Przygotowaliście raport „Regulacje NIS2 i 5G Toolbox w Polsce”. Jaka była tego geneza?

Od pewnego czasu śledzimy kwestię wprowadzania unijnych regulacji w państwach UE. Stworzyliśmy również portal prawny, na którym publikujemy nasze raporty dotyczące wdrożenia dyrektywy NIS2 w różnych krajach. Nie tylko Polska jeszcze tego nie zrobiła, choć termin upłynął 17 października 2024 r. Wydaje nam się, że jest to raport niezmiernie pomocny w toczącym się procesie legislacyjnym.

Na czym polegają różnice w dostosowaniu unijnych przepisów w poszczególnych państwach?

Wskażę dwie kluczowe kwestie. Przede wszystkim niektóre kraje członkowskie nie wdrażają dyrektywy NIS2 i unijnych wytycznych 5G Toolbox w jednej ustawie.

Przypomnę: dyrektywa NIS nie spełniła oczekiwań właśnie z uwagi na fragmentaryczne podejście do wspólnego cyberbezpieczeństwa. W NIS2 nałożono na państwa UE obowiązek zapewnienia bezpieczeństwa systemów informatycznych, infrastruktury krytycznej oraz zdecydowanie poszerzono katalog podmiotów, które są zobowiązane do dostosowania się do tych wymogów. Polska ustawa obejmuje 18 sektorów. Zawarcie w niej wytycznych z 5G Toolbox, które de facto dotyczą tylko sektora telekomunikacyjnego, rodzi ogromne wyzwanie rynkowe, ponieważ wszystkie podmioty ze wskazanych sektorów będą musiały podporządkować się nowym wymogom. Chodzi np. o energetykę, infrastrukturę finansową, ochronę zdrowia, gospodarkę ściekami.

Idąc dalej, Polska w specyficzny sposób odnosi się do regulacji związanych z dostawcami wysokiego ryzyka, zapisując je w projekcie nowej ustawy. Znalazły się one w 5G Toolbox, a zatem w wytycznych, nie twardym prawie, i tylko dla jednego sektora.

Tu pojawia się pytanie, na które, jak sądzę, nasz ustawodawca powinien odpowiedzieć. Jaki jest cel wdrożenia rozwiązania dostawców wysokiego ryzyka, które przewiduje możliwość usunięcia produktu, usługi, procesu z infrastruktury informatycznej, z infrastruktury krytycznej? Czy to rzeczywiście powinno dotyczyć pozostałych 17 sektorów?

Na ile przepisy oparte na NIS2 w krajach UE powinny być spójne?

Ustawodawca unijny, wybierając formę dyrektywy, stworzył swobodę implementacji regulacji. Niemniej jednak powinna zostać zachowana zasada proporcjonalności. Jeśli wymogi w Polsce będą tak surowe, może to spowodować konsekwencje ekonomiczne, implikacje związane z rozwojem, innowacyjnością i zahamować pewien rozwój technologiczny z uwagi na ryzyko biznesowe. Zaproponowano jeden z najbardziej restrykcyjnych modeli.

Podam dwa przykłady. Finlandia w ogóle nie odnosi się do definicji dostawcy wysokiego ryzyka. Oczywiście wdrożyła możliwość oceny dostawcy, jest to zasadne. Natomiast nie posługuje się w zakresie oceny kryteriami geopolitycznymi, a jedynie ocenami technicznymi. Drugim dobrym przykładem jest Belgia, która wdrożyła rozwiązania dostawcy wysokiego ryzyka i wykorzystuje m.in. kryteria geopolityczne, ale dotyczy to tylko sektora telekomunikacyjnego, czyli w wąskim zakresie, jaki wskazał 5G Toolbox. W polskim projekcie mamy kryteria oceny zarówno techniczne i są one jak najbardziej właściwe, chodzi przecież o bezpieczeństwo sieci krytycznych, jak i geopolityczne, nawiązujące do pochodzenia dostawcy z państwa spoza Unii czy NATO. W żadnym innym państwie członkowskim Unii instytucja dostawców wysokiego ryzyka nie rozciąga się na inne sektory gospodarki.

Jako prawniczka podkreślę znaczenie zasady proporcjonalności, dobierania określonych środków i zabezpieczeń technicznych, rozwiązań w ustawodawstwie, które będą adekwatne do zagrożenia i konkurencyjne wobec innych państw UE. Tak aby Polska była postrzegana jako kraj bez nadregulacji, przyjazny, oczywiście również bezpieczny.

Celem NIS2 było zapewnienie harmonizacji, jedności, spójności. Patrząc na obecną propozycję implementacji tej dyrektywy, wydaje się, że absolutnie nie został on osiągnięty.

Rozmawiał Jacek Pochłopień