Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 1

Wstęp

W dniu 6 lipca 2016 roku została przyjęta Dyrektywa PE i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (zwana dalej również Dyrektywą NIS [ang. Network Information Security] lub Dyrektywą), której postanowienia powinny zostać wprowadzone do porządków krajowych w terminie do dnia 9 maja 2018 roku.

W związku z powyższą koniecznością wprowadzenia przepisów krajowych w zakresie Dyrektywy, Ministerstwo Cyfryzacji pracuje nad rządowym projektem ustawy o krajowym systemie cyberbezpieczeństwa, a planowany termin jego przedstawienia jest przewidziany na kwiecień 2017 roku.

Jaki jest zakres regulacji Dyrektywy NIS ?

Głównym celem wskazanej powyżej Dyrektywy jest zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w każdym państwie członkowskim. W związku z faktem, iż Dyrektywa ma charakter harmonizacji w stopniu minimalnym, każde państwo UE jest obowiązane zapewnić przynajmniej ten minimalny poziom określony Dyrektywą lub może utrzymać albo wprowadzić wyższy poziom zabezpieczeń.

Podmiotami świadczącymi usługi w zakresie objętym Dyrektywą są operatorzy usług kluczowych oraz dostawcy usług cyfrowych. Niniejszy artykuł skupi się na analizie postanowień Dyrektywy w zakresie jedynie dostawców usług cyfrowych oraz nałożonych na nich obowiązkach.

Niniejszy artykuł jest pierwszym z serii, który skupi się na analizie postanowień Dyrektywy, a dokładnie na omówieniu definicji dostawców usług cyfrowych oraz analizie poszczególnych usług przez nich świadczonych. W kolejnym artykule zostaną opisane obowiązki jakie spoczywają na dostawcach usług cyfrowych.

Kim jest dostawca usługi cyfrowej w rozumieniu Dyrektywy NIS ?

Na początku należy odnieść się do określenia i zdefiniowania pojęcia dostawców usług cyfrowych co jest istotne, ponieważ od zakwalifikowania czy podmiot jest dostawcą usług cyfrowych zależy jego zobowiązanie do realizacji wskazanych w Dyrektywie obowiązków.

Dostawcą usług cyfrowych zgodnie z artykułem 4 pkt 6 Dyrektywy jest każda osoba prawna, która świadczy usługę cyfrową, czyli taką, która jest świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług, oraz która jednocześnie jest klasyfikowana jako internetowa platforma handlowa, wyszukiwarka internetowa lub usługa przetwarzania w chmurze w rozumieniu Dyrektywy NIS.

Przedstawione powyżej przesłanki wymagają doprecyzowania. Zgodnie bowiem z artykułem 1 pkt 1 lit. b Dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego, do którego odsyła Dyrektywa NIS, usługa świadczona „na odległość” oznacza, że świadczenie odbywa się bez równoczesnej obecności stron. Określenie „drogą elektroniczną” z kolei oznacza, że świadczona usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego, oraz która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych. Natomiast świadczenie „na indywidualne żądanie odbiorcy usług” oznacza, że świadczenie odbywa się poprzez przesyłanie danych na indywidualne żądanie usługobiorcy.

Następnie analizie należy poddać kategorie usług cyfrowych określonych w definicji dostawcy usług cyfrowych jako: internetowa platforma handlowa, wyszukiwarka internetowa lub usługa przetwarzania w chmurze. W tym zakresie pomocny jest artykuł 4 Dyrektywy NIS, który formułuje definicje dla każdej z wymienionych kategorii.

Internetowa platforma handlowa.

Internetowa platforma handlowa zdefiniowana jest w artykule 4 pkt 17 Dyrektywy NIS jako: „usługa cyfrowa, która umożliwia konsumentom lub przedsiębiorcom (…) zawieranie online umów dotyczących sprzedaży lub usług z przedsiębiorcami na stronie internetowej platformy handlowej albo na stronie internetowej przedsiębiorcy, który używa usług komputerowych świadczonych przez internetową platformę handlową”.

Ponadto w zakresie internetowej platformy handlowej można odnieść się do motywu 15 Dyrektywy NIS, który wskazuje, że taka platforma jest ostatecznym miejscem zawierania umowy. Co więcej, internetowa platforma handlowa, według wskazanego motywu, może świadczyć również usługi komputerowe takie jak przetwarzanie transakcji, agregowanie danych lub profilowanie użytkowników. Ponadto za internetową platformę handlową należy uznawać sklepy z aplikacjami będące sklepami internetowymi, które umożliwiają cyfrową dystrybucję aplikacji lub oprogramowania stron trzecich. Motyw ten wyklucza jednak z zakresu definicji internetowej platformy handlowej serwisy porównywarek cen czyli: „usługi online, które porównują cenę poszczególnych produktów lub usług różnych przedsiębiorców handlowych, a następnie przekierowują użytkownika do preferowanego przedsiębiorcy handlowego w celu zakupu produktu”.

W celu prawidłowego określenia czy podmiot świadczy usługę internetowej platformy handlowej bardzo istotną kwestią jest zatem ustalenie czy konsument/przedsiębiorca zawiera umowę z innym przedsiębiorcą za pośrednictwem platformy lub czy konsument/przedsiębiorca zawiera umowę z przedsiębiorcą w ramach strony internetowej tego przedsiębiorcy. W pierwszym przypadku mamy do czynienia z internetową platformą handlową, gdzie platforma ta służy do połączenia stron transakcji oraz umożliwienia zawarcia umowy, o czym stanowi definicja Dyrektywy. Natomiast w drugim przypadku mówić można o sklepie internetowym, za pośrednictwem którego nabywca towaru bądź usługi zawiera umowę z podmiotem, który jest jednocześnie sprzedającym oraz obsługującym stronę internetową. W konsekwencji za internetową platformę handlową w rozumieniu Dyrektywy NIS nie będą mogły zostać uznane usługi świadczone przez przedsiębiorców w ramach określonych powyżej sklepów internetowych, ponieważ nie realizują one przesłanki wskazanej w definicji, tj. umożliwienia zawarcia umowy.

Do podmiotów poddanych regulacji będzie można natomiast zaliczyć platformy internetowe działające w poszczególnych sektorach jak np. w sektorze turystycznym, hotelowym i przewozów.

Wyszukiwarka internetowa.

Wyszukiwarką internetową, według artykułu 4 pkt 18 Dyrektywy NIS, jest z kolei „usługa cyfrowa, która umożliwia użytkownikom wyszukiwanie – co do zasady – wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania na jakikolwiek temat przez podanie słowa kluczowego, wyrażenia lub innej wartości wejściowej”. Ponadto definicja ta dodaje, że wyszukiwarka internetowa w generowanym wyniku wyszukiwania przedstawia odnośniki, pod którymi można znaleźć informacje związane z zadanym zapytaniem. Powyższa definicja przedstawia przykład klasycznej wyszukiwarki, która generuje wyniki w oparciu o słowa klucze wskazane przez pytającego.

Co więcej, motyw 16 preambuły do Dyrektywy NIS wskazuje, iż usługa wyszukiwarki internetowej umożliwia przeszukania wszystkich stron internetowych w zakresie zadanego pytania, które może dotyczyć jakiegokolwiek zagadnienia. Powyższy motyw wskazuje równocześnie, że wyszukiwanie może być zawężone do stron internetowych prowadzonych w określonym języku. Jednak, za usługę cyfrową w formie wyszukiwarki internetowej nie może być uznana funkcja wyszukiwania, która dotyczy wyszukiwania treści wyłącznie w zakresie jednej konkretnej strony internetowej (tzw. wyszukiwarki wewnętrzne). Omawiany fragment preambuły wyklucza również z zakresu definicji wyszukiwarki internetowej świadczenia „usług online, które porównują cenę poszczególnych produktów lub usług różnych przedsiębiorców handlowych, a następnie przekierowują użytkownika do preferowanego przedsiębiorcy handlowego, aby tam dokonał zakupu produktu”.

Usługa przetwarzania w chmurze.

Za usługę przetwarzania w chmurze artykuł 4 pkt 19 Dyrektywy NIS uważa z kolei „usługę cyfrową umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania”. Poszczególne elementy tej definicji są dookreślone w motywie 17 preambuły do Dyrektywy NIS.

Wskazany motyw stanowi, że „zasobami obliczeniowymi” są m.in. zasoby takie jak: sieci, serwery, pamięć, aplikacje i usługi. Termin „skalowanie” należy odnosić do zasobów komputerowych, które w sposób elastyczny przydziela dostawca usługi, niezależnie od położenia geograficznego zasobów, jako odpowiedź na wahania zapotrzebowania. Zwrot „elastyczny zbiór” użyty jest w kontekście zasobów obliczeniowych, które w zależności od zapotrzebowania usługobiorcy są dla niego zwalniane bądź przydzielane, w celu szybkiego reagowania na obciążenia (czyli zwiększanie lub zmniejszanie dostępnych zasobów). Natomiast pojęcie „wspólne wykorzystanie” opisuje zasoby obliczeniowe, które są udostępnione wielu użytkownikom, którzy posiadają wspólny dostęp do usługi, ale przetwarzanie odbywa się oddzielnie dla każdego z nich, mimo tego, że usługa jest świadczona z tego samego sprzętu elektronicznego.

Ponadto powyższy motyw wskazuje, że usługa przetwarzania w chmurze może być realizowana według wielu modeli, jednak Dyrektywa NIS obejmuje jedynie usługi, które umożliwiają dostęp do skalowalnego i elastycznego zbioru zasobów komputerowych przeznaczonych do wspólnego wykorzystania.

Na koniec wskazać można, że podczas prac nad Dyrektywą były dyskutowane również takie kategorie usług cyfrowych jak komputerowe gry online oraz operatorzy portali społecznościowych. Ostatecznie jednak kategorie te jednak nie zostały objęte regulacją Dyrektywy.

Wyłączenie od stosowania przepisów

Ponadto należy wskazać, że w zakresie dostawców usług cyfrowych na uwagę zasługuje również pkt 11 artykułu 16 Dyrektywy NIS. Wskazuje on, że rozdział V odnoszący się do dostawców usług cyfrowych, nie ma zastosowania do mikroprzedsiębiorców oraz małych przedsiębiorców, czyli podmiotów zatrudniających odpowiednio mniej niż 10 oraz mniej niż 50 osób, a także, których obroty roczne i/lub roczna suma bilansowa nie przekracza odpowiednio 2 mln EUR oraz 10 mln EUR.

Operatorzy usług kluczowych w zakresie infrastruktury cyfrowej

Na koniec nadmienić należy, że w ramach operatorów usług kluczowych wyróżniane są takie kategorie operatorów jak podmioty infrastruktury cyfrowej, czyli dostawcy usług DNS, rejestry nazw TLD oraz punkty wymiany ruchu internetowego IXP, które służą do międzysystemowego łączenia sieci. Podmioty te mimo działania w ramach technologii cyfrowej nie są klasyfikowane jako dostawcy usług cyfrowych. Podlegają oni obowiązkom analogicznym do obowiązków operatorów usług kluczowych.

Share This:

Dodaj komentarz