W ostatnim czasie opublikowana została kolejna, już dziewiąta wersja projektu analizującego przepisy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Ta najnowsza propozycja co do zasady nie różni się znacząco od poprzedniej wersji tego projektu. Tym samym aktualne pozostają zastrzeżenia co do treści tej propozycji. Chodzi o niezgodność z europejską dyrektywą dotyczącą cyberbezpieczeństwa, tzw. NIS 2. Dyrektywa ta już została przyjęta, w związku z czym musi zostać wdrożona do krajowego porządku prawnego. Przede wszystkim należy zwrócić uwagę na postępowanie dotyczące dostawców wysokiego ryzyka. Dyrektywa akcentuje proporcjonalność środków w tym zakresie. Zgodnie z NIS2 rozwiązania przyjmowane w tym zakresie powinny uwzględniać wyniki oceny ryzyka dokonywanej na poziomie całej UE. Takie rozwiązanie pozwala na koordynację działań oraz – co szczególnie istotne – budowanie jednolitych standardów w zakresie cyberbezpieczeństwa w całej UE.

– Według KSC powstanie obowiązek zaprzestania korzystania ze sprzętu lub oprogramowania takiego dostawcy, który zostałby uznany w Polsce za dostawcę wysokiego ryzyka. To jest niezgodne z zapisami dyrektywy NIS 2, bo Unia Europejska chce prowadzić taką ocenę na szczeblu europejskim – powiedział serwisowi eNewsroom Wojciech Piszewski, Counsel w kancelarii Maruta Wachta, specjalizujący się m.in. w zagadnieniach compliance, prawa ochrony danych osobowych i e-commerce. – Te niezgodności pomiędzy nowelizacją KSC a treścią dyrektywy są o tyle istotne, że zgodnie z zasadą lojalności oraz już ugruntowanym orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, państwa członkowskie powinny powstrzymać się od tego, aby w okresie transpozycji przyjmować przepisy niezgodne z założeniami dyrektywy. Wydaje się, że w przypadku polskiego projektu nowelizacji mamy właśnie do czynienia z tego rodzaju sytuacją. W tym kontekście jedynym właściwym rozwiązaniem jest zaprzestanie procedowania tego projektu i poszukanie takiego rozwiązania, które pozwoli znowelizować przepisy KSC – ale jednak w sposób zgodny z założeniami i przepisami dyrektywy NIS 2 – zaleca Piszewski.