W przestrzeni legislacyjnej pojawiła się kolejna propozycja nowelizacji Kodeksu karnego, tym razem dotycząca przestępstw przeciwko bezpieczeństwu systemów informatycznych. Projekt ma charakter implementacyjny i służy pełniejszemu wdrożeniu prawa unijnego, a konkretnie – dyrektywy 2013/40/UE dotyczącej ataków na systemy informatyczne. Mimo że polskie prawo już dziś penalizuje wiele zachowań opisanych w dyrektywie, projektodawca uznał, że niezbędne jest doprecyzowanie jednego z przepisów, aby zapewnić pełną zgodność regulacji.
Dlaczego potrzebna jest nowelizacja?
Dyrektywa 2013/40/UE zobowiązuje państwa członkowskie do wprowadzenia mechanizmów prawnych, które skutecznie chronią infrastrukturę cyfrową przed naruszeniami. Chodzi w szczególności o działania takie jak bezprawne uzyskanie dostępu do systemu, przechwytywanie danych czy rozpowszechnianie narzędzi służących do dokonywania takich czynów. Wymóg ten odnosi się również do karalności wytwarzania, rozpowszechniania czy sprzedawania narzędzi wykorzystywanych w cyberatakach — oczywiście pod warunkiem umyślnego działania i zamiaru popełnienia przestępstwa. Polski Kodeks karny przewiduje już sankcje za nieuprawnione ingerencje w systemy informatyczne, jednak – jak wskazuje projektodawca – art. 269b § 1 k.k. wymaga doprecyzowania, aby pokryć pełen zakres zachowań wskazanych w unijnej regulacji. Innymi słowy, chodzi o dostosowanie definicji karalnych działań tak, aby nie pozostawiały wątpliwości co do ich zgodności z dyrektywą. Drugim celem zmian jest ogólna poprawa bezpieczeństwa dostępu do danych, które są przetwarzane w systemach informatycznych. W dobie coraz bardziej zaawansowanych technologicznie ataków ustawodawca dostrzega potrzebę uszczelnienia przepisów i wyeliminowania ewentualnych luk.
Co zmienia projekt?
Proponowane rozwiązanie zakłada przede wszystkim uzupełnienie odnośnika do tytułu Kodeksu karnego o informację wskazującą, że ustawa wdraża również przepisy dyrektywy 2013/40/UE. Choć może wydawać się to zabiegiem jedynie porządkującym, to ma on znaczenie szczególnie w kontekście wykładni przepisów i pewności prawa. Kluczowa zmiana dotyczy jednak treści art. 269b § 1 k.k. Projekt przewiduje dodanie w nim odesłań do odpowiednich przepisów Kodeksu karnego – art. 267 § 2 k.k. oraz art. 267 § 1 k.k. Pierwsze z nich odnosi się do nielegalnego dostępu do systemu informatycznego, drugie zaś do bezprawnego przechwytywania danych. Wprowadzenie tych odesłań ma zagwarantować, że polskie prawo będzie w pełni obejmowało czynności opisane w art. 3 i 6 dyrektywy, a tym samym spełni wymóg art. 7 regulacji unijnej dotyczący penalizacji narzędzi przeznaczonych do popełnienia cyberprzestępstwa.
Autorem projektu jest Ministerstwo Sprawiedliwości, a prace nad nim nadzoruje sekretarz stanu Arkadiusz Myrcha. To właśnie resort sprawiedliwości odpowiada również za przekazanie projektu do rozpatrzenia przez Radę Ministrów. Według zapowiedzi, przyjęcie projektu przez rząd ma nastąpić w pierwszym kwartale 2026 roku.
źródło: Serwis Rzeczypospolitej Polskiej