zostały umieszczone, jakoś do progów istotności skutku zakłócającego nie do końca się odnoszą. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

RCB.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski, RCB.

W ramach zgłoszonych tutaj uwag – wykaz usług kluczowych jest zawarty w rozporządzeniu, które zawiera jeszcze dodatkowo progi istotności skutku zakłócającego. Zostało tutaj zadane pytanie, cóż to jest ten próg istotności skutku zakłócającego? To jest ta właśnie dysfunkcja; właśnie fachowo mówi się na to „apetyt na ryzyko”, czyli tyle, ile organizacja może pochłonąć zmniejszenia swojej na przykład produkcji, wydajności, które nie wpłynie bezpośrednio na obywateli, na bezpieczeństwo państwa. Czyli mówiąc prostszym językiem, o ile przykładowo wodociągi dostarczają 50 tys. m³, to dla zaspokojenia tych podstawowych potrzeb potrzebne jest 40 tys. m³. o ile spadnie to poniżej 40 tys. m³, równoznaczne będzie to z tym, iż nie będzie zaspokojenia tych podstawowych potrzeb, czyli próg istotności skutku zakłócającego zostanie przekroczony. w uproszczeniu w ten sposób jest to opisane.

Jeżeli mówimy tutaj o sektorach i podsektorach, jak najbardziej te progi istotności są przypisane do konkretnej usługi i tutaj wystarczy tylko i wyłącznie jeden element wskazujący właśnie na tę dysfunkcję, przy czym bardzo często ten element będzie specyficzny dla danej usługi, szczególnie istniejącej w danym podsektorze czy też sektorze, w którym ta usługa jest świadczona. Tak iż tutaj w pełni zostało to wyjaśnione i w pełni się do tego właśnie odnosi. W tej kwestii, mam nadzieję, iż w sposób wystarczający wyjaśniłem. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są inne uwagi? Są poprawki. Bardzo proszę, pan przewodniczący Lachowicz.

Poseł Piotr Lachowicz (KO):

Na wstępie zaznaczę, iż my tę poprawkę nr 1, która rozstrzygała, żeby wyrazy „wykaz usług kluczowych”, o którym mówiliśmy, zastąpić wyrazem „usługi kluczowe”, wycofaliśmy. W związku z tym my jej nie zgłaszamy tak oficjalnie. Mówiliśmy na ten temat też w trakcie dyskusji.

Poprawka nr 1: W art. 6zp w ust. 3 w pkt 1 wyraz „dany” zastąpić wyrazem „ten”.

Poprawka nr 2: W art. 6zp w ust. 3 w pkt 3 po wyrazie „środowisko” dodać wyraz „naturalne”.

Poprawka nr 3: W art. 6zp w ust. 3 pkt 4 po wyrazie „udziału” dodać wyraz „tego” oraz skreślić wyraz „krytycznego”.

Poprawka nr 4: W art. 6zp w ust. 3 zdanie drugie oznaczyć jako ust. 4.

Uzasadnienie: Poprawka nr 1 – zmiana odniesienia w związku ze zmianą kolejności punktów wskazanych w ust. 1. Pozostałe poprawki mają charakter doprecyzowujący.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są uwagi do poprawek? Nie widzę. Stanowisko strony rządowej pozytywne. Czy są inne poprawki? Nie widzę. Zatem stwierdzam, iż cztery poprawki do art. 6zp zostały przyjęte, a co za tym idzie, zmiana nr 7, art. 6zp z poprawkami rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zr. Biuro Legislacyjne… Art. 6zq, bardzo przepraszam.

Legislator Jakub Bennewicz:

Dziękuję bardzo.

Jeśli chodzi o art. 6zq ust. 1, tam jest mowa o tym, iż w celu podjęcia decyzji o dokonaniu wpisu do wykazu podmiotów krytycznych organ do spraw podmiotów krytycznych może wystąpić do operatora o udzielenie informacji, które umożliwią wstępną ocenę, czy spełnia warunki do uznania za podmiot krytyczny. Pytanie, czy z przepisów wystarczająco wynika, do czego służy ta wstępna ocena, w jakim celu ona jest sporządzana? Gdyż w naszej ocenie wprost to z przepisów nie wynika.

Następna kwestia dotyczy ust. 2 pkt 1. Tam jest mowa o tym, iż organ do spraw podmiotów krytycznych przekazuje operatorowi infrastruktury krytycznej dokumenty w zakresie niezbędnym do udzielenia informacji. Pytanie, jakie to będą dokumenty? Skąd organ ma wiedzieć, jakie to będą dokumenty w zakresie niezbędnym do udzielenia informacji? Czy nie należałoby tego w jakiś sposób doprecyzować? Dziękuję bardzo.

Przewodniczący poseł Konrad Frysztak (KO):

RCB.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Szanowni państwo, jak już tu mówiliśmy wielokrotnie, warunkiem będzie ocena, czy dany podmiot jest w stanie wywołać incydent powyżej progu istotności. Tam mogą być kryteria typu udział w rynku, ilość klientów; charakterystyczne w ogóle dla danej usługi. I o te dane – charakterystyczne dla danej usługi – trzeba będzie się zapytać i mieć podstawę prawną, żeby uzyskać wiarygodną odpowiedź. Musimy tu zachować elastyczność, bo te cechy będą przypisane do każdej spośród, jak przypuszczamy, około 180 usług, więc trudno byłoby wylistować, o co pytamy przy której usłudze. Stąd tak ogólne stwierdzenia.

Natomiast o ile organ chce uzyskać jakieś dane, to musi szczegółowo się zapytać, jakich danych potrzebuje, w jakim zestawieniu. o ile to ma być tabela, to jak ma wyglądać i co ma zawierać. Więc to jest z jednej strony bardzo elastyczne, a z drugiej strony wystarczające narzędzie, żeby takie dane wstępne pozyskiwać przed oceną, czy faktycznie może dojść do tego istotnego incydentu.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są uwagi? Nie widzę. Poprawki – pani przewodnicząca Nowogórska, bardzo proszę.

Poseł Urszula Nowogórska (PSL–TD):

Tak jest, mam dwie poprawki.

Poprawka nr 1: W art. 6zq ust. 1 nadać brzmienie: „1. Przed dokonaniem wpisu do wykazu podmiotów krytycznych organ do spraw podmiotów krytycznych występuje do operatora infrastruktury krytycznej o: 1) udzielenie informacji, które umożliwią wstępną ocenę, czy ten operator spełnia warunki, o których mowa w art. 6zp ust. 1; 2) wskazanie infrastruktury krytycznej niezbędnej do świadczenia usługi kluczowej z uwzględnieniem infrastruktury krytycznej innego operatora infrastruktury krytycznej; 3) wskazanie niezbędnego obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączone ze sobą funkcjonalne obiekty, urządzenia, instalacje, sieci, systemy oraz usługi, którego właściciel lub właściciel nie jest operatorem infrastruktury krytycznej”.

Poprawka nr 2: W art. 6zq ust. 3 nadać brzmienie: „3. Operator infrastruktury krytycznej przekazuje organowi do spraw podmiotów krytycznych informacje żądane w wystąpieniu, o którym mowa w ust. 1, w terminie, o którym mowa w ust. 2 pkt 2”.

Te dwie poprawki są czytelnym mechanizmem weryfikacji informacji w procesie identyfikacji podmiotów krytycznych i mają charakter doprecyzowujący. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Stanowisko strony rządowej pozytywne. Uwag nie widzę. Czy są zatem uwagi pani poseł i panów posłów? Nie widzę. Stwierdzam, iż poprawki do art. 6zq zostały przyjęte, a co za tym idzie, art. 6zq wraz z poprawkami rozpatrzony.

