KSC

Nowelizacja ustawy o KSC zawiera przepisy niezgodne z konstytucją. Najwłaściwszym krokiem byłoby skierowanie jej przez Prezydenta RP do Trybunału Konstytucyjnego jeszcze przed podpisaniem – mówi Krzysztof Wąsowski, adwokat, wspólnik w kancelarii prawnej WLP Legal

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa czeka na decyzję Prezydenta RP. Krajowa Izby Komunikacji Ethernetowej (KIKE) alarmuje w swoim raporcie, że zawarte w niej regulacje dotyczące dostawców wysokiego ryzyka niosą ze sobą koszt wymiany sprzętu sięgający aż 14,4 mld zł netto. Przedstawiciele branży twierdzą, że dla rzeszy polskich operatorów może to być ciężar nie do udźwignięcia, co odczują również ich klienci, narażeni na potencjalny wzrost cen internetu.

Proporcjonalność i zgodność z dyrektywą NIS2 przepisów przyjętych przez Sejm w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa budzą poważne wątpliwości. Chodzi np. o wysokość kar, równe traktowanie podmiotów prywatnych i państwowych.

W środę, 28 stycznia, Senat stał się areną dyskusji o przyszłość krajowego systemu cyberbezpieczeństwa. Mimo próby wprowadzenia 19 uwag wraz z pakietem poprawek – poważne zastrzeżenia zgłaszało Biuro Legislacyjne Senatu – nowelizacja ustawy o KSC została przyjęta w kształcie uchwalonym przez Sejm.

Senacka Komisja Infrastruktury zarekomendowała przyjęcie bez poprawek nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, choć w trakcie posiedzenia prawnicy, przedsiębiorcy i część senatorów wyliczali luki legislacyjne oraz ryzyka dla rynku. Spór toczył się głównie wokół dostawców wysokiego ryzyka, braku notyfikacji przepisów technicznych w Brukseli oraz objęcia restrykcyjnymi kompetencjami Ministerstwa Cyfryzacji aż 18 sektorów gospodarki.

Podczas ostatniego posiedzenie komisji politycy Prawa i Sprawiedliwości nazywali procedowanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) „walcem legislacyjnym”, by zaledwie dzień później z Koalicją Obywatelską zagłosować przeciw jej odrzuceniu. Ten zwrot w sprawie implementacji dyrektywy NIS2 zaskoczył obserwatorów, biorąc pod uwagę wcześniejszą krytykę projektu jako „przeregulowanego”.

Po burzliwym drugim czytaniu w Sejmie, projekt nowelizacji ustawy o KSC wrócił do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Konfederacja złożyła wniosek o odrzucenie nowelizacji, który nie został przyjęty. Tym samym Koalicja Obywatelska doprowadziła nowelizację do kolejnego etapu w czym pomogła zaskakująca zmiana stanowiska PiS.

Drugie czytanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa w Sejmie nie przyniosło ostatecznego rozstrzygnięcia, a projekt, zamiast trafić pod głosowanie, został ponownie odesłany do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Choć rząd przekonuje, że nowe przepisy to konieczna tarcza przed rosyjskimi cyberatakami i realizacja dyrektywy NIS2, opozycja punktuje przeregulowanie względem unijnego prawa, ryzyko korupcji oraz zagrożenie dla funkcjonowania polskich firm, zarzucając koalicji rządzącej brak realnego dialogu ze stroną społeczną.

Po wielu latach zapowiedzi i nieudanych przymiarek Polska wreszcie realnie przystępuje do wdrożenia unijnej dyrektywy NIS2 i uporządkowania systemu cyberbezpieczeństwa.

Sejmowa Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii zakończyła prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Udało się osiągnąć konsensus w kwestii terminów dostosowawczych, ale dyskusje zdominował ostry spór o przepisy dotyczące Dostawcy Wysokiego Ryzyka (DWR). Przedstawiciele rynku ostrzegali przed miliardowymi stratami gospodarki, a opozycja protestowała przeciw ograniczaniu merytorycznej dyskusji.

Podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii 17 grudnia posłowie zajęli się kolejnym etapem prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Najbardziej problematyczna kwestia, związana z definicją dostawcy wysokiego ryzyka, została jednak przeniesiona na 2026 rok.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa jest potrzebna i z punktu widzenia bezpieczeństwa pacjentów – spóźniona. Ale bez osobnego, dobrze zaprojektowanego programu finansowania i wsparcia organizacyjnego dla szpitali ryzykujemy cyberbezpieczeństwo na papierze oraz realne turbulencje w dzia-łaniu systemu ochrony zdrowia – mówi dr inż. Ireneusz Wochlik, członek zarządu fundacji AI LAW TECH, autor raportu o skutkach planowanej nowelizacji usta-wy o KSC, przygotowanego na zlecenie PTKOZ

Rząd forsuje projekt ustawy o krajowym systemie cyberbezpieczeństwa, który stworzy upośledzoną gospodarkę, doprowadzi do „arbitrażu technologicznego” i narazi Polskę na skargi do TSUE. Kontrowersyjną kwestią jest m.in. wykluczanie sprzętu ze względu na państwo pochodzenia, a nie wystąpienie cyberincydentu uważa prof. dr hab. Artur Nowak-Far z Katedry Integracji i Prawa Europejskiego SGH.

Proponowana nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), naraża szpitale publiczne w Polsce na nieplanowane, miliardowe wydatki. Może nawet zagrozić ich działaniu – alarmują autorzy raportu „Wpływ projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa na szpitale publiczne”.

Ze względu na swoją obszerność i częste zmiany, projekt ustawy wdrażającej dyrektywę NIS2 jest bardzo skomplikowany– tak w interpretacji, jak i przyszłym stosowaniu. W dyskusji publicznej uwaga skupia się przede wszystkim na dostawcy wysokiego ryzyka (DWR). Z tego powodu brakuje przestrzeni na rozmowy na temat sposobu wdrożenia pozostałych przepisów NIS2. Szum informacyjny przykrywa wiele złożonych zagadnień, które budzi duży niepokój przedsiębiorców. Warto wydobyć na wierzch kilka z nich.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementujący dyrektywę NIS2, znajduje się na końcowym etapie prac rządowych. Po latach dyskusji, analiz i konsultacji, przepisy, które mają m.in. uregulować procedurę uznawania tzw. dostawców wysokiego ryzyka, wkrótce trafią do Sejmu. Mimo strategicznego znaczenia ustawy, nad procesem legislacyjnym zawisła poważna wątpliwość proceduralna związana z rezygnacją z notyfikacji technicznej TRIS.

Wciąż brak wspólnego stanowiska rządu w sprawie zmiany przepisów o cyberbezpieczeństwie. Wdrożenie unijnej dyrektywy NIS2 jest już opóźnione o ponad 10 miesięcy. Główną osią sporu wokół nowelizacji KSC są pieniądze.