Cyberzagrożenia stały się elementem codziennego ryzyka funkcjonowania państwa, administracji i gospodarki, a brak spójnych ram prawnych osłabia odporność całego systemu. Sam fakt, że obecny rząd zdecydował się przejść od deklaracji do legislacji, należy ocenić pozytywnie. Tę beczkę miodu psuje jednak kilka łyżek dziegciu.

Problem zaczyna się jednak na poziomie rozwiązań szczegółowych. Dyrektywa NIS2 została zaprojektowana jako instrument minimalnej harmonizacji, oparty na zasadzie proporcjonalności, neutralności technologicznej i analizie ryzyka. Państwa członkowskie mają swobodę dostosowania regulacji do krajowych realiów. Implementacja nie powinna jednak prowadzić do tworzenia systemów bardziej restrykcyjnych, niż jest to konieczne do osiągnięcia celu.

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa nosi niestety cechy goldplatingu – wyjścia poza unijne minimum. Dotyczy to nie tylko zakresu narzędzi ingerencji państwa, ale także skali regulacji. Zgodnie z dostępnymi analizami nowymi obowiązkami może zostać objętych kilkadziesiąt tysięcy podmiotów, co czyni polski projekt jednym z najszerszych w całej Unii Europejskiej. W praktyce oznacza to, że reżim ustawy obejmie nie tylko największe podmioty infrastrukturalne, lecz także bardzo dużą liczbę firm działających w licznych, często rozproszonych sektorach gospodarki.

Tak szeroki zakres regulacji rodzi pytanie o proporcjonalność. Cyberbezpieczeństwo wymaga koncentracji na rzeczywistych punktach krytycznych, a nie objęcia jednolitymi obowiązkami podmiotów o skrajnie różnym profilu ryzyka, możliwościach organizacyjnych i finansowych. Dla wielu firm, zwłaszcza średnich, nowe wymogi mogą oznaczać istotne koszty, konieczność reorganizacji procesów i zwiększone ryzyko regulacyjne.

Dyskusyjna jest konstrukcja, w której punkt ciężkości regulacji przesuwa się z oceny technologii na ocenę podmiotów. W cyberbezpieczeństwie kluczowe znaczenie mają konkretne rozwiązania techniczne: ich architektura, możliwość audytu, certyfikacji i kontroli operacyjnej. Państwa nie „kupują krajów”, lecz technologie, które można dostosować do własnych wymogów bezpieczeństwa. Przy tak dużej liczbie firm objętych ustawą odejście od tej logiki zwiększa uznaniowość decyzji i osłabia przewidywalność prawa w skali całej gospodarki.

Wątpliwości budzi również konstrukcja procedur. Cyberbezpieczeństwo wymaga sprawności działania, ale szybkość nie może oznaczać rezygnacji z podstawowych gwarancji prawnych. Ograniczenie realnej kontroli sądowej, niejawność uzasadnień decyzji czy szeroka natychmiastowa wykonalność rozstrzygnięć administracyjnych, potęgują ryzyko nieproporcjonalnej ingerencji. Chodzi o 38 tysięcy podmiotów, które mogą odczuć konsekwencje administracyjnych decyzji.

Polska bez wątpienia potrzebuje silnych narzędzi ochrony infrastruktury cyfrowej. Równie potrzebuje jednak prawa precyzyjnego, proporcjonalnego i skalowalnego do realnego poziomu ryzyka. Implementacja NIS2 to właściwy kierunek. Pytanie brzmi jednak, czy przy tak dużej liczbie firm objętych ustawą i podnoszonych kontrowersjach nie warto jeszcze raz wyważyć relacji między bezpieczeństwem państwa, możliwościami rynku i standardami praworządności.