Przystępujemy do rozpatrzenia art. 6zr. Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Dziękuję. Tu też kilka kwestii, więc może też w częściach, iż tak powiem.

Jeśli chodzi o ust. 1, czy będzie jasne, do kogo jest składany ten wniosek? Jak rozumiemy, do dyrektora centrum i to wynika jakby pośrednio z przepisów, ale czy nie powinno to z tego konkretnego przepisu wynikać wprost?

Druga kwestia – odnosimy się do danych, o których mowa w art. 6zo ust. 2 pkt 1–7, tylko iż tam są dane podmiotu krytycznego, a pytanie, czy na tym etapie już nie powinniśmy mówić o operatorze infrastruktury krytycznej?

Potem do ust. 2 to generalnie pytanie do tej konstrukcji. Tutaj mówimy o tym, iż wpis operatora infrastruktury krytycznej do wykazu dokonuje się automatycznie, więc pytanie, skoro wpis jest dokonywany automatycznie, to po co jest wniosek w takim razie i czy tak ma być, iż nikt tego wniosku nie weryfikuje? Samo złożenie wniosku powoduje automatyczny wpis i czy to jest na pewno prawidłowa konstrukcja?

Co za tym idzie, może jeszcze na tej fali, iż tak powiem, jeżeli chodzi o ust. 3 – tutaj mówimy o tym, iż organ do spraw podmiotów krytycznych informuje operatora infrastruktury krytycznej o dokonaniu wpisu. Pytanie, czy to ma sens? Po co to ma robić, skoro ten wpis dokonuje się automatycznie? Wiadomo, iż wniosek jest równoznaczny z wpisem, a poza tym, skoro te obowiązki wynikają z ustawy, czy jest potrzeba, żeby informować o tym, iż się zrealizowało coś, do czego i tak się jest zobowiązanym ustawowo? Tu może na razie postawię średnik. Jeszcze będą dalsze pytania. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Pan mecenas, bardzo proszę.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Jeżeli chodzi o art. 6zr ust. 1 – „organ do spraw podmiotów krytycznych składa wniosek o wpis do wykazu”. Oczywiście można by tu było dodać dyrektora RCB, ale de facto dyrektor RCB jest takim depozytariuszem tego wykazu prowadzonego w Systemie S46 i tak na dobrą sprawę trudno byłoby to ująć w przepisie, wskazując, iż jest to wniosek kierowany do dyrektora. Organ składa, loguje się do systemu, wpisuje się do tego wykazu, wkłada odpowiednie dane, powiedzmy, do tego systemu. Przepraszam, nie jestem technicznym, nie znam się za bardzo merytorycznie na tych rzeczach, być może koledzy to uzupełnią. Natomiast same przepisy wyglądają w ten sposób: organ składa wniosek, wpisując dane do wykazu. Wpis dokonuje się automatycznie, natomiast ten obowiązek informowania wynika z prostej rzeczy. Ustawa o zarządzaniu kryzysowym w żaden sposób – czy w przypadku operatorów infrastruktury krytycznej, czy w przypadku podmiotów krytycznych – nie dokonuje takiego automatyzmu. To znaczy musimy najpierw zidentyfikować, ująć w wykazie, a to ujęcie w wykazie jest, powiedzmy, czynnością materialno-techniczną w rozumieniu Prawa administracyjnego. Przepraszam, iż tak o tym mówię, ale mamy wyrok, który kiedyś przerabialiśmy w Trybunale Konstytucyjnym, to jest K 22/09, który właśnie jednoznacznie przekazywał, iż wpis do wykazu jest czynnością materialno-techniczną w rozumieniu Prawa administracyjnego. Jest to, można powiedzieć, coś, co później jest podstawą do nałożenia obowiązków na operatora infrastruktury krytycznej, czy w przypadku tego wpisu na podmiot krytyczny. Tak naprawdę to poinformowanie o wpisie do wykazu jest właśnie tu już wspomnianą przeze mnie czynnością materialno-techniczną. Od tego momentu nakłada się obowiązki i mogą być one już realizowane przez ten podmiot. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Biuro Legislacyjne.

Legislator Jakub Bennewicz:

To jeszcze dwie kwestie, jeżeli chodzi o ten artykuł.

Dalej jesteśmy w ust. 3 i tam jest mowa o informowaniu operatora infrastruktury krytycznej. Pytanie, czy to jest adekwatne określenie, czy tutaj na tym etapie już nie powinniśmy mówić o podmiotach krytycznych, a nie o operatorze infrastruktury krytycznej? To jest pierwsza kwestia.

Druga kwestia dotyczy ust. 5. Tam mówimy o tym, iż dyrektor centrum może weryfikować dane zawarte we wpisie do wykazu podmiotów krytycznych ze stanem faktycznym. Pytanie, czy nie potrzebujemy przepisu, z którego wynikałoby, co wynika z tej weryfikacji? Co się stanie, o ile ta weryfikacja wykaże jakieś błędy? Dlatego iż w ust. 6 mówimy wyłącznie o tym, iż dyrektor centrum może poprawić z urzędu oczywiste omyłki i błędy pisarskie. Natomiast co w sytuacji, gdy weryfikacja wykaże coś poważniejszego? Chyba brakuje przepisu, który by mówił o tym, iż jakichś poważniejszych korekt również można w tym przypadku dokonać. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Pan mecenas.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Szanowni państwo, oczywiście praca nad S46 od dawna trwa i jesteśmy już bardzo mocno zaangażowani w tworzenie poszczególnych formatek. W praktyce odbywa się to w ten sposób, iż organ do spraw podmiotów krytycznych wypełnia formatkę dotyczącą wpisu. Ta formatka musi być zatwierdzona przez dyrektora centrum po sprawdzeniu i ewentualnej weryfikacji oczywistych pomyłek i błędów. Z chwilą, kiedy dyrektor RCB, czy osoba przez niego upoważniona, zatwierdzi taką formatkę, dokonuje się z automatu wpisu, bez oczekiwania na jakiś dodatkowy dokument.

Natomiast o ile chodzi o poważniejsze błędy, jakie by się mogły zdarzyć, to po prostu taka formatka nie zostanie zatwierdzona, póki dane nie zostaną poprawione przez wnioskodawcę i jest to zaimplementowane w Systemie S46. Nie wymaga to obiegu jakichś dokumentów urzędowych.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są inne uwagi? Pan poseł Ściebiorowski, bardzo proszę.

Poseł Łukasz Ściebiorowski (KO):

Panie przewodniczący, szanowna podkomisjo, poprawka nr 1: W art. 6zr w ust. 3 wyraz „miesiąca” zastąpić wyrazem „30 dni”.

Poprawka nr 2: W art. 6zr w ust. 5 po wyrazie „faktycznym” dodać wyrazy „z urzędu lub na wniosek organu do spraw podmiotów krytycznych”.

I tutaj uzasadnienie: charakter poprawek doprecyzowujący. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko strony rządowej pozytywne. Są uwagi do poprawek? Nie widzę. Zatem stwierdzam, iż poprawki zostały przyjęte, a zatem zmiana nr 7, art. 6zr wraz z poprawkami został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zs. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję.

Jeśli chodzi o art. 6zs, to po pierwsze, w ust. 2 znowuż, czy nie brakuje tutaj wskazania, do kogo składamy wniosek? To również można wyinterpretować, ale chyba należałoby napisać wprost w tym przepisie, do kogo ten wniosek, i czy nie należałoby też napisać, iż dzieje się to po tym poinformowaniu, o którym mowa w ust. 1, bo chyba taka jest procedura?

