Kontynuując tematykę dyrektywy NIS2 dziś czas na to, co tygrysy lubią najbardzej, czyli jeden z najbardziej kontrowersyjnych elementów nowelizacji: możliwość uznania technologii pochodzących od dostawcy za stwarzające szczególnego rodzaju zagrożenie dla bezpieczeństwa państwa. Konsekwencją uznania firmy jako dostawcy wysokiego ryzyka będzie eliminacja z rynku dla podmiotów kluczowych i ważnych — zakaz ich używania i obowiązek wycofania z użycia już wdrożonych rozwiązań (ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, Dz.U. z 2026 r. poz. 252).
A mianowicie, oczywiście w skrócie:
- im bardziej będziemy się — jako państwo, gospodarka, społeczeństwo — informatyzować, tym więcej zagrożeń będzie z tej informatyzacji wynikało, to oczywista oczywistość; najgorzej byłoby wpuścić do systemu „konia trojańskiego” i dać mu swobodnie brykać: tworzyć podatności, zakłócać, wykradać, etc.,etc.;
- a ponieważ zawsze lepiej zapobiegać niż leczyć, ustawa przewiduje opcję iście atomową: minister d/s informatyzacji będzie mógł uznać firmę za dostawcę wysokiego ryzyka, tj. stwarzającego zagrożenie dla podstawowego interesu bezpieczeństwa państwa — i tym samym wprowadzić zakaz korzystania przez podmioty kluczowe i podmioty ważne (etc.) z zakwestionowanych rozwiązań ICT;
- porządkując nieco przedpole do dalszych rozważań: przesłanką wszczęcia postępowania w/s uznania dostawcy za dostawcę wysokiego ryzyka (high risk vendor, HRV) jest ochrona bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, zaś adresatem takiej decyzji będą: wszystkie (i) podmioty kluczowe i ważne, (ii) przy czym tylko ci przedsiębiorcy komunikacji elektronicznej, których przychody z działalności telekomunikacyjnej za rok poprzedni przekroczyły 10 mln złotych oraz (iii) podmioty finansowe, z wyjątkiem wskazanych w art. 16 rozporządzenia DORA;
- w kwestii formalnej: uznanie dostawcy rozwiązań ICT za dostawcę wysokiego ryzyka będzie następowało w drodze decyzji administracyjnej, czyli po przeprowadzeniu zwykłego postępowania w/g kpa; stroną tego postępowania będzie „każdy, wobec kogo” zostało ono wszczęte (ustawa wprost wyłącza stosowanie art. 28 kpa; jak rozumiem dotyczy to dostawcy produktu lub usługi ICT, bo podmiotów kluczowych i ważnych mogą być tysiące, więc jak ich wszystkich zawiadomić);
art. 67b ust. 15 ustawy o krajowym systemie cyberbezpieczeństwa
Minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania oraz podmioty wchodzące w skład grupy kapitałowej […], w ramach której funkcjonuje dostawca, za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi zagrożenie dla podstawowego interesu bezpieczeństwa państwa.
- cofając się nieco na osi czasu: zawiadomienie o wszczęciu postępowania w/s uznania dostawcy za dostawcę szczególnego ryzyka będzie nie tylko doręczane stronom, ale „także” publikowane w BIP ministra — acz jeśli dostawcą sprzętu lub oprogramowania będzie firma niemająca siedziby w UE, EFTA-EOG lub w Konfederacji Szwajcarskiej, publikacja zawiadomienia w BIP będzie zastępować doręczenie;
- dla żądnych detali: minister d/s informatyzacji będzie mógł wszcząć postępowanie z urzędu lub na wniosek przewodniczącego Kolegium do Spraw Cyberbezpieczeństwa (mówiąc po ludzku: z mocy ustawy przewodniczącym jest premier; w skład Kolegium wchodzą m.in. ministrowie MON, MSWiA, MSZ, Szef BBN, a także koordynator d/s służb specjalnych lub Szef ABW), zarazem rolą Kolegium w toku sprawy będzie m.in. wydanie opinii dot. zagrożeń ekonomicznych, terrorystycznych, wywiadowczych, a także analizy „prawdopodobieństwa”, iż dostawca jest kontrolowany przez państwo spoza UE lub NATO, ocena powiązań z podmiotami objętymi sankcjami UE, liczby i rodzajów wykrytych podatności i incydentów, etc.,etc.;
- a jeśli zarzuty się potwierdzą: decyzja w/s uznania dostawcy za dostawcę wysokiego ryzyka będzie ogłaszana w Monitorze Polskim i publikowana w BIP resortu informatyzacji, także w BIP będzie prowadzona lista wykluczonych z rynku produktów, usług i procesów, co oznacza, że odtąd każdy podmiot kluczowy i ważny powinien zacząć skrupulatnie przeglądać te publikatory;
- jako się rzekło: konsekwencją uznania konkretnego dostawcy za dostawcę szczególnego ryzyka będzie zakaz używania zakwestionowanych technologii oraz obowiązek wycofania ich z użycia;
art. 67c ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
W przypadku wydania decyzji, o [uznaniu dostawcy za dostawcę wysokiego ryzyka] podmioty, o których mowa w art. 67b ust. 1:
1) nie wprowadzają do użytkowania typów produktów ICT, rodzajów usług ICT i konkretnych procesów ICT w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka;
2) wycofują z użytkowania typy produktów ICT, rodzaje usług ICT i konkretne procesy ICT w zakresie objętym decyzją dostarczanych przez dostawcę wysokiego ryzyka nie później niż w terminie 7 lat od dnia ogłoszenia decyzji […] w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.
