Krótko po wejściu w życie UKSC 2.0, która (w końcu) wdrożyła do polskich przepisów dyrektywę NIS2, w portalu cyber.gov.pl pojawił się FAQ, mający w prosty i przystępny sposób odpowiedzieć na najbardziej nurtujące pytania związane z nowym krajowym systemem cyberbezpieczeństwa. Jedno pytanie powinno szczególnie zainteresować przedsiębiorców telekomunikacyjnych.
1.19 Czy mały przedsiębiorca komunikacji elektronicznej będący jednocześnie dostawcą usługi dostępu do Internetu oraz świadczący usługę DNS będzie podmiotem kluczowym czy podmiotem ważnym?
Jak można przeczytać w odpowiedzi – Taki podmiot będzie podmiotem ważnym. Pytanie wzięło się z faktu, iż na gruncie UKSC 2.0 dostawca usług DNS jest podmiotem kluczowym niezależnie od wielkości przedsiębiorstwa. Skąd zatem taka odpowiedź w FAQ?
FAQ wyjaśnia dalej, że dostawca usługi DNS jest podmiotem kluczowym niezależnie od wielkości podmiotu. Jednakże definicja wskazuje, że jest to podmiot, który świadczy dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen na rzecz ogółu użytkowników końcowych Internetu lub autorytatywne usługi rozpoznawania nazw domen do użytku ogółu użytkowników końcowych Internetu, z wyjątkiem głównych serwerów nazw. Definicja wskazuje, że chodzi o usługi świadczone publicznie dla ogółu użytkowników Internetu a nie tylko dla własnych użytkowników.
Po drugie wyjaśnienia Organu Europejskich Regulatorów Łączności Elektronicznej (BEREC) wskazują, że serwery DNS udostępniane przez dostawcę usług internetowych w ramach usługi dostępu do Internetu stanowią w praktyce część tej usługi, ponieważ są one instalowane automatycznie w momencie uruchomienia połączenia, a bez nich usługa dostępu do internetu byłaby praktycznie bezużyteczna dla przeciętnego użytkownika końcowego. Są więc one elementem usługi dostępu do Internetu a nie samodzielną usługą.
W konsekwencji nie należy traktować małego dostawcy usługi dostępu do Internetu jako dostawcę usługi DNS, ponieważ ta usługa nie jest usługą samodzielną, a jedynie elementem usługi dostępu do internetu.
BEREC Guidelines on the Implementation of the Open Internet Regulation
To bardzo korzystna dla telekomów interpretacja przepisu, z resztą mająca swoje źródło w uzasadnieniu do UKSC. Rzecz w tym, że zupełnie niespójna z pojęciem publicznie dostępnej usługi komunikacji elektronicznej (tudzież usługi telekomunikacyjnej) przyjętym w prawie komunikacji elektronicznej (PKE), do którego terminologicznie odwołuje się UKSC 2.0 oraz podważająca istotę tego, co należy uznać za usługi regulowane przepisami PKE i wymagającymi wpisu do rejestru przedsiębiorców telekomunikacyjnych.
Wedle art. 1 ust. 1 lit. a) PKE, działalność komunikacji elektronicznej obejmuje m.in. świadczenie publicznie dostępnych usług telekomunikacyjnych. Słowo-klucz to publicznych, ponieważ świadczenie usług niepublicznych (dla ograniczonego kręgu użytkowników) nie będzie podlegać regulacjom PKE. Czym jest usługa publiczna wyjaśnia dalej art. 2 pkt. 44) oraz pkt 46) PKE, z definicji których wynika, że o publiczności usługi decyduje to, czy jest ona dostępna dla ogółu użytkowników. Przyjmując interpretację przedstawioną w FAQ dla dostawców DNS, wszyscy przedsiębiorcy telekomunikacyjni co do jednego powinni wykreślić się z RPT, gdyż usługę świadczą dla własnych użytkowników (niepublicznie), a nie dla ogółu użytkowników (publicznie).
