Dzisiaj na konferencji prasowej w Ministerstwie Cyfryzacji przekazano informacje o tym, że jutro, 3 kwietnia, w życie wchodzi nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC 2.0). Jednym z kluczowych powodów nowelizacji jest fakt, że w 2025 roku odnotowano 270 tys. cyberataków, co według słów Ministra Cyfryzacji Krzysztofa Gawkowskiego stanowi wzrost o 150 proc. względem poprzedniego roku (2024) i czyni Polskę najczęściej atakowanym państwem w Unii Europejskiej. Nowelizacja ma na celu wzmocnienie polskiej infrastruktury cyfrowej, aby zapobiegać zagrożeniom oraz sprawniej radzić sobie z potencjalnymi atakami.
Na początku warto wspomnieć, że zakres działań zostanie rozszerzony na nowe sektory gospodarcze, takie jak: gospodarka odpadami, produkcja chemiczna oraz produkcja spożywcza.
Na konferencji przedstawiono kalendarium dotyczące nowelizacji ustawy KSC:
19 lutego 2026 - Podpis Prezydenta
2 marca 2026 - Ogłoszenie ustawy w Dzienniku Ustaw
7 maja 2026 - uruchomienie możliwości samorejestracji w wykazie podmiotów, które spełniają wymogi nowelizacji
3 października 2026 - koniec terminu na rejestrację w wykazie
3 kwietnia 2027 - koniec terminu na rozpoczęcie korzystania z systemu S46, służącego głównie do zgłaszania incydentów w jednym miejscu, skąd informacje trafiają do właściwych zespołów CSIRT poziomu krajowego (GOV, MON, NASK) oraz sektorowych.
- Wdrożenie obowiązków: SZBI, szacowanie ryzyka, wdrożenie środków technicznych i organizacyjnych (kontrola dostępu, bezpieczeństwo zasobów ludzkich, plany ciągłości działania, polityki i procedury bezpieczeństwa, edukacja personelu), zgłaszanie i zarządzanie incydentami, weryfikacja niekaralności personelu.
- koniec okresu dostosowawczego.
3 kwietnia 2028 - Pierwszy Audyt SZBI (dla podmiotów kluczowych, które nie były OUK)
- Początek obowiązywania przepisów o karach pieniężnych
Najistotniejszą kwestią dotyczącą nowelizacji ustawy są tak zwani Dostawcy Wysokiego Ryzyka (DWR).Takim mianem określane są podmioty dostarczające technologie, które z różnych względów mogą stanowić zagrożenie publiczne.W celu wyeliminowania tego zagrożenia zostaną wdrożone procedury mające na celu uznanie podmiotu za Dostawcę Wysokiego Ryzyka, co będzie skutkowało nakazem wycofania przez podmioty kluczowe i ważne technologii udostępnionych przez takich dostawców.
Należy jednak w tej sprawie ustalić parę istotnych kwestii.
Po pierwsze, w dniu wejścia nowelizacji ustawy w życie nie będzie opublikowanej listy z podmiotami określonymi jako DWR. Istotne jest to, że takie oznaczenie nie będzie dotyczyło działalności całej firmy, a jedynie konkretnych sprzętów, które zostaną zdiagnozowane jako zagrażające działaniu infrastruktury. Kolejną istotną kwestią potwierdzoną dzisiaj przez Ministerstwo Cyfryzacji na konferencji jest fakt, że decyzja dotycząca tego, jaki podmiot zostanie określony mianem DWR, nie będzie arbitralną decyzją Ministra Cyfryzacji. Będzie to złożony proces, w którym prócz Ministra udział weźmie Kolegium ds. Cyberbezpieczeństwa.
Tak jak wspomniano, w momencie zdiagnozowania wadliwych sprzętów i technologii, korzystające z nich podmioty kluczowe i ważne otrzymają nakaz ich wycofania. Okres wycofywania tych rozwiązań będzie wynosił od 4 do 7 lat, aby nie zakłócać działania infrastruktury. 3 kwietnia 2028 roku, czyli dwa lata od wejścia ustawy w życie, zaczną obowiązywać przepisy o karach pieniężnych. Jeżeli któryś z podmiotów kluczowych lub ważnych nie zacznie wycofywać wadliwych technologii, nałożone zostaną sankcje. Kary te będą wahać się od 15 tys. zł do nawet 100 mln zł, w zależności od typu podmiotu oraz rodzaju zagrożenia określonego przez Ministerstwo.
W celu odpowiedzi na wszelkie pytania i niejasności dotyczące nowelizacji ustawy KSC, Ministerstwo opublikowało obszerne Q&A, które znajdziecie tutaj.
