Co prawda NIS2 umożliwia przyjęcie przepisów zapewniających wyższy poziom bezpieczeństwa, jednak polska konstrukcja HRV nie tylko stanowi wyraźny wyłom w zasadzie stosowania rozwiązań proporcjonalnych do stwierdzonego ryzyka (rozwiązania, które nie biorą pod uwagę okoliczności danego przypadku z definicji nie mogą być proporcjonalne). Narzucanie przedsiębiorcom rozwiązań, które są całkowicie niedostosowane do realiów prowadzonych przez nich działalności mogą prowadzić nawet do niższego zamiast wyższego poziomu bezpieczeństwa. Nowelizacja KSC pozwala również na objęcie zakresem decyzji HRV zasobów, które zgodnie z 5G Toolbox nie są krytyczne. Konstrukcja decyzji HRV jest zatem niespójna z NIS2.
Ponadto, skutki decyzji HRV są nie do pogodzenia z rozporządzeniem DORA, które reguluje działalność tych operatorów usług kluczowych, którzy są jednocześnie podmiotami finansowymi (w szczególności dotyczy to instytucji kredytowych). Rozporządzenie to jest rozporządzeniem pełnej harmonizacji (z zastrzeżeniem podstawowych funkcji państwa), opartym nie tylko na zasadzie pełnej odpowiedzialności podmiotów finansowych za zarządzanie ryzykiem w ich organizacji. Funkcje nadzorcze pełnią w podmiotach finansowych organy unijne. Wydając decyzję HRV właściwy minister wchodziłby w sposób niedopuszczalny w zakres kompetencji należący do nadzorczych organów unijnych.
Na ten moment przepis art. 66a KSC dość ogólnie zakłada, że przesłanką wydania decyzji HRV ma być stanowienie poważnego zagrożenia dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi. Teoretycznie minister jest zobowiązany do zasięgnięcia opinii kolegium doradczego jednak na ten moment zalecenia takiego kolegium nie są wiążące. Decyzja ministra ma być natychmiast wykonalna i to bez prawa do wniosku o ponowne rozpatrzenie sprawy (strona będzie mogła złożyć skargę do sądu, ale i tam przewiduje się dla strony pewne ograniczenia proceduralne). Co więcej, do postępowania prowadzącego do wydania decyzji HRV nie mogą przystąpić operatorzy usług kluczowych ani dostawcy usług cyfrowych – tym bardziej nie będą mogli złożyć skargi do sądu. Takie regulacje stoją w sprzeczności z fundamentami Karty Praw Podstawowych UE (w tym zasady wolności działalności gospodarczej i prawa do sądu), do którego to dokumentu zresztą odnosi się również NIS2.
Warto także dodać, że z procedury HRV wyłączeni są dostawcy sprzętu i oprogramowania z państw członkowskich UE i NATO.
W dialogu ze środowiskiem PT projektodawca podnosi argument, że obowiązek wdrożenia decyzji HRV (czyli wycofania całych typów sprzętu i oprogramowania dostawcy HRV) spoczywa tylko na PT, którzy są zobowiązani do tworzenia planów działań w sytuacjach szczególnych zagrożeń. Takich przedsiębiorców jest 69. Od czego jednak zależy, które telekomy tworzą plany, a które są z tego obowiązku zwolnione? Od przepisów ujętych w… rozporządzeniu. Aktualnie jest to rozporządzenie wydane na podstawie art. 176 ust. 5 Prawa telekomunikacyjnego i dotyczy ono zwolnień z obowiązku spoczywającego na PT.
Na gruncie przepisów Prawa komunikacji elektronicznej (PKE), które jest już w Sejmie, rozporządzenie to będzie dotyczyło zwolnień z obowiązku spoczywającego na przedsiębiorcach komunikacji elektronicznej – czyli już nie tylko PT, lecz również przedsiębiorcach świadczących publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującej numerów.
