Zgodzić się należy z niektórymi komentatorami, iż zapis ten zobowiązuje przedsiębiorców do rozważenia relacji pomiędzy środkami technicznymi i wiedzą a kosztami wdrożenia a następnie dopasowania przyjętych rozwiązań do stopnia oszacowanego przez siebie ryzyka. Innymi słowy, nie oznacza to bezwzględnego obowiązku wdrażania „najnowszych osiągnięć technicznych”, co w wielu przypadkach wykraczałoby poza zasadę proporcjonalności a czasami byłoby wręcz niemożliwe.
Jak zatem widać, sam projektowany artykuł 40 (aczkolwiek zdecydowanie wymaga doprecyzowania celem uzyskania zgodności z EKŁE) nie przewiduje rewolucyjnej zmiany w odniesieniu do obecnie obowiązujących zapisów PT. Warto jednak zastanowić się, czy to dobrze.
Dla przypomnienia: art. 8 UKSC odnoszący się do dostawców usług kluczowych, mówi przede wszystkim o konieczności wdrożenia systemu zarządzania bezpieczeństwem zapewniającego prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Tak wdrożony system winien zapewnić stosowanie adekwatnych środków bezpieczeństwa (UKSC wymienia niewyczerpującą listę takich środków), zbieranie informacji o zagrożeniach i podatnościach na incydenty systemu informacyjnego usługi kluczowej, zarządzanie incydentami oraz stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu (np. stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym).
Wydaje się, że podejście prezentowane przez UKSC jest bliższe naturze ryzyka związanego z cyberbezpieczeństwem, które wymaga systemowego i procesowego podejścia, a także zapewnienia maksymalnej współpracy (i to dwukierunkowej) z systemem cyberbezpieczeństwa na obszarze danego kraju oraz krajów unijnych.
Autorzy projektu PKE natomiast zamierzają uszczegółowić zakres obowiązków ciążących na przedsiębiorcach telekomunikacyjnych, korzystając upoważnienia do wydania rozporządzenia. Zgodnie z ust. 3 art. 41 projektu PKE, rozporządzenie takie określi minimalny zakres środków, o których mowa w omawianym już artykule 40, sposób ich dokumentowania a także zakres zwolnień przedmiotowych i podmiotowych. Podobne upoważnienie zawiera obecnie obowiązujący art.175 d PT, z tym, że z zgodnie treścią tego artykułu, wydanie rozporządzenia ma charakter fakultatywny. Do niedawna w praktyce oznaczało to do jego brak. Kilka miesięcy temu (jak należy przypuszczać, częściowo na bazie kontrowersji związanych z niektórymi dostawcami sprzętu telekomunikacyjnego) Ministerstwo Cyfryzacji podjęło w końcu prace związane z wydaniem tego rozporządzenia.
