Dyrektywa o cyberbezpieczeństwie: idziemy znacznie dalej na tle Europy

Część państw, jak Chorwacja, Finlandia, Słowacja, Węgry czy Włochy, zdążyła już przyjąć stosowne ustawy, których celem jest wdrożenie przepisów unijnej dyrektywy NIS2. Inne, jak Austria, Irlandia czy Niemcy, wciąż pracują nad projektami. Na tym tle szczególnie wyróżnia się polski projekt, który w ograniczeniach stosowania technologii idzie znacznie dalej niż większość europejskich odpowiedników.

Unijna dyrektywa NIS2, przyjęta w 2022 r., stanowi ważny krok w kierunku potrzebnego zbliżenia standardów cyberbezpieczeństwa w państwach członkowskich. Jej celem jest zwiększenie odporności sieci i systemów informatycznych w całej Unii Europejskiej poprzez nałożenie nowych obowiązków na podmioty działające w sektorach krytycznych i ważnych. Istnieją jednak wyraźne różnice w podejściu ustawodawców do implementacji dyrektywy NIS2 w poszczególnych krajach Europy.

Warto na wstępie zauważyć, że stosunkowo niewielka liczba krajów europejskich wykonała dyrektywę NIS2. Przyczyną takiej sytuacji nie są problemy z implementacją przepisów, lecz stosowana przez nie „strategia wyczekiwania”. Wykonawcy dyrektywy NIS2 w poszczególnych krajach UE bardzo ostrożnie podchodzą do kwestii przyjmowania dodatkowych środków krajowych, które ingerują w swobodę wyboru technologii wykorzystywanych w sferze usług cyfrowych i wyboru dostawców.

Najwłaściwszym rozwiązaniem w tym kontekście jest oparcie środków ograniczających na przepisach aktów prawnych (np. decyzjach) wydawanych przez organy Unii Europejskiej, a także na decyzjach podejmowanych w ramach procedur koordynowanych na poziomie Wspólnoty.

Tak robią to państwa europejskie

Obrazując proces wdrażania przepisów dyrektywy w poszczególnych państwach unijnych, warta podkreślenia jest znacząca rola zasady proporcjonalności, kluczowej w kontekście ochrony wolności gospodarczej i zapewnienia uczciwej konkurencji. Na przykład włoskie regulacje wprowadzają w tym zakresie zasadę stopniowego zwiększania intensywności środków wraz z ewentualnie rosnącym poziomem cyberzagrożeń. Rozwiązania słowackie i węgierskie przewidują możliwość ograniczania działań jedynie do komponentów technologii rzeczywiście uznanych za krytyczne. Austria oraz Niemcy są przykładami państw, gdzie środki będą musiały być dostosowane nie tylko do skali zagrożenia, ale również do wielkości podmiotu i jego znaczenia społeczno-gospodarczego.

Ciekawym wątkiem są różnice między rzeczywistymi zapisami ustaw a ich medialnym odbiorem. Szczególnie jaskrawy jest tu przykład projektu austriackiego (w nieco mniejszym zaś stopniu niemieckiego), co do którego wiele mediów (austriackich lub niemieckich) sugeruje, że jest to rodzaj implementacji radykalnie eliminującej dostawców i technologie pochodzące z niektórych państw trzecich. Sugestie te nie mają pokrycia w rzeczywistości – ostateczne projekty rozwiązań legislacyjnych zmierzają do zapewnienia w tej mierze wymogów zasady proporcjonalności.

Polska na granicy złamania prawa UE

Na tym tle polski projekt implementacji NIS2 jawi się jako regulacja o znacznie bardziej ambitnym, a zarazem – w istotnej części – kontrowersyjnym charakterze. Polska próbuje bowiem nie tylko dostosować krajowe przepisy do wymogów unijnych, ale wręcz dokonać kodyfikacji prawa cyberbezpieczeństwa.

Polski projekt ustawy przypisuje istotną rolę kryterium państwa pochodzenia przy wyborze dostawców technologii (produktów, usług i systemów) dla przedsiębiorców działających w sektorach ważnych i kluczowych.

Wątpliwości budzi również definicja „dostawcy wysokiego ryzyka”, która nie jest wymagana przez dyrektywę UE. Kryterium uznania dostawcy za taki podmiot nie odnosi się bezpośrednio do produktu czy wykrytych incydentów, lecz do cech samego przedsiębiorcy. Warto zauważyć, że projekt ustawy stosuje standardy 5G Toolbox do wszystkich sektorów wymienionych w NIS2 jako krytyczne i ważne. Skoro wspomniane uznanie niekoniecznie musi wynikać z okoliczności obiektywnych określonych w dyrektywie NIS2 (np. z incydentów lub kryzysu cyberbezpieczeństwa), to takie uznanie może mieć charakter uznaniowy, a nawet przypadkowy.

Problemem może okazać się zgodność takich regulacji z zasadą swobody przepływu towarów w Unii Europejskiej, w sytuacji gdy dyrektywa UE takich przepisów nie wymaga. Zgodnie ze standardem Cassis de Dijon oraz art. 36 TFUE ograniczenia w obrocie wewnątrzunijnym produktami legalnie wprowadzonymi do obrotu (nawet importowanymi z państw trzecich) mogą być stosowane wyłącznie w wyjątkowych sytuacjach i z pewnością nie mogą opierać się wyłącznie na pierwotnym pochodzeniu produktu. W praktyce takie przepisy mogłyby działać jak ukryta bariera handlowa, zrównana z zakazanymi przez traktaty ograniczeniami ilościowymi w imporcie.

Wyżej wymienione rozwiązania w polskim projekcie wzbudzają wątpliwości co do ich zgodności z prawem UE.