Cień notyfikacji nad krajowym systemem cyberbezpieczeństwa

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementujący dyrektywę NIS2, znajduje się na końcowym etapie prac rządowych. Po latach dyskusji, analiz i konsultacji, przepisy, które mają m.in. uregulować procedurę uznawania tzw. dostawców wysokiego ryzyka, wkrótce trafią do Sejmu. Mimo strategicznego znaczenia ustawy, nad procesem legislacyjnym zawisła poważna wątpliwość proceduralna związana z rezygnacją z notyfikacji technicznej TRIS.

Decyzja ta, sprzeczna z wcześniejszymi założeniami i praktyką innych państw UE, rodzi realne ryzyko dla stabilności prawnej i skuteczności wdrażanych rozwiązań. Procedura TRIS (Technical Regulation Information System) jest mechanizmem zapewniającym przejrzystość na jednolitym rynku, która opiera się na obowiązku zgłoszenia przez państwo członkowskie projektowanych przepisów technicznych. Mogą być to na przykład: zakaz wprowadzania lub korzystania z określonych produktów lub usług na rynku krajowym. Celem jest zapobieganie wdrażaniu przez państwa członkowskie nieuzasadnionych barier w swobodnym przepływie towarów i usług. Dyrektywa (UE) 2015/1535 ustanawia system „wzajemnej przejrzystości i monitorowania w dziedzinie regulacji”, który ma charakter zapobiegawczy – informacje przekazuje się, gdy przepisy techniczne są jeszcze na etapie projektu i można je zmienić w celu zachowania zgodności z zasadami jednolitego rynku.