Polska zakończyła wdrożenie dyrektywy NIS 21 listopada 2018 r. Przepisom powstałej na tej podstawie polskiej ustawy „w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii” podlegają dwie grupy podmiotów: operatorzy usług kluczowych i dostawcy usług cyfrowych. Ostatnim etapem procesu implementacji było opublikowanie rozporządzenia, które wskazuje tzw. progi dla incydentów poważnych – czyli działań, które powodują lub mogą spowodować zdecydowane obniżenie jakości bądź też przerwanie świadczenia usług przez dostawcę usług kluczowych. Progi dla dostawców usług cyfrowych natomiast określono w rozporządzeniu wykonawczym 2018/151, które wydała Komisja Europejska.

O przynależności do operatorów usług kluczowych firma dowiaduje się z odgórnej decyzji administracyjnej. Druga grupa (dostawców usług cyfrowych) obejmuje internetowe platformy handlowe, dostawców usług przetwarzania w chmurze i wyszukiwarki internetowe. Spod dyrektywy wyłączone są natomiast firmy telekomunikacyjne. Spać spokojnie mogą też mikro- i mali przedsiębiorcy.

Cyfrowy czy nie?

W myśl przepisów usługodawca sam decyduje, czy należy do którejś z wymienionych wcześniej podgrup. To zresztą kwestia nie zawsze łatwa do ustalenia, na co zwrócił uwagę prawnik Krzysztof Wojdyło (podczas spotkania dla przedsiębiorców zorganizowanego przez kancelarię Wardyński i Wspólnicy oraz firmę doradczo-analityczną Audytel). Według specjalisty zwłaszcza internetowe platformy handlowe okazują się kategorią nie tak jednoznaczną, jak zapewne chciał prawodawca. Prawdopodobnie jego intencją nie było obejmowanie tą regulacją np. sklepów internetowych, a raczej podmioty, które tworzą platformy cyfrowe umożliwiające zawieranie umów pomiędzy stronami trzecimi. Podanie przykładu takiej platformy nie nastręczy trudności nikomu w dobie gospodarki cyfrowej. Pytanie jednak, czy w definicję internetowych platform cyfrowych wpisują się te crowdfundingowe, de facto też umożliwiające zwieranie stosunku prawnego pomiędzy osobami trzecimi.

Zdaniem Krzysztofa Wojdyło realne dylematy powstają też, gdy mowa o usługach przetwarzania danych w chmurze, bo choć z jednej strony można wprost wskazać podmioty, które będzie obejmować ta definicja, to z drugiej wątpliwości pojawiają się np. w przypadku dostawców gier sieciowych. Dlatego – jak zalecał prawnik – podmioty, które intuicyjnie czują, że definicje zawarte w kategorii dostawców usług cyfrowych mogą dotyczyć ich działalności, powinny wnikliwie przyjrzeć się nowym regulacjom.