Cyfryzacyjna wygoda przynosi nowe rodzaje wyzwań zarówno w kontekście społecznym, jak i w zakresie bezpieczeństwa. W obu przypadkach potrzebne jest jak najszybsze działanie – i to na każdym poziomie, począwszy od mniejszych społeczności, aż do państwa – aby ograniczyć powstające ryzyka. Nie ma na co czekać: ryzyko nadużycia internetowych swobód czy ataku na sieci informatyczne, jak również ryzyko ich poważnej awarii – po prostu jest. Z czasem będzie jedynie większe, bo coraz większe jest zastosowanie technologii cyfryzacyjnych. Na ustawodawcy spoczywa szczególny obowiązek eliminacji lub przynajmniej ograniczenia tego ryzyka. Musi on przy tym działać szybko – bo bardzo szybka jest również zachodząca w dziedzinie cyfryzacji zmiana technologiczna. Krótko mówiąc, należy w państwie zapewnić cyberbezpieczeństwo, które będzie się opierać na przemyślanych i dobrze skonstruowanych przepisach prawa. To zgodnie z jednym z kluczowych rozporządzeń UE (2019/881) wymaga podjęcia „działań niezbędnych do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed cyberzagrożeniami”.

NIS2 i nowelizacja ustawy o KSC

Państwa Unii Europejskiej zareagowały stosunkowo wcześnie na wyzwania w zakresie cyberbezpieczeństwa. Pierwszą poważną regulacją, którą wspólnie zainicjowały, była dyrektywa NIS, która została przyjęta już w 2016 r. Po kilku latach została ona uznana za niewystarczającą. W 2022 r. państwom członkowskim UE udało się uchwalić – na poziomie unijnym – nową, dużo obszerniejszą dyrektywę NIS2 (2022/2555). Legislator unijny zadeklarował, że ma być ona odpowiedzią na „ewolucję krajobrazu cyberzagrożeń”, które w związku z technologią cyfrową powstały, powstają i będą powstawać.

Z prawnego, ale subiektywnie tu ujmowanego punktu widzenia najciekawsze elementy nowej regulacji dotyczą kwestii wszelkich przewidzianych w dyrektywie możliwości ingerencji władzy publicznej w działalność przedsiębiorców – zwłaszcza takich ingerencji, które mogą ograniczać zakres korzystania przez nich ze swobód traktatowych. W szczególności chodzi tu o swobodę przepływu towarów oraz usług, ale i swobodę przedsiębiorczości, która – jak wiemy – wymaga m.in. niedyskryminacyjnego traktowania w państwach członkowskich spółek i ich oddziałów założonych przez podmioty wywodzące się z innych części UE. Z tego punktu widzenia interesujące są przepisy dotyczące sprawowania przez administrację publiczną nadzoru cyberbezpieczeństwa i egzekwowania środków zabezpieczających. Tu bowiem dyrektywa NIS2 (odwołująca się do tzw. miękkiego, a więc zawierającego niewiążące reguły postępowania, zawartego w dokumencie 5G Toolbox) przewiduje możliwość ograniczenia wspomnianych swobód w uzasadnionych przypadkach. Podmiotowo umożliwia m.in. wprowadzenie środków zarządzania ryzykiem w cyberbezpieczeństwie, ingerujących w działalność gospodarczą.

Polski projekt ustawy wykonującej dyrektywę NIS2 korzysta z tych możliwości regulacji działania przedsiębiorców rynku cyfrowego. Ustawodawca ma tu również pewną swobodę działania z tego powodu, że dyrektywa NIS2 wyznacza standardy minimalne. Wydaje się więc, że nie ma niebezpieczeństwa przeregulowania, tymczasem...

