Komisja Europejska przedstawiając w tym tygodniu nowy pakiet cyberbezpieczeństwa nie pozostawiła wątpliwości, że regulacje o dostawcach wysokiego ryzyka są niezbędne i będą musiały je wprowadzić wszystkie kraje UE. I zapewne będą rozszerzone na inne branże krytyczne, a na pewno też na sieci stacjonarne. To wytrąca argumenty wielu krytykom nowelizowanej od kilku lat ustawy o Krajowym Systemie Cyberbezpieczeństwa. Być może staną się oni wręcz apostołami unijnych propozycji.
Nie mogło być specjalnym zaskoczeniem, że najgorętsze dyskusje w sejmowej komisji cyfryzacji nad procedowaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa dotyczyły dostawców wysokiego ryzyka (DWR). Ministerstwo Cyfryzacji postawiło tu na swoim i nie ustąpiło w tej kwestii ani o milimetr. Argumenty przeciwko tej regulacji, że idzie za daleko w stosunku do unijnej dyrektywy NIS 2, a zapisy o DWR powinny ograniczać się tylko do sieci komórkowych nie były niczym nowym i w debacie publicznej są powtarzane od dawna.
Czy gdy nowelizacja ustawy o KSC będzie prezentowana w Sejmie, znów usłyszymy to samo? Być może, choć Komisja Europejska przedstawiając w tym tygodniu nowy pakiet cyberbezpieczeństwa nie pozostawiła wątpliwości, że regulacje o DWR są niezbędne i będą musiały je wprowadzić wszystkie kraje UE i zapewne będą rozszerzone na inne branże krytyczne, a na pewno też na sieci stacjonarne.
To wytrąca argumenty wielu krytykom nowelizowanej KSC – a jak to określają przedstawiciele resortu cyfryzacji – ukrytym lobbystom.
Czy takie podejście jest zaskoczeniem? Raczej nie. Unijna komisarz Henna Virkkunen już od jakiegoś czasu sygnalizowała w swych wypowiedziach, że nie jest zadowolona jak różnie poszczególne państwa unijne wdrażają przyjęty w 2020 r. 5G Security Toolbox, a także NIS 2. Ta pierwsza regulacja była przyjmowana na zasadzie dobrowolności, a jej wdrażanie było fragmentaryczne.
Co ważne, to sama KE w drodze aktów wykonawczych ma przygotowywać wykazy dostawców wysokiego ryzyka i taką listę aktualizować. Podmioty uznane za DWR z takiego wykazu będą miały prawo zwrócić się do Komisji o ponowną ocenę swojej organizacji, struktury kontroli i struktury własności po przedstawieniu dowodów na istnienie istotnych zmian.
Niektórzy z prawników biorących wcześniej żywy udział w dyskusjach nad nowelizacją ustawy KSC czy regulacjami DWR, komentowali w mediach społecznościowych, że to dobry kierunek. Ich zdaniem procedury KE uznawania jakiegoś dostawcy za DWR są bardziej transparentne, niż to proponuje polskie Ministerstwo Cyfryzacji. Oznacza to, że choć protestowali przeciwko zapisom o DWR, gdy proponował je polski ustawodawca, to gotowi są je przyjąć, gdy zarządzi tak Bruksela. Dziś np. "Dziennik Gazeta Prawna" zachwyca się, jak świetnie tę kwestię rozwiązuje w swych propozycjach Bruksela, a jak to fatalnie proponował polski ustawodawca, określając je jako „polowanie na czarownice”.
– Nowe propozycje sprawiają, że duża część procedowanej w bólach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) staje się nie tylko anachroniczna, ale wręcz sprzeczna z nadchodzącym nowym ładem prawnym UE – ocenia dziennik.
Generalnie, widocznym zamysłem proponowanych przez KE nowych przepisów w zakresie cyberbezpieczeństwa jest, by były one bardziej scentralizowane i jednolite dla wszystkich krajów, w sytuacji rosnącej współzależności w obrębie infrastruktury cyfrowej. Temu służyć ma też zwiększenie uprawnień i roli ENISA, Agencji UE ds. Cyberbezpieczeństwa.
To także niespecjalnie dziwi, bo też państwa UE mają coraz mniejsze opory, by oddać swe kompetencje z zakresu cyberbezpieczeństwa do Brukseli. Mówił o tym w opublikowanej w grudniu ub.r. roku rozmowie z TELKO.in Miguel González-Sancho, szef jednostki „Przyszłe Systemy Łączności” w ramach Dyrekcji Generalnej ds. Komunikacji, Sieci, Treści i Technologii (DG CONNECT) Komisji Europejskiej. Przypomniał w niej, że kiedy KE kilka lat temu przedstawiła pierwszy wniosek dotyczący unijnej dyrektywy NIS, państwa członkowskie stwierdziły, że nie jest to obszar kompetencji UE, ponieważ bezpieczeństwo jest sprawą krajową. Dziś staje się ono sprawą coraz mniej krajową, czego wyrazem są ostatnie propozycje KE z zakresu cyberbezpieczeństwa, przedstawione w tym tygodniu.
Nie wszystkim się to podoba. Krytyczne głosy zwracają uwagę, że zaproponowany pakiet w połączeniu z zaprezentowanym w tym tygodniu Digital Networks Act wykracza daleko poza cyberbezpieczeństwo, potencjalnie zmieniając sposób funkcjonowania europejskiego internetu i ramy regulacyjne na rynku telko i przyznając nadmierne uprawnienia w Komisji Europejskiej.
Piątkowe komentarze TELKO.in mają charakter publicystyki – subiektywnych felietonów, stanowiących wyraz osobistych przekonań i opinii autorów. Różnią się pod tym względem od Artykułów oraz Informacji.