Po czym następuje znowu kwestia tej automatyzacji wpisu. O tym już mówiłem, tak iż tych uwag już nie będę powtarzał. Natomiast w tym przypadku jest to o tyle też interesujące, iż w ust. 6 i 7 mówimy znowuż o tym, iż dyrektor centrum może weryfikować dane zawarte we wniosku o wykreślenie podmiotu krytycznego i znowuż może poprawiać z urzędu oczywiste omyłki. Pytanie, czy to ma sens w przypadku, gdy mówimy o wykreśleniu, dlatego iż tutaj sam wniosek o wykreślenie, zgodnie z tymi przepisami, oznacza automatyczne wykreślenie? Czy jest co weryfikować i czy jest co poprawiać, skoro z chwilą złożenia wniosku tego wpisu już nie ma? W jakim celu miałoby być to robione? Dziękuję.

Jeszcze koleżanka, zdaje się, ma uwagi, ale to może na razie zrobimy przerwę. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Teraz RCB poprosimy.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Tak jak poprzednio, cały ten obiekt związany z wnioskiem o wykreślenie odbywa się za pośrednictwem Systemu S46, więc jest to jednoznaczne. kto może wypełnić formatkę i kto ją może zatwierdzić, bo po prostu tak system jest skonstruowany. Wiadomo, iż pierwszym wypełniającym jest organ, drugim jest dyrektor RCB i jest to też ten automatyzm, czyli nie czekamy na obieg dokumentów, tylko uznajemy, iż czynność została dokonana w chwili zatwierdzenia.

Natomiast co do tego, czy można weryfikować – my się dwa razy zastanawialiśmy, czy to usunąć, czy zostawić i zostawiliśmy, gdyż życie podpowiada, iż wnioski składane nie zawsze odpowiadają rzeczywistości. Spółka w międzyczasie zmieniła nazwę albo podzieliła się na dwie różne. Wniosek dotyczy spółki, ale nie wiadomo, której części. Wykreślono część infrastruktury krytycznej, przez co spółka utraciła w części swojej działalności statut podmiotu krytycznego. To trzeba jednak zweryfikować, bo może się okazać, iż wniosek nie dotyczy stanu faktycznego. Dlatego na wszelki wypadek zostawiliśmy te zapisy i uważamy, iż one sens mają.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Czy są uwagi? Nie widzę. Są za to poprawki. Zatem jeszcze… Przepraszam, druga tura. Pani mecenas.

Legislator Karina Parśniak:

Dziękuję bardzo.

To w takim razie mam jeszcze takie jedno pytanie. Ponieważ państwo w tym art. 6zs – i to jest w zasadzie jedyne miejsce w ustawie, które się odnosi do wykreślenia podmiotu krytycznego z wykazu podmiotów krytycznych – przepis ten zawężacie tylko do takiej sytuacji, kiedy podmiot krytyczny zakończy świadczenie usługi kluczowej. Rozumiem, iż nie przewidujemy takiej sytuacji, w której podmiot krytyczny wpisany do wykazu podmiotów krytycznych nagle zmieni na przykład działalność w zakresie sektora i my wtedy nie musimy mieć aktualnej informacji w wykazie w zakresie dotyczącym tego podmiotu. Co się dzieje w takiej sytuacji? Bo żadne przepisy nam na tę okoliczność nie odpowiadają. Dyrektor co prawda weryfikuje tylko dane na etapie wpisania danego podmiotu do wykazu, czyli to, co pan z RCB przed chwilą nam tłumaczył, ale co się dzieje już z podmiotem, który został wpisany? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

RCB, bardzo proszę.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski.

Gwoli wyjaśnienia – pamiętać należy, szanowni państwo, iż każdy podmiot krytyczny będzie również podmiotem kluczowym w ramach przynależności. Dlatego dążyliśmy do tego, aby załączniki – zarówno załącznik z do ustawy o KSC, jak i załącznik do ustawy o zarządzaniu kryzysowym – były ze sobą tożsame, więc równoznaczna jakakolwiek zmiana dotycząca przynależności sektorowej itd. będzie z automatu dotyczyła również podmiotu krytycznego, ponieważ będzie to podmiot najważniejszy z ustawy o KSC. To jest pierwsza sprawa.

Należy również wskazać, iż będą zapewnione wszelkie wymagania dotyczące interoperacyjności tego systemu pod kątem między innymi krajowych ram interoperacyjności i również spełnienia wymagań dotyczących poufności, integralności, dostępności, ale również autentyczności tych danych, gdzie będą rejestrowane wszystkie działania każdego z użytkowników, czyli jakiej zmiany dokonał. Tak iż tutaj pełne bezpieczeństwo z jednej strony, ale z drugiej strony rozliczalność tych działań jest w pełni zapewniona. W ramach tych uwag dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Pan przewodniczący Lachowicz, bardzo proszę.

Poseł Piotr Lachowicz (KO):

Tutaj wnosimy poprawkę podobną jak w poprzednim artykule, czyli w art. 6zs w ust. 4 wyraz „miesiąca” zastąpić wyrazami „30 dni”.

Podobnie, poprawka ma charakter doprecyzowujący.

Przewodniczący poseł Konrad Frysztak (KO):

Stanowisko strony rządowej pozytywne. Czy są uwagi? Nie widzę. Stwierdzam zatem, iż poprawka została przyjęta. Co za tym idzie zmiana nr 7, art. 6zs wraz z poprawką rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zt, Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Dziękuję. Tutaj też kilka kwestii.

Pierwsza z nich dotyczy od razu ust. 1 i tam mówimy o tym, iż „Podmiot krytyczny wdraża zintegrowany system zarządzania bezpieczeństwem świadczenia usługi kluczowej, obejmujący: 1) przeprowadzenie nie rzadziej niż raz na 2 lata oceny ryzyka”. W naszej ocenie brakuje przepisu, który by wprost mówił o obowiązku sporządzenia takiej oceny ryzyka. To jest o tyle istotne, zwracam na to uwagę, iż potem mamy przepis o karach pieniężnych, z którego wynika, iż kara grozi za nieprzeprowadzenie takiej oceny ryzyka, więc w naszej ocenie powinien być jasny przepis, który taki obowiązek formułuje, a tutaj on jest wyrażony niejako pośrednio. To jest pierwsza sprawa.

Przewodniczący poseł Konrad Frysztak (KO):

Panie mecenasie, to jest bardzo obszerny artykuł. Zastosujmy metodę ping-pong i na pewno łatwiej nam się będzie wtedy pracowało.

Bardzo proszę.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski.

W zakresie stosowania tego określenia „nie rzadziej niż raz na 2 lata” – zgodnie ze wszystkimi procedurami dobrą praktyką jest, aby tego typu oceny przeprowadzać nie rzadziej niż raz na dwa lata, przy czym należy wskazać, iż ta ocena ryzyka, szanowni państwo, jest jak gdyby procesem, który się dokonuje zawsze z uwzględnieniem jakiejkolwiek zmiany w zależności od zmian prawnych, w zależności od kontekstu organizacyjnego. Tak iż tutaj to wprowadzenie „nie rzadziej niż raz na 2 lata” – jest tak przyjęty po prostu ten kazus. Trzeba również wskazać, iż podobny zakres jest w ustawie o KSC, który również dotyczy systemu zarządzania bezpieczeństwem, więc jak gdyby te zapisy są ze sobą zgodne i między są koherentne. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Następna kwestia w takim razie dotyczy tego samego ustępu pkt 2 lit. e i tam mówimy o wymogach dotyczących podmiotów kluczowych, o których mowa w przepisach ustawy o KSC. Natomiast na przykład w art. 6zf ust. 8 mówimy o podmiocie kluczowym w rozumieniu ustawy o KSC. Jest różnie. Pytanie, czy celowo, czy tak powinno być? To jest pierwsza kwestia.

Druga kwestia właśnie… Dobrze. Czy nie powinno być odesłania do konkretnego przepisu?

Przewodniczący poseł Konrad Frysztak (KO):

Ping-pong, przypominam.

Szef wydziału RCB Jarosław Pudzianowski:

Jest to uwzględnione w ramach art. 8 pkt 1 ustawy o KSC, gdzie są właśnie wyszczególnione wymagania dotyczące między innymi dokumentacji, ale też wymagania, które podmiot najważniejszy i podmiot istotny de facto musi spełniać, bo te wymagania są identyczne. Więc w tym momencie te wymogi są ze sobą również powiązane, tak iż w pełni ma to zasadność. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

To teraz kolejna tura. Jedna zmiana taka mniejsza i…

Legislator Jakub Bennewicz:

To teraz ust. 4 w takim razie, gdzie mówimy o tym, iż „Podmiot krytyczny wdraża rozwiązanie organizacyjno-techniczne w terminie trzech miesięcy od dnia przeprowadzenia po raz pierwszy oceny ryzyka”. To tak brzmi, jak gdyby te oceny ryzyka przeprowadzano w jeden dzień i czy to jest, iż tak powiem, prawidłowe rozwiązanie? Już czysto redakcyjne w tym momencie. Czy nie należałoby tego jakoś inaczej określić niż od dnia przeprowadzenia oceny? To jest akurat taki drobiazg redakcyjny.

Jeszcze będą dalsze uwagi, ale rozumiem, iż ping-pong, tak? Tak iż poczekam.

Doradca RCB Robert Tyszkiewicz:

Jeżeli chodzi o treść przepisu, to oczywiście „po raz pierwszy” jest tutaj zbędne.

Natomiast informacja o tym, iż trzy miesiące od dnia przeprowadzenia oceny ryzyka – proces przeprowadzenia oceny ryzyka, czy inne procesy, kiedyś się zaczynają, kiedyś się kończą, tak iż tak na dobrą sprawę – nie wiem – od dnia zakończenia oceny ryzyka? Ciężko to jakoś inaczej po prostu napisać, niż jest to napisane. Rzeczywiście, poza wyrazami „po raz pierwszy”, wydaje nam się, iż redakcja tego przepisu jest poprawna, ale może kolega, który jest praktykiem, więcej powie na ten temat. Dziękuję.

Szef wydziału RCB Jarosław Pudzianowski:

Gwoli, szanowni państwo, uzupełnienia, dokładnie tak.

Skąd się wzięło to 3 i 9? Wzięło się z tego względu, iż okres dostosowawczy w zakresie tych wymagań również wynika z ustawy KSC, gdzie jest wskazane 12 miesięcy na wprowadzenie środków adekwatnych bezpieczeństwa zidentyfikowanych na podstawie oceny ryzyka, więc żeby pokryć te dwa czasy, żeby one były ze sobą zgodne, ustaliliśmy, iż 3 miesiące plus 9 miesięcy równa się 12 miesięcy. Stąd jest to 12 miesięcy jako to wdrożenie ustawy o KSC. Tak samo tutaj ze względu na to, iż część podmiotów – większa część podmiotów naszych – będących podmiotami krytycznymi, będzie podmiotami kluczowymi. Tak iż stąd się dzieje te 12 miesięcy. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję.

Biuro Legislacyjne, kolejny punkt.

Legislator Jakub Bennewicz:

Kolejna uwaga dotyczy ust. 6 – mamy udostępnić na stronie podmiotowej zestawienie wymagań dokumentów normalizacyjnych i pytanie znowuż, czy będzie jasne, o jakie tutaj dokumenty chodzi? Pewnie dla państwa tak, natomiast z przepisu to wprost nie wynika.

Po drugie, brakuje chyba tutaj znów przepisu materialnego, który by mówił o tym wprost, iż podmiot krytyczny powinien uwzględnić to zestawienie przy wdrażaniu rozwiązań organizacyjno-technicznych. Przepis oczywiście pośrednio o tym mówi, natomiast wprost takiego przepisu materialnego nie ma. Czy też będzie jasne, jakie są to dokumenty, jeżeli tego nie udostępni? Co wtedy ma być brane pod uwagę, o ile to udostępnienie nie nastąpi, zwłaszcza iż tutaj znowuż mówimy o tym, iż może to nastąpić, a nie musi? Do tego ustępu to tyle. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

RCB.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Podobnie jak to wyglądało przy operatorach infrastruktury krytycznej, dajemy tutaj możliwość uregulowania w sposób specyficzny niektórych wymagań dotyczących takich branż jak kolej, lotnictwo, żegluga, które mają swoje własne odrębne regulacje. o ile takie regulacje resortowe występują, to wtedy organ może je opublikować celem jakby uwzględnienia specyfiki podmiotów działających w tym sektorze. o ile natomiast nie opublikuje, to stosuje się tylko przepisy ogólnej normy obowiązujące standardowo wszystkich.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Zostały trzy uwagi, to już może blokiem. Tym bardziej, iż one są do siebie podobne.

Jeśli chodzi o ust. 8 pkt 1, mówimy o certyfikatach, które miałyby potwierdzać posiadanie odpowiednich kompetencji i uprawnień niezbędnych do ich realizacji, więc pytanie trochę jak wcześniej, jakie to certyfikaty, o jakie kompetencje, uprawnienia chodzi?

Kolejna kwestia dotyczy ust. 9, gdzie znowuż mówimy o tym, iż organ może opracować i udostępnić na stronie podmiotowej zestawienie tych certyfikatów, pewnie dokumentów. Uwaga – jak wcześniej – kiedy tak, a kiedy nie, a jeżeli nie, to skąd będzie wiadomo, o jakie certyfikaty i dokumenty chodzi?

Ostatnia kwestia – tego typu odesłań jest generalnie w projekcie wiele, natomiast w ust. 11 to jest, iż tak powiem, przypadek kwalifikowany, gdyż tam odsyłamy do odrębnych przepisów odpowiadających przepisom rozdziału 11. ustawy, więc nie dość, iż jakieś odrębne przepisy, nie wiadomo które, to jeszcze odpowiadające jakimś innym przepisom, więc pytanie, czy takie odesłanie, będzie jasne? Będzie wiadomo, o jakich przepisach tu mówimy? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

RCB.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Jeżeli mówimy w ogóle o obowiązku certyfikacji, mamy na myśli wszystkie elementy, które służą bezpieczeństwu podmiotu krytycznego, a są objęte certyfikatami. Jest to na ogół zrozumiałe dla wszystkich, którzy robią przetargi i wymagają certyfikatów. Proszę też zwrócić uwagę, iż w przepisie nie mówimy o tym, iż podmiot krytyczny nie może zlecić umowy, o ile nie otrzyma certyfikatu. Chodzi tu o to, żeby zabezpieczyć podmiot krytyczny przed przypadkami, kiedy w postępowaniu odwoławczym przy przetargach podmiot, który taki przetarg przegrał, zwraca uwagę, iż było to nadmierne oczekiwanie niezwiązane z jakością usługi. Chcemy tu wzmocnić sytuację podmiotu krytycznego w postępowaniach przetargowych przez to, iż taki zapis w tych postępowaniach musi się po prostu znaleźć.

Druga sprawa związana z posiadanymi kompetencjami i uprawnieniami to już jest bardziej po stronie rządowej oczekiwanie. Chodzi o to, iż do przetargów przystępują firmy, które absolutnie nie mają zdolności ich wykonania. Teraz jest pytanie – robią rozpoznanie rynku, czy na zlecenie kogoś robią rozpoznanie infrastruktury krytycznej? Chcemy wyeliminować przypadki, gdzie na wstępnym etapie przygotowania przetargu pojawiają się firmy, które nie mają umiejętności ich wykonania, bo nie mają ani certyfikowanych pracowników, ani możliwości realizacyjnych i przede wszystkim nie mają zdolności przetwarzania informacji niejawnych.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Poprawki zgłosi pani przewodnicząca Nowogórska.

Poseł Urszula Nowogórska (PSL–TD):

Tak jest, panie przewodniczący. Wysoka Podkomisjo, dziewięć poprawek.

Poprawka nr 1: W art. 6zt w ust. 1 w pkt 2 we wprowadzeniu do wyliczenia wyrazy „w szczególności” zastąpić wyrazami „w zakresie”.

Poprawka nr 2: W art. 6zt w ust. 1 w pkt 2 w lit. b wyrazy „w tym ochrony fizycznej budynków i terenów należących do podmiotu krytycznego oraz zabezpieczeń technicznych uwzględniających kontrolę dostępu” zastąpić wyrazami „w formie ochrony fizycznej budynków i terenów należących do podmiotu krytycznego lub ich zabezpieczeń technicznych uwzględniających systemy kontroli dostępu”.

Poprawka nr 3: W art. 6zt w ust. 1 w pkt 2 w lit. c skreślić wyrazy „zgodnie z wymogami ochrony infrastruktury krytycznej, o których mowa w przepisach rozdziału 7 ustawy”.

Poprawka nr 4: W art. 6zt w ust. 3 i 4 skreślić wyrazy „po raz pierwszy”.

Poprawka nr 5: W art. 6zt w ust. 5 we wprowadzeniu do wyliczenia po wyrazach „organizacyjno-technicznych” dodać wyrazy „o których mowa w ust. 1 pkt 2”.

Poprawka nr 6: W art. 6zt w ust. 5 w pkt 3 wyrazy „kontrolę dostępu” zastąpić wyrazami „systemy kontroli dostępu”.

Poprawka nr 7: W art. 6zt w ust. 5 wytycznym nadać brzmienie: „– mając na uwadze konieczność zapewnienia bezpieczeństwa świadczenia usług kluczowych oraz zapewnienia jednolitości rozwiązań”.

Poprawka nr 8: W art. 6zt w ust. 7 wyrazy „wydanych na podstawie art. 13 ust. 6 dyrektywy 2022/255” zastąpić wyrazami „dotyczących środków technicznych, środków bezpieczeństwa oraz środków organizacyjnych służących zapewnieniu odporności podmiotów krytycznych”.

I ostatnia poprawka: W art. 6zt w ust. 8 wprowadzeniu do wyliczenia nadać brzmienie: „Podmiot krytyczny, w celu zapewnienia wdrożenia rozwiązań, o których mowa w art. 1 pkt 2, może zawierać umowy, w których żąda od usługodawców:”.

Wszystkie te dziewięć poprawek, które wymieniłam, są doprecyzowaniem kwestii dotyczących zintegrowanych systemów zarządzania bezpieczeństwem świadczenia usług kluczowych. Dziękuję bardzo.

Przewodniczący poseł Konrad Frysztak (KO):

Stanowisko strony rządowej, jak widzę, pozytywne. Biuro Legislacyjne, uwagi?

Legislator Karina Parśniak:

Tak, mamy uwagę do poprawki nr 6.

W poprawce nr 6 państwo zastępujecie wyrazy „kontrolę dostępu” wyrazami „systemu kontroli dostępu”. Jakby rozumiemy, iż to jest konsekwencja poprzednio zgłoszonych poprawek. Przy czym w tym przepisie w pkt 3 jeszcze zostało takie sformułowanie „zapewnienia bezpieczeństwa fizycznego, w tym ochrony fizycznej infrastruktury służącej do świadczenia usługi kluczowej oraz zabezpieczeń technicznych”. W poprawce nr 2 do tego art. 6zt państwo takie sformułowanie „w tym ochrony fizycznej” – tutaj jest co prawda „budynków i terenów należących”, a tu mamy „infrastruktury służącej” – zamienili na „w formie ochrony fizycznej”. Czy tutaj w ust. 5 pkt 3 też trzeba to zrobić? Czy to ma być w takim brzmieniu, jakim ma być w tym pkt 3? Bo tutaj nie mamy pewności.

Przy okazji proszę też na następne posiedzenie podkomisji zwrócić uwagę w tym samym zakresie na art. 6zz ust. 1 pkt 3, bo tam też jest taka sama sytuacja związana z ochroną fizyczną i tam też jest „infrastruktura krytyczna”.

I jeszcze poprawka nr 9 nadająca nowe brzmienie wprowadzeniu do wyliczenia, przy czym zwracamy państwu uwagę, iż we wcześniejszej przyjętej poprawce do art. 6ze w ust. 5 tamten przepis trochę inaczej brzmiał, bo to chodziło o kwestię związaną, co się robi przy zawieraniu umów, jakich się informacji żąda od usługodawców. Pytanie, czy one powinny brzmieć w ten sam sposób, czy tutaj ma być inne brzmienie w art. 6zt ust. 8? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

RCB.

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

To nieco odmienne traktowanie ochrony fizycznej. My je możemy jeszcze raz przemyśleć, ale wydaje się, iż je celowo wprowadziliśmy, bo mówimy tu o ochronie, ciągłości usług, które ochronie fizycznej nie podlegają, i musimy wyróżnić ten element, iż ochronie fizycznej służy infrastruktura służąca do świadczenia tej usługi, a nie sama usługa. Stąd jest pewna specyfika w innym określeniu, ale to będziemy analizować.

Tak, o ile chodzi o systemy kontroli dostępu, to chcieliśmy w ten sposób wyjaśnić, iż nie chodzi tu o czynność wykonywaną przez kogoś wobec czegoś, tylko chodzi o rozwiązania techniczne. Po prostu koziołki, elementy otwierające drzwi itd. Są to rozwiązania techniczne, a nie czynności.

Jeżeli chodzi o zawieranie umów, to to powinno być porównywalne. Przyjrzymy się, czy to cokolwiek zmienia, bo być może jest to tylko sformułowanie, które de facto to samo znaczy. Przy opracowywaniu umów zapewniających wdrożenie rozwiązań, podmiot powinien żądać tego samego od usługodawców, co operator infrastruktury krytycznej. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Karina Parśniak:

To tylko krótko celem wyjaśnienia, o ile państwo zdecydowaliby się dokonać odpowiednich zmian w tych miejscach, co zostało wymienione, to prosimy tylko o poprawki już na etapie sprawozdania Komisji. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Tak, dziękuję.

Wracamy do rozpatrzenia poprawek. Czy są uwagi do dziewięciu zgłoszonych poprawek do art. 6zt? Nie widzę. Stwierdzam zatem, iż poprawki zostały przyjęte, a co za tym idzie… Proszę? Już pytałem wcześniej, czy rząd je popiera, zanim Biuro Legislacyjne zgłosiło swoje pytanie. Tak, to będzie odzwierciedlone w stenogramie, panie ministrze.

Słuchajcie państwo, zbliżamy się do trzeciej godziny naszej pracy, ale zgodnie z ustaleniem pozostało dosłownie kilka stron i będziemy na dziś wolni. Jeszcze chwila skupienia. Stwierdzam zatem, iż zmiana nr 7, art. 6zt, wraz z poprawkami został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zu. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję. Trzy kwestie.

Jeśli chodzi o ust. 2 pkt 5, tam mówimy o dokumentacji cyberbezpieczeństwa opracowywanej zgodnie z wymogami dla podmiotów kluczowych, o których mowa w przepisach ustawy o KSC. Znowuż pytanie, czy tutaj nie powinniśmy wskazać konkretnie, o jakie przepisy tej ustawy chodzi? To jest pierwsza sprawa. Oczywiście.

Sekretarz stanu w MSWiA Wiesław Szczepański:

Można odpowiedzieć?

Legislator Jakub Bennewicz:

Oczywiście.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski, RCB.

Ta dokumentacja jest bardzo dobrze opisana. Poza tym w ustawie o KSC ona się pojawia w kilku punktach, między innymi art. 1, 2, 8, 10, 16. Te, które akurat w tym momencie pamiętam, więc jak gdyby wskazanie wszystkich tych punktów… Lepiej wskazać na całą ustawę, ponieważ cała ustawa całościowo obejmuje tę właśnie dokumentację cyberbezpieczeństwa. Nie tylko pod kątem systemu zarządzania bezpieczeństwem informacji i systemu zarządzania ciągłością działania, ale również pod kątem samego opisu systemu informacyjnego, który służy do zapewnienia tej usługi kluczowej, o której mowa w KSC. Tak iż dobrym wyborem jest wskazanie całej ustawy.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo proszę, Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Tylko dopytanie, czy w takim razie nie lepiej byłoby tutaj mówić o tym, iż „wskazanych w ustawie”, a nie „w przepisach ustawy”? W takich sytuacjach chyba się mówi o całej ustawie – „o których mowa w ustawie”. Możemy to chyba redakcyjnie zrobić, korzystając z upoważnienia, jeżeli państwo się zgodzą na to. Tak? Dobrze.

Kolejna kwestia dotyczy ust. 5 i tak zapytam, czy to jest, iż tak powiem kolokwialnie, szczęśliwe ujęcie, iż „podmiot krytyczny jest obowiązany do ustanowienia nadzoru nad dokumentacją”? Czy nie prościej byłoby powiedzieć tutaj, iż podmiot krytyczny jest obowiązany po prostu zapewnić dostępność dokumentów i zapewnić ochronę dokumentów? Z racji tego, iż nadzór jest raczej nad jakimś podmiotem, a nie nad dokumentacją. jeżeli użyjemy tego słowa „nadzór”, to od razu się rodzi pytanie, na czym ten nadzór polega, czy są jakieś czynności nadzorcze i czy to, iż jest ten podmiot krytyczny obowiązany do ustanowienia nadzoru, to oznacza, iż on ma rzeczywiście kogoś ustanowić, kto będzie nadzorował, czy sam ma nadzorować? To rodzi tylko pewne problemy. Pytanie, czy nie można uprościć redakcyjnie tego przepisu? Jeszcze będzie jedna uwaga.

Przewodniczący poseł Konrad Frysztak (KO):

RCB.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski.

Przepis ten akurat adekwatnie podchodzi do tego, tak jak jest w systemie w ustawie o KSC, gdzie właśnie ten nadzór nad tą dokumentacją nie jest tylko związany – tak jak było tutaj już wielokrotnie poruszone – z dostępem na podstawie wiedzy koniecznej, ale też dokonywanych zmian. Pamiętajmy o tym, iż głównie ta dokumentacja musi być dostępna dla osób, którym jest ona niezbędna do wykonywania swoich działań. Pamiętajmy, iż ten nadzór jest szczególnie ważny. Ten nadzór prowadzi jednostka będąca akurat w tym momencie podmiotem krytycznym, ale zważmy na to, iż znowu mamy, iż każdy podmiot krytyczny jest podmiotem kluczowym, więc ten nadzór jest i tutaj, i tutaj w pełni zasadny, tak jak wspomniałem, pod względem nie rozliczalności dostępu do tych informacji zawartych w tej dokumentacji. Tak iż to jest w pełni zgodne z ustawą o KSC.

Przewodniczący poseł Konrad Frysztak (KO):

Pięknie.

Jeszcze jedno, Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Już ostatnie pytanie dotyczy ust. 6. Mówimy tutaj o tym, iż podmiot krytyczny przechowuje dokumentację przez co najmniej dwa lata. Pytanie brzmi, czy nie powinniśmy też wskazać, jaki jest maksymalny okres przechowywania dokumentacji, gdyż zwykle tego typu przepisy tak się formułuje, iż co najmniej jakiś okres, ale maksymalnie jakiś inny okres, a tutaj nie wiadomo, jak długo de facto podmiot krytyczny ma tę dokumentację przechowywać? Dziękuję.

Szef wydziału RCB Jarosław Pudzianowski:

Wiadomym jest, iż każda dokumentacja powinna być ustanowiona, zatwierdzona, przekazana do stosowania, aktualizowana, ale również jej wycofanie musi zostać udokumentowane.

Te dwa lata biorą się również z ustawy o KSC, tak aby pełna rozliczalność dokonywanych zmian została zapewniona w tej dokumentacji – raz – a druga sprawa w kwestii stosowania zapisów będących w tej dokumentacji wcześniej. Więc te dwa lata są wystarczające do tego, aby ta dokumentacja była jak najbardziej archiwizowana, utrzymywana.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Biuro Legislacyjne wyczerpało swoje pytania. Pan poseł Ściebiorowski, bardzo proszę.

Poseł Łukasz Ściebiorowski (KO):

Panie przewodniczący, szanowna podkomisjo, w imieniu też grupy posłów poprawka nr 1 do tego artykułu: W art. 6zu w ust. 1 skreślić wyraz „stosuje”.

Poprawka nr 2: W art. 6zu w ust. 3 wyrazy „może być” zastąpić wyrazem „jest”.

Poprawka nr 3: W art. 6zu w ust. 4 skreślić wyrazy „po raz pierwszy”.

Poprawka nr 4: W art. 6zu w ust. 4 wyrazy „od otrzymania informacji o ujęciu w wykazie” zastąpić wyrazami „od dnia otrzymania informacji o wpisie do wykazu”.

Uzasadnienie: poprawki będą mieć charakter doprecyzowujący kwestie związane z dokumentacją zintegrowanego systemu zarządzania bezpieczeństwem i świadczenia usługi kluczowej. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko rządu, jak widzę, pozytywne. Bardzo dziękuję. Biuro Legislacyjne nie zgłasza uwag. Czy ktoś zgłasza uwagi? Nie widzę. Stwierdzam zatem, iż cztery poprawki do artykułu 6zu zostały przyjęte, a co za tym idzie, zmiana nr 7, art. 6zu wraz z poprawkami został rozpatrzony.

Przystępujemy do rozpatrzenia zmiany nr 7, art. 6zv. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję. Znowuż kilka kwestii.

Jeśli chodzi o ust. 1 pkt 4, proszę zwrócić uwagę, iż tutaj są wskazane dwa terminy: „niezwłocznie, nie później niż w terminie 24 godzin”. Trochę to wydaje się sprzeczne. Powinniśmy się chyba zdecydować na któryś z tych terminów. Albo „niezwłocznie”, albo „nie później niż w terminie 24 godzin”. Jedno i drugie troszkę nie pasuje. Zrobię przerwę.

Przewodniczący poseł Konrad Frysztak (KO):

Tak jest, to ping-pong.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski.

