Senat w środę przyjął bez poprawek nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wprowadza m.in. procedurę dostawcy wysokiego ryzyka. Teraz nowela trafi do prezydenta.
Za przyjęciem ustawy głosowało 75 senatorów, przeciw było 5, nikt nie wstrzymał się od głosu.
Nie spełniły się więc nadzieje KIKIE i Mediakomu, które w gronie ośmiu organizacji zrzeszających polskich przedsiębiorców z branży telekomunikacyjnej, apel do senatorów o wprowadzenie zmian do tego projektu. Organizacje najbardziej krytykowały zapisy o dostawcach wysokiego ryzyka (DWR). Senatorzy za pilniejsze uznali konieczności pilnego wdrożenia nowego przepisów w obliczu rosnących cyberzagrożeń.
Nowelizacja ustawy o KSC ma wdrażać w Polsce unijną dyrektywę NIS 2 w sprawie. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowe regulacje zastąpią dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.
Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji – m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.
