Sejmowa komisja cyfryzacji zarekomendowała w czwartek 12 poprawek do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wdrożyć unijną dyrektywę NIS 2, zgłoszonych podczas drugiego czytania. Jedna z nich – zaproponowana przez Prawo i Sprawiedliwość – zakłada, że w pracach nad KSC będzie mógł brać udział prezydent lub jego przedstawiciel. Projekt trafi teraz pod głosowanie w Sejmie.
Większość zarekomendowanych to poprawki techniczno-legislacyjne. Wniosek opozycji o odrzucenie projektu w całości nie zyskał rekomendacji komisji. O odrzucenie projektu wnioskował poseł Konfederacji Korony Polskiej, a poparcie dla niego wyraziła przedstawicielka Lewicy.
Już wcześniej przyjęto natomiast poprawkę wydłużającą okres przystosowania się podmiotów objętych wymogami ustawy. Oznacza to, że okres dostosowania do przepisów nowelizowanej ustawy wydłużony został z 6. do 12. miesięcy. Eksperci do bezpieczeństwo IT ze zrozumieniem przyjmują tę zmianę, a jednocześnie podkreślają , że wobec rosnącej liczby incydentów, liczy na sprawne działanie po stronie firm i instytucji objętych nowymi przepisami.
– Wydłużenie okresu na dostosowanie jest wyjściem naprzeciw oczekiwaniom wielu podmiotów. Szczególnie w przypadku podmiotów znajdujących się na początkowym etapie dostosowania jest to z pewnością korzystna wiadomość. Jednak, wobec intensywnej presji na sferę cyfrową ze strony przestępców, czego dowodami są liczne i głośne przypadki cyberataków na wrażliwe z perspektywy funkcjonowania państwa elementy infrastruktury krytycznej, wierzę, że po zakończeniu prac legislacyjnych, przedsiębiorstwa i instytucje przeznaczą odpowiednie zasoby, by w krótszym okresie dostosować się do wymogów. Leży to w interesie nas wszystkich – mówi Piotr Zielaskiewicz z Dagma Bezpieczeństwo IT.
W trakcie dyskusji na sali plenarnej zwracano uwagę m.in. na przeregulowanie ustawy, w porównaniu do dyrektywy NIS2. Tę kwestię podkreślił m.in. Bartłomiej Pejo z Konfederacji. Reprezentujący PiS poseł Sebastian Łukaszewicz zwrócił uwagę, że problemem pozostaje kwestia Dostawców Wysokiego Ryzyka, a także wniósł poprawki ws. dalszego wydłużenia okresu dostosowania do 24 miesięcy oraz zaproszenia do prac nad ustawą przedstawiciela zwierzchnika sił zbrojnych (Prezydenta RP). Zwrócił również uwagę na opcję selektywnego wdrażania wymogów. Michał Gramatyka wyrażając poparcie Polski 2050 dla ustawy nawiązał do incydentów, które wystąpiły w Europie i Polsce, związanych z cyberatakami, np. wymierzonego w system ŚKUP (Śląska Karta Usług Publicznych).
Ostatecznei przyjęti też, że kary pieniężne za naruszenie przepisów KSC będą mogły zostać nałożone dopiero po upływie 2 lat od wejścia w życie ustawy
Projekt ustawy, który wpłynął do Sejmu na początku listopada 2025 r., ma na celu implementację dyrektywy NIS 2, której termin wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
Nowelizacja znacząco rozszerza katalog obowiązków dla firm i instytucji z sektorów kluczowych i ważnych, takich jak energetyka, ochrona zdrowia, bankowość, produkcja czy zaopatrzenie w wodę. Podmioty te będą zobowiązane m.in. do wdrożenia systemu zarządzania bezpieczeństwem informacji, zarządzania ryzykiem w łańcuchu dostaw ICT oraz regularnej oceny ryzyka wystąpienia incydentów. Zgłaszanie incydentów ma odbywać się za pośrednictwem systemu S46.
Istotnym elementem projektu pozostaje również procedura uznawania tzw. dostawcy wysokiego ryzyka. Decyzję w tym zakresie będzie mógł podjąć minister właściwy ds. informatyzacji, na podstawie kryteriów technicznych i pozatechnicznych, po konsultacjach m.in. z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Sprzęt takiego dostawcy będzie musiał zostać wycofany z systemów podmiotów kluczowych i ważnych w perspektywie od 4 do 7 lat, przy czym decyzja administracyjna będzie podlegać kontroli sądu.
