Prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), kończąc tym samym trwający sześć lat proces legislacyjny. Jednocześnie zdecydował o skierowaniu ustawy do kontroli następczej przez Trybunał Konstytucyjny.
Nowe przepisy – jak podkreśla rząd – implementują do polskiego porządku prawnego unijną dyrektywę NIS2, rozszerzając zakres obowiązków i nadzoru w obszarze bezpieczeństwa cyfrowego.
Koniec wieloletnich prac
Po przyjęciu nowelizacji przez rząd, Sejm i Senat, ustawa trafiła na biurko prezydenta. Podpis zamyka jeden z najdłuższych procesów legislacyjnych w obszarze cyfryzacji ostatnich lat.
Jednocześnie głowa państwa zdecydowała się skierować ustawę do tzw. kontroli następczej przez Trybunał Konstytucyjny, co oznacza, że przepisy wejdą w życie, ale ich zgodność z konstytucją zostanie jeszcze poddana ocenie.
Implementacja NIS2 i nowe obowiązki
Nowelizacja ma na celu wdrożenie do polskiego prawa postanowień dyrektywy NIS2, która znacząco rozszerza katalog podmiotów objętych wymogami cyberbezpieczeństwa w całej Unii Europejskiej.
Z przekazu Ministerstwo Cyfryzacji wynika, że ustawa ma strategiczne znaczenie dla bezpieczeństwa państwa – obejmuje bowiem zarówno sektor publiczny, jak i prywatny, a pośrednio także obywateli.
Do kluczowych zmian należą:
- utworzenie CSIRT-ów sektorowych,
- możliwość identyfikacji dostawców wysokiego ryzyka,
- rozszerzenie listy podmiotów włączonych do krajowego systemu cyberbezpieczeństwa,
- wzmocnienie finansowe instytucji takich jak NASK.
W toku prac parlamentarnych przyjęto również poprawkę umożliwiającą prezydentowi lub jego przedstawicielowi udział w pracach nad krajowym systemem cyberbezpieczeństwa.
Dostawca wysokiego ryzyka, czyli punkt zapalny
Najwięcej emocji budzi instytucja tzw. dostawcy wysokiego ryzyka. Zwolennicy nowych rozwiązań argumentują, że w obliczu rosnącej liczby cyberataków i napiętej sytuacji geopolitycznej państwo musi dysponować narzędziami pozwalającymi ograniczyć wpływ podmiotów potencjalnie zagrażających infrastrukturze krytycznej.
Krytycy wskazują natomiast na ryzyko nadregulacji oraz zbyt szerokich kompetencji administracji. Podnoszą, że rozwiązania te wykraczają poza literalne wymogi NIS2 i nawiązują do mechanizmów znanych z unijnego „5G Toolbox”, dotyczącego bezpieczeństwa sieci nowej generacji. Więcej o tym temacie w opracowaniu raportu KIKE.
Co to oznacza dla rynku?
Dla przedsiębiorców – w tym operatorów telekomunikacyjnych i dostawców usług cyfrowych – nowelizacja oznacza rozszerzenie obowiązków raportowych, audytowych i organizacyjnych. Można spodziewać się większej liczby kontroli, obowiązkowych analiz ryzyka oraz inwestycji w systemy bezpieczeństwa.
Z perspektywy administracji publicznej to kolejny krok w kierunku centralizacji i uszczelnienia systemu reagowania na incydenty. Z perspektywy rynku wzrost kosztów compliance, ale też wyraźniejszy standard działania w obszarze cyberodporności.
Kontrola następcza przez Trybunał Konstytucyjny może jeszcze wpłynąć na ostateczny kształt przepisów, jednak na dziś nowelizacja KSC staje się jednym z filarów krajowej architektury cyberbezpieczeństwa.
Czytaj także:
