W poprzednim wpisie zwracałem uwagę na problem nieproporcjonalnego objęcia rejestratorów nazw domen rygorystycznym reżimem wynikającym z implementacji dyrektywy NIS 2. Kolejny wpis miał dotyczyć kwestii publikowania adresów e-mail abonentów w bazach WHOIS, jednak rozmowy z Klientami skłoniły mnie do poruszenia innego, równie istotnego problemu dotyczącego rynku hostingowego – usług poczty elektronicznej. W praktyce bowiem wielu rejestratorów nazw domen świadczy również usługi hostingu, DNS czy właśnie poczty elektronicznej. I to właśnie na tle usług e-mail szczególnie wyraźnie widać, jak bardzo działalność podmiotów z rynku cyfrowego zaczyna być obciążana kolejnymi obowiązkami regulacyjnymi.

Usługi poczty elektronicznej od dawna przestały być prostym dodatkiem do hostingu czy domeny internetowej. W realiach współczesnego rynku są one traktowane jako element infrastruktury komunikacyjnej, co powoduje stopniowe rozszerzanie obowiązków publicznoprawnych nakładanych na dostawców takich usług. Problem polega jednak na tym, że kolejne regulacje zaczynają nakładać się na siebie w sposób, który dla wielu przedsiębiorców staje się coraz trudniejszy organizacyjnie i finansowo do udźwignięcia.

Wprowadzone przepisy implementujące NIS 2 stanowią tego kolejny przykład. Polski ustawodawca ponownie zdecydował się bowiem na model wykraczający poza minimalne wymogi dyrektywy. Szczególnie widoczne jest to w odniesieniu do przedsiębiorców komunikacji elektronicznej świadczących usługi poczty elektronicznej. Zgodnie z wprowadzonymi rozwiązaniami nawet mikro i mali przedsiębiorcy świadczący usługi poczty elektronicznej zostali objęci obowiązkami wynikającymi z ustawy o krajowym systemie cyberbezpieczeństwa, z tego powodu, że posiadają status przedsiębiorcy komunikacji elektronicznej. Tym samym ustawodawca krajowy odchodzi od podstawowej logiki dyrektywy NIS 2, która co do zasady opiera się na kryterium wielkościowym i koncentruje na średnich oraz dużych podmiotach, z wyjątkiem szczególnych przypadków uzasadnionych charakterem działalności.

Ustawa o krajowym systemie cyberbezpieczeństwa przewiduje, że przedsiębiorca komunikacji elektronicznej będący mikro lub małym przedsiębiorcą może zostać zakwalifikowany jako podmiot ważny, a większe podmioty jako podmioty kluczowe. W praktyce oznacza to, że nawet niewielki dostawca poczty elektronicznej obsługujący lokalnych klientów biznesowych będzie zobowiązany do wdrożenia rozbudowanego systemu zarządzania bezpieczeństwem informacji, procedur zgłaszania incydentów, analiz ryzyka, polityk bezpieczeństwa oraz szeregu obowiązków organizacyjnych i dokumentacyjnych.

Co istotne, nie jest to pierwszy przypadek rozszerzania obowiązków regulacyjnych wobec dostawców usług e-mail. W ostatnich latach przedsiębiorcy świadczący usługi poczty elektronicznej zostali już objęci dodatkowymi wymaganiami wynikającymi z ustawy o zwalczaniu nadużyć w komunikacji elektronicznej oraz nowego prawa komunikacji elektronicznej. Regulacje te wprowadziły m.in. obowiązki związane z przeciwdziałaniem spoofingowi, smishingowi czy nadużyciom telekomunikacyjnym, a także nowe wymogi organizacyjne, w tym związane ze stosowaniem zabezpieczeń DKIM, DMARC i SPF.

W konsekwencji działalność polegająca na świadczeniu usług poczty elektronicznej coraz mniej przypomina prosty biznes internetowy, a coraz bardziej sektor regulowany o wysokim stopniu formalizacji. Oprócz kwestii technicznych przedsiębiorcy muszą dziś równolegle analizować obowiązki wynikające z cyberbezpieczeństwa, prawa komunikacji elektronicznej, ochrony danych osobowych, retencji danych, przeciwdziałania nadużyciom oraz procedur współpracy z organami państwa.

Dla największych podmiotów rynkowych oznacza to przede wszystkim wzrost kosztów compliance. Dla małych przedsiębiorców problem jest jednak znacznie poważniejszy. W praktyce coraz trudniej prowadzić działalność polegającą na świadczeniu usług poczty elektronicznej bez stałego zaplecza prawnego, compliance i bezpieczeństwa IT. To z kolei prowadzi do sytuacji, w której wejście na rynek nowych podmiotów staje się coraz bardziej utrudnione.

Powstaje więc pytanie, czy obecny kierunek regulacyjny rzeczywiście wzmacnia cyberbezpieczeństwo rynku, czy raczej prowadzi do stopniowej eliminacji mniejszych podmiotów i dalszej koncentracji usług cyfrowych wokół największych graczy. Paradoksalnie może to zwiększać ryzyka systemowe – awaria lub incydent dotyczący pojedynczego dominującego dostawcy może bowiem wywoływać skutki znacznie szersze niż w przypadku bardziej rozproszonego rynku.

Dyrektywa NIS 2 miała służyć budowie wspólnego i proporcjonalnego systemu cyberbezpieczeństwa w Unii Europejskiej. Coraz częściej można jednak odnieść wrażenie, że krajowy proces implementacyjny zmierza w stronę modelu, w którym przedsiębiorcy z sektora cyfrowego są sukcesywnie obciążani kolejnymi obowiązkami niezależnie od skali prowadzonej działalności i rzeczywistego poziomu ryzyka.

W kolejnych wpisach planuję omówić dalszy wpływ tych zmian na rynek usług hostingowych. Zachęcam Państwa do śledzenia tej serii. Jeśli mają Państwo własne spostrzeżenia lub propozycje konkretnych wątków związanych z dyrektywą NIS 2 na rynku domenowym czy też szerzej – hostingowym, które warto poddać analizie w ramach publikacji, zapraszam do dyskusji w ramach bezpośredniego kontaktu.

Daniel Trędkiewicz
Radca prawny
da****************@******ek.pl