Regulacje NIS2 i 5G Toolbox – polskie restrykcje na tle innych państw UE

W dobie rosnących zagrożeń cybernetycznych oraz dynamicznego rozwoju technologii 5G, unijne regulacje, takie jak Dyrektywa NIS2 i wytyczne 5G Toolbox, miały stać się fundamentem ochrony infrastruktury krytycznej. Termin wdrożenia Dyrektywy NIS2 upłynął 17 października 2024 roku. Na tle państw UE widoczne są duże różnice w modelach krajowej implementacji założeń NIS2 i Toolboxa 5G, co jeszcze bardziej uwypukla wyzwania współpracy transgranicznej w obszarze cyberbezpieczeństwa. W tym kontekście Polska wyróżnia się poprzez restrykcyjne podejście do unijnych przepisów i stworzenie daleko idącego mechanizmu oceny dostawców wysokiego ryzyka, który rodzi pytania o spójność i efektywność regulacji na poziomie europejskim. Rozbieżności proponowane przez polskiego ustawodawcę znacząco wpłyną na konkurencyjność gospodarki, generując nierówności w warunkach rynkowych i zwiększając koszty wdrożenia regulacji.

Justyna Wilczyńska-Baraniak, Partnerka EY Law, Liderka EY EMEIA Cyber Law, adwokatka / Materiały prasowe

Raport został oparty na szerokim badaniu regulacji cyberbezpieczeństwa w państwach członkowskich UE. W pierwszej fazie zbieraliśmy dane z krajowych przepisów, dokumentów źródłowych oraz konsultacji legislacyjnych dotyczących wdrożenia Dyrektywy NIS2 i zaleceń 5G Toolbox. Następnie przeprowadziliśmy analizę porównawczą, która pozwoliła wyodrębnić kluczowe różnice w podejściu do oceny dostawców, klasyfikacji infrastruktury krytycznej oraz stosowanych wykluczeń. Dzięki temu podejściu udało się dokładnie scharakteryzować obecny stan wdrożenia regulacji na poziomie UE, ze szczególnym uwzględnieniem polskiego modelu oceny dostawców.

Polski model – odejście od harmonizacji przepisów UE

Polska wybrała model, który stanowi najszersze podejście do tzw. dostawców wysokiego ryzyka na tle państw UE. Takie rozwiązanie – choć pozornie wzmacnia cyberbezpieczeństwo – jako odosobnione na tle pozostałych państw członkowskich UE rodzi pytania o jednolitość regulacji na poziomie unijnym oraz o potencjalne bariery dla inwestycji w sektorze ICT.

W polskiej propozycji:

• Zakres sektorowy: Ograniczenia dotyczą nie tylko sektora telekomunikacyjnego w zakresie sieci 5G, ale także wszystkich rodzajów sieci mobilnych i sieci stacjonarnych oraz wszystkich sektorów objętych Dyrektywą NIS2 – od energetyki, transportu, bankowości, ochrony zdrowia, po infrastrukturę cyfrową i wiele innych.

• Ocena ryzyka: Wprowadzono możliwość wszczęcia postępowania administracyjnego w celu oceny dostawcy pod kątem zagrożeń technicznych i geopolitycznych.

• Wycofywaniesprzętu: Polska przewiduje możliwość obligatoryjnego wycofywania sprzętu już użytkowanego, co może wpłynąć na koszty wdrożenia i dostosowania infrastruktury.

„Polski” 5G Toolbox - wykluczenia w 18 sektorach gospodarki

Analiza porównawcza wykazuje duże zróżnicowanie podejść w zakresie wdrażania 5G Toolbox i oceny dostawców:

• Ocenadostawców i produktów – 21 państw stosuje formalną ocenę dostawców pod kątem cyberbezpieczeństwa (w tym Polska), a 6 krajów nie posiada usystematyzowanego mechanizmu oceny.

• Klasyfikacja infrastruktury krytycznej i możliwe ograniczenia – 15 krajów uznaje rdzeń sieci 5G za kluczowy. W 11 państwach dodatkowo za krytyczną uznaje się Radiową Sieć Dostępową (5G RAN), w tym w 3 państwach obejmuje się także pasywne elementy sieci. Jednak wdrożone środki i klasyfikacja nie są jednolite, w 7 krajach 5G RAN może podlegać ograniczeniom. Z kolei Polska uznaje wszystkie komponenty ICT za krytyczne, rozszerzając je na elementy pasywne, sieci mobilne wszystkich generacji (3G, 4G, 5G) oraz sieć stacjonarną.

