Ocena projektu dyrektywy NIS2_prof. Katarzyna Chałubińska-Jentkiewicz

Czy w Pani opinii projekt dyrektywy NIS2 spełnia wymagania rynku? Jakie problematyczne aspekty dostrzega Pani w nowych przepisach?

Projekt dyrektywy jest wynikiem przeglądu stosowania obecnie obowiązującej dyrektywy NIS i ma być częścią szerszego pakietu obejmującego także odrębne regulacje dla instytucji finansowych (Regulation on Digital Operational Resilience for the financial Sector (“DORA”))  oraz Resilience of Critical Entities Directive.

Można powiedzieć, że w obecnym stanie prawnym doszło do rozbieżności między państwami członkowskimi w zakresie będącym przedmiotem jej regulacji oraz, że jednym z efektów tej sytuacji jest brak instrumentów restrykcji w stosunku do podmiotów objętych regulacją, co w znacznym stopniu obniża poziom cyberbezpieczeństwa. Decyzja o przyjęciu nowej dyrektywy wydaje się słuszna. Nowa dyrektywa będzie dyrektywą minimalnej harmonizacji, co nie zamyka państwom członkowskim drogi do przyjmowania przez nie dalej idących rozwiązań zapewniających większy poziom cyberbezpieczeństwa (na co wskazuje art. 3). Projekt zakłada powstanie grupy współpracy (art. 12) i sieci CSIRTów (art. 13), a także EU – CyCLONe ( European Cyber Crises Liaison Organisation Network) w celu koordynacji cyberincydentów dużej skali i kryzysów (art. 14), co jest kluczowe ze względu na często poza terytorialny charakter skutków takich zdarzeń. W kontekście budowy sieci 5G, choć nie wyłącznie, istotne jest wprowadzenie zapisów o skoordynowanej ocenie ryzyk łańcucha dostaw (art. 19, a także pkt 47 motywów) i certyfikacji (art. 21). Istotnym elementem dyrektywy są także rozwiązania dotyczące standaryzacji (art. 22) i wymiany informacji (art. 26). Niewątpliwie obszar tych rozwiązań będzie elementem wpływu na działania rynkowe. Co prawda Komisja zadecyduje jakie kategorie podmiotów kluczowych ( a status ten mogą posiadać podmioty publiczne, jak i prywatne realizujące zadania publiczne lub zadania własne) będą miały obowiązek uzyskać certyfikat, jednak nowe obowiązki wynikające z NIS 2 będą wymagały zaangażowania różnych podmiotów w obszarach, które nie były dotychczas objęte taką regulacją. Cyfryzacja i informatyzacja życia gospodarczego spowodowały, że wciąż pojawiają się nowe dziedziny, w których cyberbezpieczeństwo ma kluczowe znaczenie. Stąd także nowe obowiązki dla nowej grupy podmiotów -  podmiotów ważnych (important entities). Nie wszyscy będą zadowoleni, ale nie działania prorynkowe w tej regulacji chodzi. Nie zawsze interes ogólny, publiczny idzie w parze z interesem indywidualnym, gospodarczym.

Aby odpowiedzieć na pytanie dotyczące spełnienia przez nowe zapisy dyrektywy wymagań rynkowych, trzeba przypomnieć, jaki był główny cel regulacji unijnych w tym obszarze. A była nim szeroko rozumiana współpraca międzysektorowa na rzecz cyberbezpieczeństwa. Działania państw członkowskich i ich władz publicznych na rzecz cyberbezpieczeństwa, w warunkach wspólnego i jednolitego rynku telekomunikacyjnego, muszą wspierać wszyscy jego uczestnicy. To jest obowiązek także przedsiębiorców telekomunikacyjnych i wszelkich innych podmiotów, których funkcjonowanie może wpływać lub wpływa na zakres cyberbepieczeństwa. Bez tej współpracy i koordynacji działań nie możemy mówić o bezpiecznej cyberprzestrzeni.

Problematyczne pod względem rozwiązań dotyczących rynku telekomunikacyjnego jest to, iż nowelizacja Dyrektywy może stwarzać pole do kolizji z przepisami wynikającymi z innych przepisów m.in. Dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej, gdzie zagadnienia bezpieczeństwa sieci oraz usług telekomunikacyjnych zostały także ustalone, a w praktyce wymogi są realizowane od wielu lat. Jednak należy także zaznaczyć, że czymś innym są obowiązki wynikające z regulacji rynku telecom, a czymś innym obwiązki związane z tworzeniem spójnego i skoordynowanego systemu cyberbezpieczeństwa w systemie administracyjnym państwa. Chociaż należy podkreślić, że nowe zadania związane z cyberbezpieczeństwem mogą stać się przyczyną wzrostu kosztów prowadzenia przez zobowiązane podmioty działalności, a co w sposób oczywisty może stanowić argument do  podniesienia cen usług dla użytkowników końcowych.

Niezależnie od powyższych wątpliwości nowa regulacja może służyć zwiększeniu odporności na cyberataki, jeżeli zostanie skutecznie implementowana przez państwa członkowskie. Zmiany, uwzględniając główny cel tej regulacji, oceniam pozytywnie.

O jakie aspekty powinna zostać poszerzona dyrektywa NIS2?

Niezależnie od wielkości, przedsiębiorca zajmujący się świadczeniem usług komunikacji elektronicznej będzie podlegał przepisom wynikającym z dyrektywy NIS2. Dyrektywa przewiduje także wysokie kary finansowe dla podmiotów nie realizujących obowiązków we właściwy sposób. Kary te mają wynosić maksymalnie co najmniej 10000000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego która kwota jest wyższa. Poziom tych kar może być szczególnie dotkliwy dla mniejszych przedsiębiorców, którzy dopiero wchodzą do systemu cyberbezpieczeństwa. Być może potrzebna byłaby tu odpowiednia gradacja kar.