cyberbezpieczeństwo

Prezydent Karol Nawrocki poinformował w czwartek, że podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza nowe obowiązki dla podmiotów kluczowych i ważnych. Wysłał ją jednak do Trybunału Konstytucyjnego, w trybie kontroli następczej.

Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa wywołuje sprzeciw części branż i ich organizacji. Pojawiają się apele o weto lub o skierowanie przepisów do Trybunału Konstytucyjnego. Są też apele o podpisanie ustawy. Czas nagli, a na szali jest bezpieczeństwo cybernetyczne Polski.

Nowelizacja ustawy o KSC zawiera przepisy niezgodne z konstytucją. Najwłaściwszym krokiem byłoby skierowanie jej przez Prezydenta RP do Trybunału Konstytucyjnego jeszcze przed podpisaniem – mówi Krzysztof Wąsowski, adwokat, wspólnik w kancelarii prawnej WLP Legal

Obecny projekt Cybersecurity Act, CSA2, oznacza dla polskiego ustawodawcy pojawienie się problemu nadmiernej regulacji. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wprowadza bowiem mechanizm dostawców wysokiego ryzyka (DWR), podczas gdy niedługo znajdzie się on prawdopodobnie w nowym unijnym rozporządzeniu. Przed zmianą KSC należałoby dokonać analizy, czy prawo unijne pozostawia przestrzeń dla DWR nieuregulowanych na poziomie UE.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) została uchwalona przez Senat i złożona na biurko prezydenta. Polski biznes wskazuje na gigantyczne koszty, których mogą nie udźwignąć przedsiębiorcy, przeregulowane prawo i liczne błędy legislacyjne, apelując jednocześnie do prezydenta o weryfikację przepisów KSC z Konstytucją.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa czeka na decyzję Prezydenta RP. Krajowa Izby Komunikacji Ethernetowej (KIKE) alarmuje w swoim raporcie, że zawarte w niej regulacje dotyczące dostawców wysokiego ryzyka niosą ze sobą koszt wymiany sprzętu sięgający aż 14,4 mld zł netto. Przedstawiciele branży twierdzą, że dla rzeszy polskich operatorów może to być ciężar nie do udźwignięcia, co odczują również ich klienci, narażeni na potencjalny wzrost cen internetu.

Setki polityków i jeszcze większa rzesza ich asystentów i doradców ma dostęp do poufnych dokumentów, służbowych maili i kont w mediach społecznościowych, ale tylko niewielka część z nich przeszła szkolenia z cyberbezpieczeństwa. Dane CERT Polska pokazują, że w 2025 r. zainteresowanie dobrowolnymi szkoleniami dla tzw. grupy VIP gwałtownie... spadło. I to w warunkach rosnącej skali cyberzagrożeń.

W środę, 28 stycznia, Senat stał się areną dyskusji o przyszłość krajowego systemu cyberbezpieczeństwa. Mimo próby wprowadzenia 19 uwag wraz z pakietem poprawek – poważne zastrzeżenia zgłaszało Biuro Legislacyjne Senatu – nowelizacja ustawy o KSC została przyjęta w kształcie uchwalonym przez Sejm.

W środę, 28 stycznia, Senat stał się areną dyskusji o przyszłość krajowego systemu cyberbezpieczeństwa. Mimo próby wprowadzenia 19 uwag wraz z pakietem poprawek – poważne zastrzeżenia zgłaszało Biuro Legislacyjne Senatu – nowelizacja ustawy o KSC została przyjęta w kształcie uchwalonym przez Sejm.

Senacka Komisja Infrastruktury zarekomendowała przyjęcie bez poprawek nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, choć w trakcie posiedzenia prawnicy, przedsiębiorcy i część senatorów wyliczali luki legislacyjne oraz ryzyka dla rynku. Spór toczył się głównie wokół dostawców wysokiego ryzyka, braku notyfikacji przepisów technicznych w Brukseli oraz objęcia restrykcyjnymi kompetencjami Ministerstwa Cyfryzacji aż 18 sektorów gospodarki.

Na ostatnim posiedzeniu Sejm przyjął ustawę o krajowym systemie cyberbezpieczeństwa (KSC). Zbiegło się to w czasie z opublikowaniem przez Komisję Europejską projektu Cybersecurity Act 2.0. Częściowo dotyczy on przepisów właśnie uchwalonych przez posłów.

Kary za nieprzestrzeganie obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa będą mogły być nakładane dopiero po dwóch latach od wejścia w życie przepisów uchwalonych przez Sejm. To efekt jednej z poprawek przyjętych podczas ostatniego posiedzenia izby niższej.

Kary za nieprzestrzeganie obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa będą mogły być nakładane dopiero po dwóch latach od wejścia w życie przepisów uchwalonych przez Sejm. To efekt jednej z poprawek przyjętych podczas ostatniego posiedzenia izby niższej.

Jesteśmy świadkami rzadkiego w legislacji paradoksu. Jakby na przekór rodzimemu procesowi legislacyjnemu, 20 stycznia br. Komisja Europejska opublikowała propozycję nowego rozporządzenia, tzw. Cybersecurity Act 2.0 (CSA2).