Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (u.k.s.c.), która ma implementować przepisy dyrektywy NIS2, od 7 listopada ubiegłego roku jest procedowany przez Sejm. Na początku stycznia Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii zakończyła prace nad sprawozdaniem z prac Komisji po pierwszym czytaniu, rekomendując Sejmowi przyjęcie ustawy. Podczas prac Komisji, liczne rozwiązania ustawy spotkały się ze sprzeciwem ze strony środowiska przedsiębiorców.
Długie prace nad wdrożeniem NIS2
W 2022 roku uchwalona została NIS2, czyli unijna dyrektywa regulująca kwestie cyberbezpieczeństwa w najważniejszych sektorach gospodarek państw Unii. W Polsce dyrektywa ta zostanie implementowana przede wszystkim za pośrednictwem przepisów u.k.s.c. Prace nad projektem ustawy rozpoczęły się dawno temu. W toku prac rządu, projekt kilkukrotnie był opracowywany od nowa, co sprawiło, że nie udało się go przyjąć przed upływem terminu na transpozycję NIS2, tj. do 17 października 2024 roku. 7 listopada 2025 roku projekt nowelizacji u.k.s.c. trafił wreszcie do Sejmu. W pierwszym czytaniu zdecydowano o skierowaniu go do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.
Dostawcy wysokiego ryzyka – kość niezgody w Komisji
9 stycznia Komisja opublikowała sprawozdanie ze swoich prac po pierwszym czytaniu. Komisja zarekomendowała Sejmowi przyjęcie ustawy. Nie oznacza to jednak, że prace Komisji przebiegały bez komplikacji. Najbardziej spornym tematem okazała się kwestia zakwalifikowania określonych dostawców, jako dostawców wysokiego ryzyka (DWR). Według projektu ustawy, taka kwalifikacja odbywać się ma w drodze postępowania wszczętego przez ministra właściwego do spraw informatyzacji, którego efektem może być nakaz wycofania określonego sprzętu lub oprogramowania z podmiotów zakwalifikowanych jako kluczowe lub ważne.
Kształt regulacji ma budzić kontrowersje ponieważ dalece wykracza ona poza wymagania prawa unijnego. Regulacje unijne wymagają bowiem od państw członkowskich wprowadzenia takich procedur w stosunku do dostawców sprzętu wykorzystywanego w sieciach 5G, w obszarach krytycznych dla funkcjonowania tych sieci. Rozwiązania planowane w Polsce rozszerzają zaś zakres tej procedury. Poprawkę zawężającą zakres procedury do niezbędnego minimum zgłosił przewodniczący Komisji, ale została ona odrzucona.
Odrzucona została również poprawka proceduralna, dotycząca kwestii stosowania KPA (kodeks postępowania administracyjnego) w postępowaniu o zakwalifikowanie danego podmiotu, jako dostawcę wysokiego ryzyka. Regulacje przewidziane w projekcie ustawy wyłączają cały szereg przepisów KPA, co według komentatorów może negatywnie wpłynąć na prawo do sądu, czy też na prawo do sprawiedliwego postępowania.
Wydłużony okres na dostosowanie
Nie wszystkie poprawki zostały jednak odrzucone. Rządzący przychyli się do propozycji środowisk przedsiębiorców o wydłużenie okresu wdrożenia nowych przepisów. Czas ten, pierwotnie wynoszący sześć miesięcy, ma zostać wydłużony do dwunastu miesięcy. Niewykluczone, że na dalszych etapach prac legislacyjnych, strona społeczna zaproponuje kolejne poprawki. Jak wskazują krytycy ustawy, kompetencje rządu przewidziane w procedurze kwalifikacji określonych podmiotów, jako dostawców wysokiego ryzyka, są zbyt szerokie i mogą prowadzić do wielomiliardowych strat w gospodarce. Zdaniem niektórych komentatorów, regulacje te są na tyle szerokie i niedopracowane, że zamiast wzmocnić cyberbezpieczeństwo w Polsce, mogą je osłabić.