- (dla rozwiania wątpliwości, na przykładzie: taka decyzja musi wskazywać konkretne „typy” produktów ICT, „rodzaje” usług ICT lub „konkretne” procesy ICT, więc generalnie nie chodzi o to, że jeśli za dostawcę wysokiego ryzyka zostanie uznana firma Dayuejin, więc trzeba się pozbyć np. odkurzaczy marki Dayuejin używanych przez pracowników podmiotów kluczowych i ważnych — ale też wystarczające będzie wskazanie typu produktu „odkurzacze Dayuejin” i wówczas nie będzie trzeba się rozdrabniać, że „odkurzacz Dayuejin MAO-1” — i martwić, że producent zastąpi go modelem MAO-2 i cała procedura od nowa);
- przy czym technologie już stosowane będą musiały zostać wycofane najpóźniej w ciągu 7 lat od ogłoszenia decyzji w Monitorze Polskim, natomiast przedsiębiorcy telekomunikacyjni będą mieli na to tylko 4 lata, acz wyłącznie w zakresie, w jakim rozwiązania ICT mieszczą się w kategoriach funkcji krytycznych dla bezpieczeństwa sieci i usług (ich wykaz zawiera załącznik nr 3 do ustawy); w tym czasie dopuszczalna będzie wyłącznie ich naprawa, modernizacja, wymiana lub aktualizacja, jednak tylko pod warunkiem, że jest to niezbędne dla zapewnienia ciągłości i jakości usługo;
- istotne: podmioty kluczowe i podmioty ważne będą miały obowiązek informować organy d/s cyberbezpieczeństwa, na ich wniosek, o wycofywaniu z użycia zakwestionowanych technologii pochodzących od dostawcy wysokiego ryzyka;
- kary, kary: podmiot kluczowy i podmiot finansowy, który nie wykonuje obowiązków w zakresie wykluczenia rozwiązań dostarczanych przez dostawców wysokiego ryzyka, w tym nie informuje o ich wycofywaniu z użycia, podlega karze pieniężnej w kwocie do 10 mln euro lub 2% przychodu (nie mniej niż 20 tys. zł), natomiast podmiot ważny do 7 mln euro lub 1,4% przychodu (lecz nie mniej niż 15 tys. zł)…
- …nadto „swoją” karę może dostać kierownik podmiotu kluczowego lub ważnego (max. 300% wynagrodzenia miesięcznego);
- a jeśli naruszenie spowodowało bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, a także zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług, kara może wynieść aż „100 000 000” zł;
- przy czym dla przypomnienia: przez pierwsze dwa lata nie nakłada się kar pieniężnych, także za niewycofanie z użycia rozwiązań ICT pochodzących od dostawcy wysokiego ryzyka…
art. 35 ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw
Kary pieniężne, o których mowa w art. 73 ust. 1-4 oraz art. 73a-73c i art. 76b ustawy [o Krajowym Systemie Cyberbezpieczeństwa] w brzmieniu nadanym niniejszą ustawą mogą być po raz pierwszy nałożone po upływie 2 lat od dnia wejścia w życie ustawy
- …co rzecz jasna nie oznacza, że w tym czasie nie można wszcząć postępowania w/s naruszenia — i nałożyć kary po upływie tego czasu.
Tytułem lakonicznego komentarza: pomijając huk roboty i mnogość ryzyk regulacyjnych ;-) dla podmiotów, których dotyczy NIS2, chyba właśnie te rozwiązania wskazywane są jako budzące najwięcej wątpliwości w sposobie implementacji dyrektywy. Dla Polski tworzy to dodatkowe ryzyko — wniesienia skargi na nieprawidłową implementację.