Szczególną rolę przypisano operatorom usług kluczowych i dostawcom usług cyfrowych, na których nałożono obowiązki w zakresie zarządzania ryzykiem i zgłaszania najpoważniejszych incydentów. Ryzykiem potencjalnego niekorzystnego wpływu na dostępność, autentyczność, integralność, poufność danych lub związanych z nimi usług. Dyrektywa NIS nie obejmowała PT, a to dlatego, że PT od lat byli zobowiązani do zarządzania ryzykiem w swoich sieciach i do zgłaszania incydentów.
Nowelizacja KSC zakłada zmianę obowiązków dotyczących bezpieczeństwa sieci i usług, nakładanych na PT (Rozdział 4a KSC). Ta zmiana stanowi wdrożenie art. 40 i 41 Europejskiego Kodeksu Łączności Elektronicznej[4] (EKŁE; w pozostałym zakresie kodeks jest wdrażany w Prawie komunikacji elektronicznej). NIS2 te przepisy EKŁE uchyla. Zgodnie z NIS2 PT będą zobowiązani – w zależności od wielkości prowadzonej działalności – wdrożyć rozwiązania przewidziane dla podmiotów kluczowych lub dla podmiotów ważnych. Wymogi te są odmienne od tych ujętych w art. 40 i 41 EKŁE (w przeciwnym wypadku cały zabieg uchylenia tych przepisów byłby zbędny).
Zmiany dotyczą czterech kwestii:
(1) kwalifikowania incydentów cyberbezpieczeństwa,
(2) informowania o tych incydentach właściwych organów,
(3) zapobiegania incydentom i zarządzania ryzykiem,
(4) zasad realizowania nadzoru nad PT (które na gruncie NIS2 są zróżnicowane w zależności od wielkości przedsiębiorcy – a w art. 40 i 41 EKŁE nie były różnicowane, zatem i w nowelizacji KSC nie są).
Są to w dużej mierze obowiązki proceduralne, więc organizacja będzie musiała dokonać przeglądu swoich procedur bezpieczeństwa, następnie dostosować je do nowelizacji KSC, w końcu wdrożyć.
Będzie to wysiłek zarówno organizacyjny, jak i czasowy. Już dzisiaj jednak wiemy, że będzie on też płonny – ponieważ za 1,5 roku trzeba go będzie wykonać ponownie, przy wdrażaniu NIS2! Próżno doszukiwać się logiki w takim rozwiązaniu. Nie sposób więc dziwić się, że środowisko branżowe oczekuje racjonalnego kroku ze strony prawodawcy i dostosowania działań do bieżącego stanu prawnego. A sprawa jest niebagatelna. Szacujemy, że ponad połowa projektowanych przepisów dotyczących telekomów będzie niezgodna z NIS2.
Scenariusz, w którym PT będą musieli dwukrotnie wdrażać obowiązki z tego samego zakresu, nie powinien być w ogóle rozpatrywany. Odrzucenia takiego scenariusza wymaga elementarny szacunek dla przedsiębiorców. Inna byłaby sytuacja, gdyby (w miarę rozwoju wiedzy i nowych doświadczeń) obowiązki spoczywające na PT byłyby zmieniane. Aktualnie mamy jednak do czynienia z sytuacją, gdy z góry wiemy, że podjęty przez PT wysiłek (i nakłady) ma niedługi termin ważności. Na dodatek nie mówimy o przedsiębiorcach, którzy po raz pierwszy będą mierzyć się z cyberbezpieczeństwem, lecz takich, którzy mają w tym długą praktykę. Nie jest zatem tak, że przez 1,5 roku do czasu wdrożenia NIS2 sieci i usługi telekomunikacyjne nie byłyby zabezpieczone.
Uchylenie art. 40 i 41 EKŁE przez NIS2 przywodzi na myśl okoliczności wydania wyroku przez unijny Trybunał Sprawiedliwości w sprawie C-129/96 Inter-Environnement Wallonie. Sprawa ta dotyczyła dopuszczalności wydania rozporządzenia przez władze regionalne Walonii, zgodnego z pierwotnym brzmieniem dyrektywy 75/442, w okresie, w którym uchwalono dyrektywę 91/156/EWG zmieniającą dyrektywę 75/442.
[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej
