Ocena projektu dyrektywy NIS2_Mariusz Busiło

Quien mucho abarca, poco aprieta, czyli kto dużo łapie, ten słabo ściska – to hiszpańskie przysłowie przychodzi mi do głowy po szybkiej lekturze projektu Dyrektywy NIS2. Autorzy nowej regulacji zdecydowali się uchwycić w jej sieci znacznie szersze niż dotychczas grono podmiotów obowiązanych do stosowania jej kosztownych regulacji. Do grona podmiotów objętych regulacją włączone zostają np. telekomy i to bez względu na ich wielkość, skalę czy rodzaj działalności. Rozwiązanie takie może przyczynić się do ograniczenia konkurencji i w efekcie dotknąć negatywnie konsumentów.

Idąc tropem RODO receptą na przestrzeganie nowych przepisów mają być drakońsko wysokie kary. Czy poprawi to rzeczywiste cyberbezpieczeństwo, czy będzie kolejną biurokratyczną kłodą w rozwoju europejskich innowacji zobaczymy w najbliższych pięciu latach. Patrząc na dotychczasowy wpływ RODO na ochronę naszych danych osobowych, jestem raczej sceptyczny.

Zaproponowany w NIS2 model regulacyjny jest modelem opartym na nakazie prawnym i jego administracyjnym egzekwowaniu. Wymaga to rozbudowy aparatu administracyjnego, procedur, raportowania, kontroli. Przy czym mechanizmy te są nastawione na karanie ofiar, a nie ściganie przestępców.

Projekt w swojej warstwie aksjologicznej jakby pomija fakt, że ataki cybernetyczne, prowadzone są obecnie przez wyspecjalizowane grupy przestępcze czy aktorów wspieranych przez obce państwa. Zamiast więc oferować wsparcie publicznych instytucji wyspecjalizowanych w zwalczaniu cyberataków czy przygotowanych do cyberwojny, wprowadza kosztowne w realizacji obowiązki administracyjne i wysokie kary za ich niestosowanie.

Regulacja, która w mojej opinii powinna być nastawiona na szeroką edukację społeczną (słynne zdanie Kevina Mitnicka:“łamałem ludzi nie hasła”), promowanie postaw bezpiecznych oraz udzielania wsparcia, zamienia się w mechanizm represjonowania ofiar. Zawarte w Rozdziale III Cooperation zapisy o współpracy z przemysłem są krokiem w dobrym kierunku, jednak ich regulacje są znacznie bardziej ogólne niż twarde regulacje dotyczące kar.

Unijne przepisy dot. usług cyfrowych są rozproszone w wielu aktach prawnych, stosujących różne pojęcia na określenie tych samych sytuacji, albo różnie definiując te same pojęcia (jak choćby podstawową definicje incydentu). Niestety projekt NIS2 nie próbuje poprawić tego stanu, dokładając do chaosu pojęciowego wynikającego z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE), Europejskiego Kodeksu Łączności Elektronicznej (EKŁE, Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej, zastępująca dyrektywy 2002/19/WE, 2002/20/WE, 2002/21/WE, 2002/22/WE) i ich krajowych odpowiedników, czy np. sektorowych wytycznych związanych np. z wykorzystaniem chmury obliczeniowej na rynkach finansowych. Równocześnie proponowane są nowe regulacje jak Digital Services Act, Digital Markets Act, Digital Operational Resilience Act, Data Governance Act, Directive on the resilience of critical entities, Cloud Certification Scheme: Building Trusted Cloud Services Across Europe (ENISA) czy Cybersecurity Certification: EUCC Candidate Scheme (ENISA)

Ta różnorodność aktów prawnych regulujących tę samą dziedzinę powoduje nie tylko zamieszanie pojęciowe, ale także konkurencyjne reżimy regulacyjne i nadzór ze strony różnych regulatorów o nakładających się obszarach kompetencji.

Na koniec smaczek: wygląda na to, że podobnie jak w karach finansowych za nieprzestrzeganie RODO, tak i w obszarze cyberbezpieczeństwa, administracja publiczna zadbała o własne przywileje. Definicja public administration entity (art. 4 pkt 23 projektu) wskazuje na konieczność posiadania przez taki podmiot osobowości prawnej, co oznacza że w Polsce zdecydowana większość jednostek sektora publicznego nie zostanie objęta przepisami dyrektywy z uwagi na brak takiej cechy.