Regulacje NIS2 i 5G Toolbox - analiza polskiego podejścia na tle innych państw UE

Polski model – najszersze podejście do dostawców

Raport wskazuje, że Polska wybrała model, który stanowi najszersze podejście na tle państw UE. W polskiej propozycji:

• Zakres sektorowy: Ograniczenia dotyczą nie tylko sektora telekomunikacyjnego w zakresie sieci 5G, ale także wszystkich rodzajów sieci mobilnych i sieci stacjonarnych oraz wszystkich sektorów objętych Dyrektywą NIS2 – od energetyki, transportu, bankowości, ochrony zdrowia, po infrastrukturę cyfrową i wiele innych.
• Ocena ryzyka: Wprowadzono możliwość wszczęcia postępowania administracyjnego w celu oceny dostawcy pod kątem zagrożeń technicznych i geopolitycznych.
• Wycofywanie sprzętu: Polska przewiduje możliwość obligatoryjnego wycofywania sprzętu już użytkowanego, co może wpłynąć na koszty wdrożenia i dostosowania infrastruktury.

Takie rozwiązanie – choć pozornie wzmacnia cyberbezpieczeństwo – jako odosobnione na tle pozostałych państw członkowskich UE rodzi pytania o jednolitość regulacji na poziomie unijnym oraz o potencjalne bariery dla inwestycji w sektorze ICT.

„Polski” 5G Toolbox w porównaniu z innymi państwami UE

Analiza porównawcza wykazuje duże zróżnicowanie podejść w zakresie wdrażania 5G Toolbox i oceny dostawców:

• Ocena dostawców i produktów – 21 państw stosuje formalną ocenę dostawców pod kątem cyberbezpieczeństwa (w tym Polska), a 6 krajów nie posiada usystematyzowanego mechanizmu oceny.
• Klasyfikacja Infrastruktury krytycznej i możliwe ograniczenia – 15 krajów uznaje rdzeń sieci 5G za kluczowy. W 11 państwach dodatkowo za krytyczną uznaje się Radiową Sieć Dostępową (5G RAN), w tym w 3 państwach obejmuje się także pasywne elementy sieci. Jednak wdrożone środki i klasyfikacja nie są jednolite, w 7 krajach 5G RAN podlega szczególnej ochronie i może podlegać ograniczeniom. Polska uznaje de facto wszystkie komponenty ICT za krytyczne, rozszerzając je na elementy pasywne, sieci mobilne wszystkich generacji (3G, 4G, 5G) oraz sieć stacjonarną.
• Wykluczenie dostawców wysokiego ryzyka – 4 państwa (Dania, Estonia, Litwa, Portugalia) przewidują możliwość eliminacji zainstalowanego sprzętu z infrastruktury bez możliwości wprowadzenia środków naprawczych, ponadto Polska opracowuje regulacje pozwalające na wycofanie już użytkowanego sprzętu bez możliwości usunięcia stwierdzonych podatności.
• Liczba sektorów objętych ograniczeniami wynikającymi z 5G toolbox - jedynie Polska planuje wdrożenie regulacji podobnej do 5G Toolbox w zakresie wykluczeń dostawców w 18 sektorach uregulowanych w NIS2.

Żródło: Raport EY: Regulacje NIS2 i 5G Toolbox w Polsce. Analiza wdrożenia i porównanie z państwami UE

Wyzwania i rekomendacje dla decydentów

Zróżnicowanie podejść do wdrożenia unijnych regulacji niesie ze sobą zarówno szanse, jak i zagrożenia. Kluczowe kwestie to:

• Fragmentacja rynku: Brak jednolitych standardów może utrudniać współpracę transgraniczną i zwiększać koszty wdrożenia u poszczególnych operatorów.
• Wpływ na inwestycje: Przepisy dotyczące wycofywania sprzętu, mogą wpływać na decyzje inwestycyjne w sektorze ICT, podnosząc koszty dostosowania infrastruktury.
• Koordynacja regulacyjna: Niski stopień koordynacji działań na poziomie UE, utrudnia lepsze zharmonizowanie standardów bezpieczeństwa oraz zwiększa ryzyko fragmentacji regulacyjnej.

Wnioski z raportu wskazują na potrzebę elastycznego podejścia do zarządzania ryzykiem oraz na konieczność przeprowadzenia dogłębnej oceny wpływu nowych regulacji na gospodarkę cyfrową. Wspólnym celem powinno być znalezienie równowagi między zapewnieniem wysokiego poziomu cyberbezpieczeństwa a utrzymaniem konkurencyjności sektora technologicznego.