Konferencja naukowa CZŁOWIEK W CYBERPRZESTRZENI

wia, 6. Zaopatrzenie w wodę pitną i jej dystrybucja9, 7. Infrastruktura cyfrowa10), spełniający kryteria określone w art. 5 ust.
2 dyrektywy, to jest: a) podmiot ten świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności
społecznej lub gospodarczej;  b) świadczenie tej usługi zależy od sieci i systemów informatycznych oraz c) incydent miałby
istotny skutek zakłócający dla świadczenia tej usługi. „Dostawcą usług cyfrowych” jest natomiast w rozumieniu dyrektywy
każda osoba prawna, która świadczy usługi cyfrowe - to jest usługi normalnie świadczone za wynagrodzeniem, na odległość,
drogą elektroniczną i na indywidualne żądanie odbiorcy usług ( w rozumieniu art. 1 ust. 1 lit. b) dyrektywy 2015/1535), które
należą do jednego z rodzajów wymienionych w załączniku III (internetowe platformy handlowe, wyszukiwarki internetowe,
usługi przetwarzania w chmurze).

    Dyrektywa jest dokumentem ogólnym i efekt końcowy zależał będzie od tego, jak rzetelnie zostanie wdrożona. Ważne
jest m.in. to: czy i jak zaprojektowany zostanie system wyznaczania operatorów, którzy poddani zostaną regulacjom, jak
wyglądać będą środki bezpieczeństwa, które będą musieli oni wdrażać, jaki będzie proces nadzoru i kontroli, jak określone
zostaną szczegóły choćby tego, które incydenty powinno się raportować.

    Dla implementacji dyrektywy do prawa polskiego istotne jest to, że zmienił się jej tytuł: słowo „information” zosta-
ło zastąpione w wersji angielskiej przez „information systems” a w urzędowym tłumaczeniu na język polski zawężającym
określeniem „system informatyczny”. Sformułowanie to uznać należy za wadliwe formalnie oraz istotne merytorycznie,
jako potencjalne zagrożenie zawężenia zakresu przepisów implementujących: skupienie na infrastrukturze technicznej za-
miast zorientowania na zasoby informacyjne. Wadliwy przekład, może skutkować wadliwą implementacją dyrektywy NIS,
poprzez marginalizację w regulacji znaczenia ochrony treści przetwarzanych w systemach informatycznych. W o cjalnym
przekładzie tej dyrektywy na język polski określenie „system informatyczny” należałoby zastąpić określeniem „system in-
formacyjny”.

    Drugą kwestią istotną dla implementacji do prawa polskiego jest całkowita rezygnacja w ostatecznej wersji dyrektywy,
będącej wykonaniem strategii bezpieczeństwa cybernetycznego UE, z określenia „bezpieczeństwo cybernetyczne”, dla któ-
rego nie uzgodniono dotąd satysfakcjonującej de nicji. Należy pamiętać, że w art. 1 dyrektywy nie kreuje się obowiązku
ustanowienia krajowej strategii cyberbezpieczeństwa czy ochrony „cyberprzestrzeni” [pojawiającej się tylko jednorazowo w
preambule], a obowiązek przyjęcia krajowej strategii w zakresie bezpieczeństwa sieci i systemów.

    W budowaniu krajowej strategii istotne jest również właściwe ujmowanie w niej tych zagrożeń, których znaczenie jest
dla poszczególnych państw członkowskich zróżnicowane, jak np. zagrożenia hybrydowe czy terroryzm. Zagrożenia hybry-
dowe charakteryzowane są jako kombinacja represyjnych i wywrotowych działań, konwencjonalnych i niekonwencjonal-
nych metod (tj. dyplomatycznych, militarnych, ekonomicznych i technologicznych), które mogą być stosowane w sposób
skoordynowany przez podmioty państwowe i niepaństwowe, by osiągnąć określone cele, przy czym działania te są poniżej
progu o cjalnie wypowiedzianej wojny. Nacisk kładzie się na wykorzystanie podatności danego celu na zagrożenia i kre-
owanie dwuznaczności, by utrudnić procesy decyzyjne. Nośnikiem zagrożeń hybrydowych mogą być m.in. kampanie dezin-
formacyjne prowadzone na masową skalę przy wykorzystaniu mediów społecznościowych, w celu kontrolowania dyskursu
politycznego lub radykalizowania postaw11.

       9 Dostawcy i  dystrybutorzy „wody przeznaczonej do spożycia przez ludzi” zgodnie z  de nicją w  art. 2 pkt 1 lit. a) dyrektywy Rady 98/83/
WE (17), ale z wyłączeniem dystrybutorów, dla których dystrybucja wody przeznaczonej do spożycia przez ludzi jest jedynie częścią ich ogólnej dzia-
łalności polegającej na dystrybucji innych produktów i towarów, które nie są uznawane za usługi kluczowe

       10 IXP, dostawcy usług DNS, rejestry nazw TLD.
       11 Szerzej: G. Szpor, European regulation on the security of network and information systems, Geographic Information Systems Conference and
Exhibition, “GIS ODYSSEY 2016”, Perugia 2016, p.250-259

22