Jak przeregulować unijną dyrektywę

W opinii części ekspertów polskie wdrożenie dyrektywy jest nadregulacją na skalę europejską. Chodzi zwłaszcza o możliwość wyznaczania i wykluczenia grupy dostawców wysokiego ryzyka z państw spoza NATO i UE oraz nakładania na przedsiębiorców szczególnych, niezbędnych obowiązków w postaci poleceń zabezpieczających. Jest to istotna ingerencja w swobodę przedsiębiorczości oraz ograniczenie prawa własności.

Dyrektywa NIS2, mimo że wydaje się liberalna, gdy idzie o możliwość krajowego regulowania kwestii cyberbezpieczeństwa, to jednak wyraźnie odwołuje się do zasady proporcjonalności. Państwa powinny zapewnić, że wprowadzane ograniczenia będą proporcjonalne do ryzyka, które zagraża danym sieciom i systemom informatycznym oraz podmiotom wykorzystującym daną infrastrukturę. To z kolei wymaga m.in. rozpoznania zagrożeń tkwiących np. w zastosowanych technologiach. Innymi słowy nie da się – zgodnie z dyrektywą – wprowadzić reguł ograniczających swobody traktatowe jedynie na tej podstawie, że prawodawcy wydaje się, iż istnieje jakieś zagrożenie albo iż „w mediach o takich zagrożeniach piszą”. Musi on raczej regulować tak, by miało to uzasadnienie w stwierdzonych przez niego – przy zastosowaniu rygorystycznych metod analizy – ryzykach.

W wielu aspektach regulacyjnych polskie wykonanie dyrektywy NIS2 poszło bardzo daleko. Dotyczy to także wspomnianych tu kwestii ograniczenia podstawowych swobód działalności gospodarczej. Nie wszystkie rozwiązania legislacyjne mają przy tym wymagane uzasadnienie w analizie ryzyka. Przykładem może być regulacja dotycząca dostawców wysokiego ryzyka, która w Polsce idzie najdalej ze wszystkich państw członkowskich Unii Europejskiej. W zakresie jej sektorowego zastosowania obejmuje 18 sektorów gospodarki, takich jak m.in.: telekomunikacja, energetyka, transport, bankowość, ochrona zdrowia, samorząd terytorialny, rolnictwo, produkcja żywności i gospodarka odpadami.

Nawet jeżeli, intuicyjnie rzecz biorąc, możemy się obawiać zainstalowania w naszych systemach krytycznych technologii np. chińskiej, hinduskiej czy izraelskiej, to jednak przesłanki do ich ograniczania powinny być wcześniej udowodnione i technicznie uzasadnione. Inaczej powstanie wysokie prawdopodobieństwo, że naruszymy zasady postanowienia dyrektywy NIS2, swobody traktatowe UE, a także... zasady godziwego traktowania wymagane w tym przypadku w umowach bilateralnych z innymi państwami.

Właściwie reagować na ryzyka

Zasadniczym problemem wszystkich, którzy są odpowiedzialni za bezpieczeństwo cyfrowe, nie jest rozwiązanie dylematu, czy regulacji powinno być mniej, czy więcej. Z tego powodu kwestię tę należałoby w ogóle „wypisać” ze skądinąd ważnych planów deregulacyjnych prawodawców różnych państw – w tym Polski. Ryzyka, które pojawiają się w kontekście cyfryzacji, są nowe, a więc wymagają nowych reguł. Wymagają także dokładnego rozpoznania. Oznacza to również konieczność dokładnej analizy samych technologii informatycznych, np. co do tego, czy faktycznie istnieje ryzyko nieuprawnionej kontroli przez ich sprzedawców, którzy mogą mieć swoje siedziby daleko poza naszym krajem. Obecna nowelizacja i jej uzasadnienie niestety wydają się pomijać te aspekty, zwłaszcza w kontekście proporcjonalności i uzasadnienia konieczności zastosowania tak skrajnych ograniczeń podstawowych swobód działalności gospodarczej. Opierają się raczej na hipotetycznym, a nie realnym ryzyku, pomijając całkowicie kwestie kosztów.