Ze względu na to, iż części incydentów będą dotyczyły incydenty cyber, w ustawie o KSC mamy również odniesienia jak gdyby do dwóch trybów: wczesnego ostrzeżenia, które jest robione w przeciągu 24 godzin, i zgłoszenia incydentu, które ma mieć miejsce w 72 godzinach. Pamiętajmy o tym, iż nie każde zdarzenie będzie incydentem. Więc tutaj musimy zachować również pełną zgodność, iż to musi być niezwłocznie, ale nie później niż w terminie 24 godzin. Musi być pełna korespondencja, ponieważ te incydenty muszą ze sobą współgrać to zgłaszanie. Dlatego jest taka właśnie zostawiona ta możliwość.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne.

Legislator Jakub Bennewicz:

To znaczy do tej uwagi jeszcze, bo o ile tak, to tak jak przed chwilą pan powiedział, jest rzeczywiście, iż to są jakby dwa rodzaje incydentów, to tutaj nie wiem, czy z tego przepisu będzie to wynikało, bo to „niezwłocznie, nie później niż w ciągu 24 godzin” wskazuje na to, iż ten maksymalny czas to są 24 godziny. Przynajmniej ja czytam ten przepis w ten sposób, tak iż nie wiem, czy nie trzeba by ewentualnie doprecyzować, iż chodzi również…

Przewodniczący poseł Konrad Frysztak (KO):

RCB.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski ponownie.

Mamy te 24 godziny, dlatego iż my nie mamy incydentów, nie mamy definicji wczesnego ostrzeżenia. Mamy tylko zgłoszenie incydentu, więc musimy to zrobić niezwłocznie, ale nie później niż 24 godziny. Tam mamy 72, a tutaj 24 mamy na wczesne ostrzeżenie, więc jak gdyby musimy zachować tę formułę właśnie niezwłoczności, żeby podmioty, które będą podlegały incydentowi z KSC, również były zobowiązane do zgłaszania w ciągu tych 24 godzin.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Biuro Legislacyjne wyczerpało swoje uwagi? Jeszcze, bardzo proszę.

Legislator Jakub Bennewicz:

Jeszcze jedna uwaga będzie dotyczyła ust. 4. To jest znowuż przepis upoważniający do wydania rozporządzenia przez Radę Ministrów. W naszej ocenie progi uznania incydentu za incydent istotny, czyli de facto kryteria, na podstawie których będziemy uznawali, iż incydent jest istotny, to nie jest taka materia, która powinna być regulowana w rozporządzeniu. To raczej powinna być materia ustawowa. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Pan mecenas.

Doradca RCB Robert Tyszkiewicz:

Dziękuję bardzo.

Jeżeli chodzi o to – tak, w akcie wykonawczym nie powinniśmy regulować czegoś, co powinno być regulowane w ustawie. Natomiast patrząc na wszystkie kwestie dotyczące… Jezu, przepraszam najmocniej. o ile chodzi… Przepraszam, bo mnie przytkało.

Doradca RCB Witold Skomra:

Ratując kolegę, szanowni państwo, znowu mamy do czynienia z elementami, które mogą podlegać dość szybkim zmianom spowodowanym zmianą otoczenia, w którym funkcjonujemy. Może się okazać, iż któraś usługa musi być przekalibrowana, iż tak powiem, jeszcze raz pod kątem innych parametrów incydentów, niż to było przed chwilą, ze względu na zmianę w otoczeniu zewnętrznym, pojawienie się nowych zagrożeń, czy pojawieniu się w ogóle nowych aspektów związanych z daną usługą. Również takich, o których wcześniej nie wiedzieliśmy, a które wynikają ze współzależności. Mamy tu na myśli takie historie jak blackout cyfrowy i energetyczny w Hiszpanii, który spowodował, iż we wszystkich krajach zaczyna się ponownie kalkulować, co tu jest istotne, a co nie. Lepiej mieć w rozporządzeniu takie narzędzie niż konieczność zmiany całej ustawy.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Oddaję głos panu przewodniczącemu Lachowiczowi.

Poseł Piotr Lachowicz (KO):

Poprawka nr 1: W art. 6zv w ust. 1 we wprowadzeniu do wyliczenia wyraz „w tym” zastąpić wyrazami „w zakresie”.

Poprawka nr 2: W art. 6zv w ust. 1 pkt 7 wykreślić wyrazy „w szczególnie uzasadnionych przypadkach” oraz wyraz „miesiąc” zastąpić wyrazami „30 dni”.

Poprawka nr 3: W art. 6zv w ust. 4 zdanie drugie oznaczyć jako ust. 5.

Poprawki mają charakter doprecyzowujący kwestie związane z obsługą incydentów.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuje.

Stanowisko rządu pozytywne. Uwag Biura Legislacyjnego nie widzę. Czy są uwagi posłów? Nie widzę. Stwierdzam zatem, iż trzy poprawki do art. 6zv zostały przyjęte, a co za tym idzie, zmiana nr 7, art. 6zv wraz z poprawkami rozpatrzony.

Przystępujemy do zmiany nr 7, art. 6zw. Biuro Legislacyjne, bardzo proszę.

Legislator Jakub Bennewicz:

Dziękuję.

Proszę państwa, pierwsza kwestia dotyczy ust. 1 pkt 4 lit. a i b. Naszym zdaniem coś tu, mówiąc kolokwialnie, redakcyjnie poszło nie tak, bo te przepisy brzmią tak: „opis wpływu incydentu istotnego na świadczenie usługi kluczowej, w tym usługi kluczowej zgłaszającego, na którą incydent miał wpływ”. To chyba trochę brzmi, jakby to było jakieś takie, mówiąc znowuż kolokwialnie, masło maślane, więc pytanie, czy to na pewno tak powinno brzmieć? To jest pierwsze pytanie.

Przewodniczący poseł Konrad Frysztak (KO):

Ping-pong – RCB.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski ponownie.

Sens tego punktu polega na tym, iż są współzależności i może być współzależność usługi kluczowej od drugiej usługi kluczowej. Więc jak gdyby tutaj jest to celowo zrobione ze względu na to, iż dysfunkcja jednej usługi kluczowej może spowodować dysfunkcję drugiej usługi kluczowej, patrz: efekt kaskadowy czy też efekt domina. Więc to jest celowo zawarte w tym, aby właśnie to tak zawrzeć. Dokładnie, jako wpływ usługi energii na systemy informatyczne, usługi komunikacyjne. Tak iż to jest właśnie ta zależność czy też brak wpływu energii na wodę bezpośrednio, bo nie można jej przesłać, dystrybuować. Tak iż jak najbardziej są to dwie usługi ze sobą zależne. Stąd jest zapis prawidłowy.

Przewodniczący poseł Konrad Frysztak (KO):

Biuro Legislacyjne wyczerpało…

Legislator Jakub Bennewicz:

Kolejna kwestia dotyczy ust. 3 i tam mówimy o zgłoszeniach o informacji w zakresie niezbędnym do realizacji zadań, o których mowa w ustawie. Pytanie, czy tego odesłania się nie da jakkolwiek doprecyzować, gdyż ustawa jest bardzo obszerna, szeroka i zadań rozmaitych w tej ustawie jest mnóstwo, więc gdy mówimy generalnie o wszelkich zadaniach, o których mowa w ustawie, to pytanie, czy będzie wiadomo, o jakich zadaniach mówimy?