• Wykluczeniedostawcówwysokiegoryzyka – 4 państwa (Dania, Estonia, Litwa, Portugalia) przewidują możliwość eliminacji zainstalowanego sprzętu z infrastruktury bez możliwości wprowadzenia środków naprawczych. Analogiczne regulacje proponuje Polska dodatkowo nakazując wycofanie już użytkowanego sprzętu.

• Liczba sektorów objętych ograniczeniami wynikającymi z 5G Toolbox - jedynie Polska planuje wdrożenie regulacji 5G Toolbox w zakresie wykluczeń dostawców w 18 sektorach uregulowanych w NIS2.

Wdrożenie SG Toolbox w państwach UE / Dziennik Gazeta Prawna - wydanie cyfrowe

Wyzwania i rekomendacje dla decydentów

Zróżnicowanie podejść do wdrożenia unijnych regulacji niesie ze sobą zarówno szanse, jak i zagrożenia. Kluczowe kwestie to:

• Fragmentacjarynku: Brak jednolitych standardów może utrudniać współpracę transgraniczną i zwiększać koszty wdrożenia u poszczególnych operatorów.

• Wpływna inwestycje: Przepisy dotyczące wycofywania sprzętu, mogą wpływać na decyzje inwestycyjne w sektorze ICT, podnosząc koszty dostosowania infrastruktury.

• Koordynacjaregulacyjna: Niski stopień koordynacji działań na poziomie UE, utrudnia zharmonizowanie standardów bezpieczeństwa oraz zwiększa ryzyko fragmentacji regulacyjnej.

Regulacje NIS2 i 5G Toolbox – polskie restrykcje na tle innych państw UE / Dziennik Gazeta Prawna - wydanie cyfrowe

Wnioski z raportu wskazują na potrzebę elastycznego podejścia do zarządzania ryzykiem oraz na konieczność przeprowadzenia dogłębnej oceny wpływu nowych regulacji na gospodarkę cyfrową. Wspólnym celem powinno być znalezienie równowagi między zapewnieniem wysokiego poziomu cyberbezpieczeństwa a utrzymaniem konkurencyjności sektora technologicznego.

Podsumowanie

Nasza analiza wykazała, że występują znaczące różnice w sposobie implementacji zasad 5G Toolbox w państwach członkowskich. W niektórych krajach, takich jak Polska, proponuje się przyjęcie kompleksowych i daleko idących mechanizmów oceny dostawców we wszystkich sektorach NIS2, podczas gdy inne państwa ograniczają regulacje do sektora telekomunikacyjnego. Te rozbieżności będą miały istotny wpływ na konkurencyjność gospodarek, ponieważ niestandardowe podejścia mogą generować nierówności w warunkach rynkowych oraz zwiększać koszty wdrożenia regulacji. Tu warto nawiązać do postulatu harmonizacji przy wdrażaniu przepisów dotyczących cyberbezpieczeństwa oraz uproszczenia i zmniejszenia obciążeń wystosowanego przez ministrów ds. telekomunikacji państw UE w Apelu Warszawskim w sprawie wyzwań związanych z cyberbezpieczeństwem z 4 marca 2025 r.

Z analizy krajowych przepisów dotyczących wdrożenia 5G Toolbox wynika, że Polska proponuje najszersze wymagania spośród Państw Unii Europejskiej. Dodatkowo w każdym z sektorów objętych NIS2, każde państwo implementuje te zalecenia inaczej.

Polska stawia na najszerszy zakres regulacji dotyczących dostawców wysokiego ryzyka, co w porównaniu z innymi państwami UE może mieć daleko idące konsekwencje. Raport stanowi nie tylko cenne źródło wiedzy dla regulatorów i decydentów, ale także praktyczny przewodnik po wyzwaniach, jakie niesie ze sobą transformacja cyfrowa w zakresie cyberbeczpieczeństwa w kontekście rosnących zagrożeń cybernetycznych. Jako uczestnicy tego procesu, zarówno przedsiębiorstwa, jak i instytucje publiczne, muszą być przygotowane na zmiany – zarówno te technologiczne, jak i regulacyjne.

Raport jest dostępny do pobrania pod QR kodem: