Cień notyfikacji nad krajowym systemem cyberbezpieczeństwa
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementujący dyrektywę NIS2, znajduje się na końcowym etapie prac rządowych. Po latach dyskusji, analiz i konsultacji, przepisy, które mają m.in. uregulować procedurę uznawania tzw. dostawców wysokiego ryzyka, wkrótce trafią do Sejmu. Mimo strategicznego znaczenia ustawy, nad procesem legislacyjnym zawisła poważna wątpliwość proceduralna związana z rezygnacją z notyfikacji technicznej TRIS.
Decyzja ta, sprzeczna z wcześniejszymi założeniami i praktyką innych państw UE, rodzi realne ryzyko dla stabilności prawnej i skuteczności wdrażanych rozwiązań. Procedura TRIS (Technical Regulation Information System) jest mechanizmem zapewniającym przejrzystość na jednolitym rynku, która opiera się na obowiązku zgłoszenia przez państwo członkowskie projektowanych przepisów technicznych. Mogą być to na przykład: zakaz wprowadzania lub korzystania z określonych produktów lub usług na rynku krajowym. Celem jest zapobieganie wdrażaniu przez państwa członkowskie nieuzasadnionych barier w swobodnym przepływie towarów i usług. Dyrektywa (UE) 2015/1535 ustanawia system „wzajemnej przejrzystości i monitorowania w dziedzinie regulacji”, który ma charakter zapobiegawczy – informacje przekazuje się, gdy przepisy techniczne są jeszcze na etapie projektu i można je zmienić w celu zachowania zgodności z zasadami jednolitego rynku.
KSC z pominięciem unijnych reguł?
W obecnym przedłożeniu projektu nowelizacji KSC zakłada się brak przeprowadzenia notyfikacji technicznej, mimo że projektowane przepisy dotyczące dostawców wysokiego ryzyka zostały wstępnie uznane przez Komisję Europejską za przepisy techniczne, wskutek czego polski rząd został wezwany do złożenia wyjaśnień.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.