Proces implementacji dyrektywy NIS 2 do polskiego porządku prawnego generuje szereg pytań o spójność nowych regulacji z realiami rynku cyfrowego. Jako prawnik wspierający od lat sektor IT, w tym rejestratorów nazw domen, dostawców usług DNS oraz dostawców usług przetwarzania w chmurze (hosting), postanowiłem przeanalizować wprowadzane zmiany. Inspiracją do tej analizy stały się obawy rejestratorów przedstawione na warsztatach regulacyjnych organizowanych przez NASK. Moim zdaniem wprowadzane przepisy niosą ze sobą ryzyko nieproporcjonalnych obciążeń oraz niespójności systemowej, która jest szczególnie dotkliwa dla rejestratorów nazw domen.
Podstawowym problemem jest sama konstrukcja regulacji na poziomie Unii Europejskiej. Wybór dyrektywy jako instrumentu harmonizacji obowiązków wynikających z art. 28 dyrektywy NIS 2 jest rozwiązaniem nietrafionym w kontekście specyfiki rynku domenowego. Rejestratorzy zazwyczaj funkcjonują w modelu multi-registry, współpracując jednocześnie z wieloma krajowymi operatorami rejestru (np. NASK, DENIC czy AFNIC). Każdy z tych krajów wdraża dyrektywę według własnej, nieujednoliconej wizji, co zmusza rejestratorów do dostosowania swoich systemów i procesów do wielu, często rozbieżnych porządków prawnych jednocześnie, co wynika z odmiennych standardów krajowych operatorów rejestru. Wybór dyrektywy zamiast rozporządzenia (stosowanego bezpośrednio w całej Unii) sprawia, że firmy o zasięgu międzynarodowym stają przed koniecznością zarządzania legislacyjnym, systemowym i procesowym chaosem.
Równie istotnym (a z punktu widzenia krajowego rynku nazw domen kluczowym) problemem jest sposób implementacji przepisów przez polskiego ustawodawcę. Warto podkreślić, że sama dyrektywa NIS 2 – choć przewiduje w art. 28 specyficzne wymogi dla rejestratorów nazw domen – nie wymienia tej grupy bezpośrednio ani w katalogu podmiotów kluczowych, ani ważnych. Tymczasem polska ustawa zakłada zakwalifikowanie podmiotów świadczących usługi rejestracji nazw domen jako podmiotów kluczowych i to w dodatku z mocy prawa, niezależnie od skali ich działalności (zarówno MŚP, jak i dużych przedsiębiorców). Decyzja o nadaniu im statusu podmiotu kluczowego oznacza, że nawet drobni przedsiębiorcy, w tym osoby prowadzące jednoosobową działalność gospodarczą, zostaną objęci rygorystycznym reżimem bezpieczeństwa, audytów i raportowania, analogicznym do wymogów stawianych gigantom sektora energetycznego czy bankowego, a także wiodącym podmiotom z rynku domenowego.
Taka nadinterpretacja unijnych ram prawnych, znana jako gold-plating, nakłada na polskie firmy istotny ciężar regulacyjny, który może negatywnie wpłynąć na ich pozycję rynkową. Dotyczy to nie tylko konkurencji z rejestratorami spoza Unii Europejskiej, lecz także relacji z podmiotami działającymi na rynku europejskim. Wynika to z faktu, że implementacja dyrektywy NIS 2 w innych państwach członkowskich przebiega odmiennie i co do zasady nie prowadzi do uznania rejestratorów nazw domen za podmioty kluczowe ani ważne. W konsekwencji regulacje te mogą ograniczyć innowacyjność i konkurencję, podnosząc barierę wejścia na rynek do poziomu, który dla nowych, ambitnych graczy czyni model biznesowy rejestratora nazw domen nieopłacalnym już na etapie rozpoczęcia działalności.
Krytykę uzupełnia fakt zrównania tradycyjnych rejestratorów nazw domen z dostawcami usług typu proxy i privacy. Nałożenie identycznych wymogów na tak różne modele biznesowe świadczy o niezrozumieniu niuansów technicznych. Tradycyjny rejestrator przetwarza dane abonentów w celu realizacji usługi rejestracji i utrzymania nazwy domeny, podczas gdy dostawcy usług zmierzających do ochrony danych abonenta (proxy/privacy) oferują narzędzia służące celowemu ukryciu tożsamości abonenta domeny przed osobami trzecimi. Wrzucenie tych ról do jednego regulacyjnego worka jest niewłaściwe, ignoruje bowiem skrajnie inne ryzyka, jakie generują te działalności oraz odmienną strukturę danych i systemów, którymi dysponują te podmioty (de facto działalność tych podmiotów może polegać jedynie na „użyczeniu” swojej nazwy firmy w celu wpisania jej do bazy WHOIS w miejsce danych rzeczywistego abonenta). Należy jednak zauważyć, że w tym konkretnym przypadku to ustawodawca unijny popełnił błąd już na etapie projektowania dyrektywy, tworząc mało precyzyjne ramy definicyjne, które teraz bywają bezkrytycznie powielane w procesach krajowych.
Sytuację pogarsza system kar – sankcje finansowe liczone w milionach euro są całkowicie nieadekwatne do skali działalności większości krajowych rejestratorów i mogą prowadzić do eliminacji mniejszych graczy z rynku.
Zagadnienia te stanowią jedynie wstęp do szerszej dyskusji na temat dyrektywy NIS 2, ze szczególnym uwzględnieniem branży domenowej. Jeden z kolejnych wpisów z pewnością dotyczyć będzie kwestii publikowania adresu e-mail abonenta w bazie WHOIS, co już teraz wywołuje liczne kontrowersje. Wszystko to przez koncepcje regulacyjne, które z jednej strony stanowią wadliwą wykładnię wymogów nowelizowanej ustawy, a z drugiej zdają się całkowicie ignorować dorobek orzeczniczy po wprowadzeniu RODO, co omówię w dalszej kolejności.
Zachęcam Państwa do śledzenia tej serii. Jeśli mają Państwo własne spostrzeżenia lub propozycje konkretnych wątków związanych z dyrektywą NIS 2 na rynku domenowym, które warto poddać analizie w ramach publikacji, zapraszam do dyskusji w ramach bezpośredniego kontaktu.
Daniel Trędkiewicz
Radca prawny
da****************@******ek.pl
