Przy opracowywaniu polityki bezpieczeństwa (…) podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji" - taką regulację zawarł prawodawca w § 3 ust. 2 rozporządzenia Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych, dalej: rozporządzenia w sprawie wymagań (DzU z 2005 r. nr 212, poz. 1766). W dobie coraz powszechniejszego stosowania norm technicznych nie zaskakuje sam fakt wprowadzenia odnoszącego się do nich przepisu. Podobnych regulacji pojawiło się w ostatnich latach w polskim prawie więcej. Są one rozwiązaniami tyle ciekawymi, ile kontrowersyjnymi. Znaczenie tych przepisów nie jest bowiem oczywiste. Dlatego też intrygują one zarówno praktyków zajmujących się bezpieczeństwem systemów teleinformatycznych i ochroną danych osobowych, jak i przedstawicieli nauki prawa. Kwestię tę podjął na przykład Wojciech Wiewiórowski z Uniwersytetu Gdańskiego w swoim wystąpieniu podczas wrześniowej konferencji "Wymiar sprawiedliwości i administracja publiczna wobec prawa nowych technologii" we Wrocławiu (por. W. Wiewiórowski, "Specyfikacja, standard i norma techniczna w procesie wykładni prawa. Informatyczne wyzwania dla sądów i organów administracji publicznej" - http://konferencjacbke.prawo.uni.wroc.pl).

Przepis bez normy prawnej

Przywołany na wstępie przepis adresowany jest do podmiotów publicznych. Został on wprowadzony po to, aby sprecyzować, jak urząd powinien wykonywać obowiązek opracowania i wdrożenia oraz modyfikowania polityki bezpieczeństwa dla systemów teleinformatycznych używanych do realizacji zadań publicznych. Intencją projektodawców było, jak należy się domyślać, zobligowanie podmiotów publicznych do tego, by przy tworzeniu dokumentów stanowiących zbiory reguł i procedur zabezpieczania zasobów informacyjnych korzystały z przygotowanych przez specjalistów rozwiązań zawartych w Polskich Normach.

Twórcy rozporządzenia nie ustrzegli się jednak błędu. Wprowadzili bowiem przepis, z którego trudno wywieść jakąkolwiek normę prawną. Do jego odczytania niezbędne jest połączenie treści paragrafu rozporządzenia z treścią dokumentu normalizacyjnego, który przywołano w akcie prawnym. Nakaz "uwzględniania postanowień Polskich Norm" nie daje takiej możliwości, bo odsyła do wielu ogólnie wskazanych dokumentów normalizacyjnych przyjętych w Polsce.

[...]

Autor jest prawnikiem. Zajmuje się prawnymi aspektami informatyzacji publicznej i ochrony zdrowia. Jest współautorem komentarza do ustawy o podpisie elektronicznym.