Sejmowa Komisja Cyfryzacji zakończyła prace nad projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (druk 1955). Największe kontrowersje wzbudziły przepisy dotyczące Dostawcy Wysokiego Ryzyka (DWR), zwłaszcza art. 67b, który umożliwia ministrowi cyfryzacji nakaz wycofania sprzętu lub oprogramowania używanego przez podmioty kluczowe i ważne.
Organizacje branżowe – od telekomunikacji po handel – ostrzegają, że projekt idzie dalej niż unijne standardy (5G Toolbox) i obejmuje aż 18 sektorów gospodarki, co może skutkować miliardowymi kosztami i chaosem prawnym. KIKE, PIH i inni eksperci podkreślają, że mechanizm DWR powinien dotyczyć wyłącznie krytycznych elementów sieci 5G, zgodnie z praktyką innych państw UE.
Pojawiły się również zarzuty o brak notyfikacji technicznej przepisów do Komisji Europejskiej, co – jak wskazywał dr hab. Paweł Wajda – może prowadzić do uchylania decyzji administracyjnych i roszczeń odszkodowawczych wobec Skarbu Państwa.
Branża telekomunikacyjna zwraca uwagę na ryzyko nieproporcjonalnych obciążeń, brak realnej dostępności sprzętu zamiennego oraz możliwość nakazów wymiany urządzeń mimo braku faktycznego zagrożenia. KIKE ostrzega, że regulacje w obecnym kształcie mogą osłabić, a nie wzmocnić cyberbezpieczeństwo.
Odrzucono poprawki ograniczające DWR wyłącznie do 5G oraz przywracające pełne stosowanie KPA w postępowaniach administracyjnych. Jedyną przyjętą zmianą korzystną dla przedsiębiorców jest wydłużenie terminów dostosowawczych z 6 do 12 miesięcy.
Projekt trafi teraz do II czytania. Strona społeczna nadal może zgłaszać poprawki, choć rząd zapowiada twarde stanowisko w kwestii DWR.
Więcej w: Cyberbezpieczeństwo: ustawa o KSC na kolejnym etapie, biznes protestuje (dostęp płatny)
