Firma doradcza EY opracowała porównawczy raport na temat wdrożenia dyrektywy NIS2 oraz rekomendacji 5G Toolbox w krajach Unii Europejskiej.
‒ Polska wyróżnia się w tym kontekście poprzez zaproponowanie jednego z najbardziej restrykcyjnych modeli regulacyjnych ‒ brzmi jedna z konkluzji raportu.
Podkreśla on przede wszystkim, iż w Polsce:
- ograniczenia wobec dostawców wysokiego ryzyka obejmą wszystkie 18 sektorów wskazanych w Dyrektywie NIS2 (38 tys. podmiotów);
- planuje się obowiązek wycofania produktów i usług ICT od dostawców wysokiego ryzyka z dowolnej infrastruktury bez analizy krytyczności zasobów;
- kryteria oceny dostawców uwzględniają zarówno czynniki techniczne, jak i geopolityczne.
Implikacje tej polityki są, zdaniem autorów raportu, negatywne.
Oba powyższe dokumenty wdrażane są do krajowego porządku prawnego poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Ten nader kontrowersyjny i procedowany już trzy lata projekt w połowie lutego utknął na etapie prac rządowych pomiędzy Komitetem ds. Europejskich a Komitetem Stałym. Chociaż projekt dyskutowany był już wielokrotnie, to ‒ póki nie zostanie przyjęty przez parlament ‒ dyskusje z pewnością nadal będą trwały. W ostatnim czasie na restrykcyjność projektu wskazywała także Konfederacja Lewiatan.
Raport EY nie kryje, że „choć państwa UE mają wspólny cel, jakim jest zabezpieczenie sieci 5G i infrastruktury krytycznej, każde państwo przyjmuje odmienne praktyki w zakresie oceny dostawców i produktów, stosowania kryterium kraju pochodzenia czy zakresu wykluczeni”.
Wyszczególniono w nim dosyć dokładnie stan prawny oraz praktykę wszystkich 27 krajów UE.