Na przestrzeni czterech artykułów zawarto aż pięć odesłań, upoważniających ministerstwo właściwe do spraw informatyzacji i Radę Ministrów do wydania aktów wykonawczych.
Druga uwaga o charakterze ogólnym, to zadziwiająco częste przywoływanie przez twórców Projektu rekomendacji ENISA [ang. European Union Agency for Cybersecurity, Agencja Unii Europejskiej ds. Cyberbezpieczeństwa – red.]. Rekomendacje ENISA to typowe „miękkie” prawo, które czasami może okazać się niezmiernie pomocne, ale co do zasady stosowane winno być dyskrecjonalnie – w zależności od decyzji i woli danego podmiotu. Zgodnie z treścią Projektu, rekomendacje ENISA mogą zostać obleczone w imperium aktu wykonawczego (art.41 ust.3) lub nawet konkretnej decyzji Prezesa Urzędu Komunikacji Elektronicznej (art.41 ust.5) nakładającej na przedsiębiorcę telekomunikacyjnego obowiązek stosowania dodatkowych technicznych i organizacyjnych środków mających zapewnić bezpieczeństwo sieci i usług.
Przechodząc do uwag szczegółowych, to – jak słusznie wskazuje w swoich uwagach do art.40 Projektu Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji – Projekt odwołuje się w kontekście bezpieczeństwa sieci i usług do pojęcia „usług telekomunikacyjnych” (a w zasadzie do „przedsiębiorcy telekomunikacyjnego”), podczas gdy EKŁE rozszerza te obowiązki także na podmioty świadczące usługi „komunikacji interpersonalnej niewykorzystującej numerów” (np. komunikatory typu Skype, czy WhatsApp). Ten nowy, wprowadzony przez EKŁE termin, oznacza usługi umożliwiające bezpośrednią, interpersonalną i interaktywną wymianę komunikatów (nie wiadomo dlaczego, projekt PKE używa terminu „informacja”) za pośrednictwem sieci telekomunikacyjnych, co także odbiega od EKŁE, który posługuje się pojęciem „sieci łączności elektronicznej”.
Wydaje się jednak, że w tej mierze przepisy EKŁE są niezmiernie klarowne i nie pozostawiają zbyt wiele miejsca na odmienne interpretacje.
Warto zaznaczyć, że dotychczasowe przepisy nakładały obowiązek zapewnienia bezpieczeństwa komunikatów na ogół nie na przedsiębiorców telekomunikacyjnych a jedynie na „dostawców publicznie dostępnych usług telekomunikacyjnych” oraz „operatora publicznej sieci telekomunikacyjnej”.
Jeżeli chodzi o sam zakres obowiązków, to – zgodnie z proponowaną treścią artykułu 40 PKE – przedsiębiorcy telekomunikacyjni będą zobowiązani (podobnie jak w chwili obecnej) do podjęcia środków proporcjonalnych do stopnia ryzyka, przy uwzględnieniu „najnowocześniejszych osiągnięć technicznych i kosztów wprowadzenia tych środków”. Nowością, jest dodanie do tego wyliczenia „najlepszej wiedzy”, choć nie wydaje się, aby była to zmiana istotna.