Może jeszcze za jednym zamachem powiem też o ust. 5, bo to już będzie ostatnia uwaga. Proszę zobaczyć, ten przepis brzmi: „Organ do spraw podmiotów krytycznych informuje opinię publiczną o incydencie istotnym, o ile uzna, iż leży to w interesie publicznym”. Pytanie, czy ten przepis jest potrzebny, bo co by się stało, gdyby tego przepisu nie było? Czy wówczas nie można byłoby poinformować opinii publicznej o incydencie, o ile uznamy, iż leży to w interesie publicznym? Jest to bardzo ogólny przepis, też nie wiadomo i w jaki sposób będzie to informowanie się odbywało, co będzie się brało pod uwagę, oceniając, czy jest to w interesie publicznym? Pytanie, czy taki przepis w takim kształcie rzeczywiście ma jakąś wartość normatywną? Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

RCB.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski ponownie.

W zakresie ust. 5 – organ adekwatny – też tu pierwowzorem była ustawa o KSC, gdzie sami operatorzy usług kluczowych, tudzież usług ważnych, czyli podmioty najważniejsze i podmioty ważne – na swoich stronach publikują informację dotyczącą dysfunkcji swojej usługi, czyli de facto o niedostępności mają obowiązek poinformować na swoich stronach internetowych. Tutaj jest podobne odniesienie, przy czym zostało to scedowane niejako na organ do spraw podmiotów krytycznych, który informuje tę opinię publiczną, patrz, na stronie umieszcza informację. W jaki sposób poinformuje – może to być Biuletyn Informacji Publicznej, może to być strona, może to być udostępnienie informacji dziennikarzom, tak iż tutaj jest pełen katalog dotyczący udostępnienia. Natomiast w przypadku ust. 3 tutaj Robert.

Doradca RCB Robert Tyszkiewicz:

W odniesieniu do ust. 3 jest to też taka konstrukcja, która funkcjonuje od lat w zarządzaniu kryzysowym i przepisach związanych z bezpieczeństwem. Tak na dobrą sprawę zawsze możemy się dopytać o jakieś kwestie związane akurat w tym przypadku z incydentami, ponieważ te incydenty mogą później rzutować na realizację innych zadań w zakresie zarządzania kryzysowego. Chociażby w realizacji zadań w celu zapewnienia obiegu informacji na potrzeby zarządzania kryzysowego, przekazaniu informacji o tym, iż dany incydent wystąpił na danym obszarze na przykład i za chwilę okaże się, iż będzie z tego tytułu jakaś sytuacja kryzysowa. Dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Dziękuję bardzo.

Biuro Legislacyjne wyczerpało. Pani przewodnicząca Nowogórska, bardzo proszę.

Poseł Urszula Nowogórska (PSL–TD):

Tak jest, panie przewodniczący. Mamy trzy poprawki.

Poprawka nr 1: W art. 6zw w ust. 1 w pkt 1 nadać brzmienie: „1) dane podmiotu krytycznego, o których mowa w art. 6zo ust. 2 pkt 1–5”.

Poprawka nr 2: W art. 6zw w ust. 3 po wyrazach „organ do spraw podmiotów krytycznych” dodać wyrazy „na podstawie otrzymanych informacji, o których mowa w ust. 1 i 2”.

Poprawka nr 3: W art. 6zw w ust. 4 i 5 po wyrazach „organ do spraw podmiotów krytycznych” dodać wyrazy „na podstawie otrzymanych informacji, o których mowa w ust. 1–3”.

Te trzy poprawki są związane z doprecyzowaniem obsługi incydentów i zapewnieniem obiegu informacji w przypadku wystąpienia incydentu. Bardzo dziękuję.

Przewodniczący poseł Konrad Frysztak (KO):

Bardzo dziękuję.

Stanowisko rządu pozytywne. Biuro Legislacyjne zgłasza się.

Legislator Jakub Bennewicz:

To prawdopodobnie dzisiaj już ostatnia uwaga.

Przewodniczący poseł Konrad Frysztak (KO):

Wszystko zależy od dokładnej odpowiedzi.

Legislator Jakub Bennewicz:

Jeżeli chodzi o art. 6zw ust. 3, którzy stanowi obecnie, iż organ do spraw podmiotów krytycznych oraz dyrektor centrum mogą zwrócić się do podmiotu krytycznego o uzupełnienie zgłoszenia o informację itd. Poprawka polega na tym, żeby wskazać, iż organ do spraw podmiotów krytycznych bierze pod uwagę, jak rozumiem, na podstawie otrzymanych informacji, o których mowa w ust. 1 i 2. Wtedy jakby może skierować takie żądanie do podmiotu krytycznego. Natomiast nie ma doprecyzowania w zakresie dyrektora centrum, na podstawie jakich informacji on będzie ewentualnie zwracał się do podmiotu krytycznego. Czy tutaj jest rzeczywiście dobrze ta poprawka skonstruowana, iż dotyczy tylko organu do spraw podmiotu krytycznego? To znaczy to jest do przeanalizowania, bo pytanie, czy dyrektor centrum też będzie dostawał te informacje z ust. 1 i 2, aczkolwiek to do zastanowienia się może również na etap Komisji. Dziękuję.

Szef wydziału RCB Jarosław Pudzianowski:

Jarosław Pudzianowski ponownie, RCB.

Zgłoszenie incydentu jest realizowane dzięki Systemu S46, z którego przychodzi w sposób zautomatyzowany powiadomienie zarówno do organu adekwatnego, jak i dyrektora RCB, ale również do CSIRT adekwatnego w przypadku poziomu krajowego oczywiście, w przypadku zaistnienia incydentu o charakterze cyber. Więc jak najbardziej to jest wypełnione i jest w pełni zasadne, iż my te informacje mamy. Natomiast w celu uszczegółowienia jak najbardziej tutaj wskazane, iż możemy się o to zwracać. Tak iż to mamy.

Przewodniczący poseł Konrad Frysztak (KO):

Czyli nie ostatnia. Najbardziej mnie cieszy, iż po tylu godzinach pracy mamy jeszcze ochotę na to, żeby się dobrze bawić ze sobą.

Bardzo proszę, panie mecenasie, Biuro Legislacyjne.

Legislator Jakub Bennewicz:

Naprawdę ostatnie zdanie.

To znaczy w takim razie, jak rozumiem, dyrektor centrum będzie musiał brać pod uwagę również te informacje przy ewentualnie zwracania się do podmiotu krytycznego określone kwestie, tak?

Doradca RCB Witold Skomra:

Witold Skomra, RCB.

Szanowni państwo, podmiot krytyczny nie musi do końca zdawać sobie sprawy, jakie będą skutki społeczne dysfunkcji tego, co się stało. Dyrektor RCB będzie się opierał nie tylko na informacjach, które od niego dostał, ale też na wszelkich innych informacjach po to, żeby uzyskać cały obraz sytuacji. Nie jesteśmy w stanie dzisiaj wyliczyć, skąd będą dodatkowe informacje. Mogą być zarówno z gazet, od posłów, od mieszkańców, ale też mogą pochodzić z punktów kontaktowych ustanowionych w innych krajach. Jest to zbyt duża lista, żeby ją próbować wyliczyć. Musimy mieć możliwość doprecyzowania informacji w zakresie, jakie będą skutki społeczne i skutki dla zarządzania kryzysowego dysfunkcji, która właśnie wystąpiła.

Legislator Jakub Bennewicz:

Dziękujemy.

Przewodniczący poseł Konrad Frysztak (KO):

Na pewno?

Szanowni państwo, stanowisko rządu do poprawek jest pozytywne. Zatem nie widzę uwag. Stwierdzam, iż poprawki do art. 6zw w zmianie nr 7 zostały przyjęte, a co za tym idzie, zmiana nr 7, art. 6zw wraz z poprawkami został rozpatrzony.

I tym sposobem dotarliśmy do momentu, w którym założyliśmy, iż skończymy. Zamykam posiedzenie. Dziękuję bardzo.