Prawo
Obciążenia regulacyjne rynku komunikacji elektronicznej
Operatorzy ofiarą rykoszetu regulacyjnego?
Skumulowane obciążenia regulacyjne operatorów telekomunikacyjnych tworzą coraz gęstszy labirynt, a za każdym jego rogiem może kryć się niespodzianka bądź niebezpieczeństwo. Stworzenie mapy tego labiryntu prawnego stało się zatem istotnym wyzwaniem, któremu przedsiębiorcom trudno sprostać. Dla mikro i małych operatorów, dysponujących ograniczonymi zasobami prawnymi, ta wielość nakładających się regulacji staje się znaczącą barierą, zwłaszcza gdy do głosu dochodzą kaskadowe obowiązki płynące z innych rynków regulowanych. Przedsiębiorcy z sektora komunikacji elektronicznej muszą obecnie nawigować m.in. między przepisami stricte dotyczącymi ich działalności (np. Prawo komunikacji elektronicznej), przepisami konsumenckimi, przepisami w zakresie ochrony danych osobowych, skomplikowanymi przepisami w zakresie cyberbezpieczeństwa czy w końcu nowymi regulacjami unijnymi (np. DSA). Gdy na to nałożą się obowiązki wynikające z regulacji dotyczących innych rynków, do których wdrożenia operatorzy telekomunikacyjni są zmuszeni z uwagi na wymogi swoich klientów i kontrahentów, wyzwanie może być już barierą trudną do przejścia. Zjawisko takiego regulacyjnego rykoszetu dobitnie ilustrują wymogi w zakresie cyberbezpieczeństwa.
DORA – pierwsza fala obowiązków
Pierwszym uderzeniem regulacyjnym, które dotknęło operatorów niejako pośrednio, było rozporządzenie DORA, dotyczące cyfrowej odporności operacyjnej sektora finansowego. Chociaż adresatem obowiązków są podmioty finansowe, to właśnie one zostały zobligowane do dostosowania umów ze swoimi dostawcami usług ICT. W praktyce oznaczało to, że przedsiębiorcy telekomunikacyjni, jako „zewnętrzni dostawcy usług ICT”, zaczęli otrzymywać od banków i innych instytucji finansowych skomplikowane aneksy do umów. Podmioty finansowe, w ramach własnej analizy ryzyka, musiały ocenić, czy świadczone usługi telekomunikacyjne wspierają ich krytyczne lub istotne funkcje. W przypadku takiej kwalifikacji, umowa musiała spełniać szereg dodatkowych, rygorystycznych wymogów, włączając w to prawo do przeprowadzania audytów czy konieczność wskazania przez operatora jego własnych podwykonawców. W ten sposób, mimo że DORA nie nakładała bezpośrednich obowiązków na telekomy, w praktyce zmusiła je do procesowania złożonych umów i ponoszenia kosztów dostosowawczych.
NIS2/KSC – kolejna warstwa regulacji
Kolejną, szerszą falę obowiązków przynosi implementacja dyrektywy NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowe przepisy obejmą wszystkich przedsiębiorców komunikacji elektronicznej, niezależnie od ich wielkości. Zgodnie z KSC, mikro i mali przedsiębiorcy telekomunikacyjni zostaną domyślnie zakwalifikowani jako „podmioty ważne”. Chociaż kategoria ta wiąże się z nieco łagodniejszymi narzędziami kontrolnymi i brakiem obowiązku cyklicznego audytu zewnętrznego, to zasadniczy ciężar wdrożeniowy pozostaje niemal identyczny jak w przypadku „podmiotów kluczowych”. Każdy operator, nawet najmniejszy, będzie musiał wdrożyć system zarządzania bezpieczeństwem informacji, przeprowadzić analizę ryzyka, opracować i utrzymywać szczegółową dokumentację, wyznaczyć co najmniej jedną osobę do kontaktu z organami z innymi podmiotami kluczowymi lub ważnymi oraz zgłaszać incydenty za pośrednictwem dedykowanego systemu S46. Dla wielu małych firm, które dotąd żyły w przeświadczeniu, że tak szerokie regulacje ich nie dotyczą, jest to prawdziwa rewolucja organizacyjna i finansowa.
Efekt rykoszetu
Operatorzy telekomunikacyjni znaleźli się w wyjątkowej sytuacji, ponieważ świadczą usługi dla niemal każdego podmiotu gospodarczego i publicznego. To sprawia, że stają się celem prawnego rykoszetu – obowiązki regulacyjne nakładane na inne sektory kaskadowo spływają na nich jako na kluczowych kontrahentów. DORA jest tego doskonałym przykładem, ale mechanizm ten będzie się nasilał wraz z wejściem w życie ustawy o KSC. Podmioty kluczowe i ważne z innych branż, realizując obowiązek zabezpieczenia swojego łańcucha dostaw, mogą wymagać od swoich dostawców usług telekomunikacyjnych spełnienia określonych standardów bezpieczeństwa, potwierdzonych certyfikatami czy audytami. Opisywany efekt rykoszetu można było obserwować w kontekście regulacji ESG, gdzie duże korporacje przenosiły wymogi dotyczące zrównoważonego rozwoju na swoich partnerów biznesowych. W rezultacie operator telekomunikacyjny, aby utrzymać kontrakty, musi dostosować się do mozaiki wymagań płynących z wielu różnych, niepowiązanych ze sobą rynków regulowanych, co potęguje skumulowane obciążenia regulacyjne operatorów.
Powyższy artykuł opisuje jedynie jeden z przykładów nakładających się obowiązków regulacyjnych dla operatorów. Zjawisko to dotyczy jednak prawie wszystkich sfer regulacyjnych, od nakładających się obowiązków sprawozdawczych, przez wymogi dotyczące relacji z konsumentami, po ochronę danych osobowych. Pełny wymiar tego problemu jest aktualnie przedmiotem badania Kancelarii Prawnej Media, a wkrótce przedstawimy płynące z tej analizy wnioski.