To, że usługa DNS nie jest usługą samodzielną jest średnio przekonywujące. Usługodawca internetowy nie ma obowiązku korzystania z własnych serwerów DNS – jest szereg dostawców DNS, z serwerów których można korzystać dla potrzeb zapewnienia abonentom usług telekomunikacyjnych. Jeśli jednak dostawca usług zdecyduje się korzystać z własnego serwera, to generuje tym dodatkowe ryzyka (np. wystąpienia ataków typu cache poisoning czy DNS hijack), które powinien przewidzieć i którymi powinien zarządzić. Objęcie usługodawców DNS „kluczowością” miało swój konkretny cel – zapewnienie bezpieczeństwa ogółowi użytkowników korzystających z Internetu. Ma to swoje odzwierciedlenie w motywie (32) dyrektywy NIS 2: Utrzymywanie i zachowanie wiarygodnego, odpornego i bezpiecznego systemu nazw domen (DNS) należy do kluczowych czynników umożliwiających utrzymanie integralności internetu oraz ma istotne znaczenie dla jego nieprzerwanego i stabilnego działania, od którego zależą gospodarka cyfrowa i społeczeństwo cyfrowe. Dlatego niniejsza dyrektywa powinna mieć zastosowanie do rejestrów nazw domen najwyższego poziomu (TLD) i do dostawców usług DNS, których należy rozumieć jako podmioty dostarczające dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen dla użytkowników końcowych internetu lub autorytatywne usługi rozpoznawania nazw domen na użytek osób trzecich. Jeśli wyjmiemy z tej kluczowości lwią część usługodawców, ponieważ ich usługa nie jest samodzielną – to gdzie z bezpieczeństwem będą użytkownicy dostępu do Internetu danego dostawcy usług telekomunikacyjnych? To pytanie zostawmy bez odpowiedzi.
Zatem co robić i jak żyć?
Zanim przedsiębiorcy zaczną otwierać szampana i świętować to, że posiadanie własnego serwera DNS nie czyni z nich automatycznie „kluczowych” przypominamy, że FAQ dostępny na stronach internetowych organów państwowych nie stanowi ani aktu prawnego, ani wiążącej interpretacji przepisów. Tak samo wytyczne BEREC powołane w FAQ nie są źródłem prawa (pomijam już fakt, że wytyczne BEREC zostały wydane do aktu prawnego dot. otwartego Internetu i niezwiązanego z kontekstem cyberbezpieczeństwa). Znane są nam już przypadki, w których po roku – dwóch, organ zmienił swoje podejście i wycofał z wcześniejszych interpretacji prezentowanych w FAQ, ponieważ „zmienił się jego stan wiedzy”. Aby nie być gołosłownym:
Sytuację nieco „ratuje” fakt, że analogiczna interpretacja jest zawarta w uzasadnieniu do nowelizacji UKSC 2.0, ale nadal uzasadnienie do ustawy nie jest przepisem prawa. W sprawach spornych/wątpliwych przede wszystkim znaczenie ma treść przepisów – szczególnie, że interpretacja prezentowana w uzasadnieniu oraz FAQ nieco niweczy cel objęcia wszystkich usługodawców DNS sektorem ważnym z uwagi na konieczność utrzymania integralności internetu. Zaś patrząc na dyrektywę NIS2 i zawarty w niej motyw (32), za dostawców usług DNS, należy rozumieć jako podmioty dostarczające dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen dla użytkowników końcowych internetu. Czyżby usługodawcy internetowi wykorzystujący dla potrzeb świadczenia usługi dostępu do Internetu własny serwer DNS, nie świadczyli ich dla użytkowników końcowych internetu? To pytanie również zostawmy otwarte (mając „z tyłu głowy”, że przecież zasada wykładni jednolitej-prounijnej ma na celu zapewnienie, aby prawo unijne było rozumiane i stosowane jednolicie we wszystkich państwach członkowskich UE).
Dlatego przedsiębiorcy powinni być ostrożni opierając się na takich materiałach, zwłaszcza jeśli wnioski nie są do końca spójne z tym, co wynika z treści przepisów krajowych i celów dyrektywy NIS 2 oraz powołują na wytyczne niedotyczące kontekstu cyberbezpieczeństwa.
