Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) trwają od ponad dwóch lat (projekt nr UD68). Jej przepisy w sposób szczególny dotkną przedsiębiorców telekomunikacyjnych (PT), niezależnie od ich wielkości. Nowelizacja zawiera także kontrowersyjne rozwiązania dotyczące tzw. dostawcy wysokiego ryzyka (ang. high risk vendor – HRV), które będą miały znaczenie nie tylko dla PT (choć nie wszystkich), lecz również dla operatorów usług kluczowych (usługodawców DNS, punktów wymiany ruchu internetowego IXP, a także m.in. instytucji kredytowych) oraz dostawców usług cyfrowych (internetowych platform handlowych, dostawców usług przetwarzania w chmurze, wyszukiwarek). I dla dostawców sprzętu i oprogramowania.
W czasie, gdy trwały prace nad nowelizacją KSC, unijny prawodawca nie próżnował. Rozpoczął i zdążył już zakończyć prace nad kilkoma aktami prawnymi z zakresu cyberbezpieczeństwa, przede wszystkim nad dyrektywą NIS2[1], która weszła w życie 16 stycznia br. Zastąpiła ona dotychczasową dyrektywę NIS[2] z 2016 r. – pierwszą unijną regulację z zakresu cybersecurity. NIS wdrożono w Polsce w 2018 r., a jej efektem jest polska ustawa KSC.
Wobec wejścia w życie NIS2 dalszy sens procedowania nowelizacji KSC jest co najmniej dyskusyjny. A przynajmniej nowelizacji w jej dotychczasowym kształcie. W zakresie
dotyczącym obowiązków PT i dostawców HRV nowelizacja jest bowiem niezgodna z NIS2. A w zakresie dotyczącym podmiotów finansowych – z rozporządzeniem DORA[3], które również weszło w życie 16 stycznia br. Czy wejście w życie NIS2 i DORA ma znaczenie, skoro termin wdrożenia NIS2 mija za ok. 1,5 roku, a DORA za ok. 2 lata? W świetle orzecznictwa Trybunału Sprawiedliwości: tak. O tym za chwilę.
Podstawowymi założeniami NIS było zwiększenie bezpieczeństwa tych sieci i systemów informatycznych, które mają zasadnicze znaczenie dla działalności gospodarczej i społecznej.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011
