Nowelizacja ustawy o KSC ma implementować do polskiego porządku prawnego unijną dyrektywę NIS2. Zgodnie z nią przedsiębiorcy będą musieli sami się zgłosić do rejestru, który będzie prowadzony przez ministra cyfryzacji, i określić, czy są podmiotami ważnymi, czy kluczowymi. Już za samo niewykonanie tego obowiązku grozić będą kary, tak samo jak za nieprzestrzeganie środków bezpieczeństwa, które zostały zapisane w ustawie.

Według przyjętych przez Sejm przepisów dostawcy sprzętu lub oprogramowania, które zagraża bezpieczeństwu publicznemu, dostaną miano dostawcy wysokiego ryzyka, a minister cyfryzacji będzie mógł wydać decyzję, w wyniku której podmioty kluczowe dla funkcjonowania państwa nie będą mogły korzystać z produktów tych dostawców.

Nowelizacja wprowadza też narzędzie oceny ryzyka dostawców urządzeń i oprogramowania ICT (związanego z technologiami informacyjno-telekomunikacyjnymi – tzw. toolbox).

Ustawa o krajowym systemie cyberbezpieczeństwa. Jakie poprawki przyjął Sejm

Sejm przyjął ustawę wraz z poprawkami, w tym dwoma autorstwa posłów PiS. Pierwsza zakłada, że kary pieniężne za nieprzestrzeganie przepisów ustawy będą nakładane dopiero po dwóch latach od wejścia w życie ustawy. Zgodnie z drugą w pracach nad KSC ma uczestniczyć przedstawiciel prezydenta.

Z kolei przyjęte poprawki KO zakładają m.in. wydłużenie do 6 miesięcy terminu na złożenie wniosku do wykazu podmiotów kluczowych i ważnych. Projekt zakłada, że podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu s46. Według poprawki KO nastąpiło wydłużenie do 12 miesięcy terminu na rozpoczęcie korzystania przez podmioty kluczowe i ważne z systemu S46.

Nielegalny lobbing?

I chociaż ustawa trafi teraz do Senatu, sejmowa komisja cyfryzacji zbierze się w sprawie uchwalonych przepisów jeszcze raz. To efekt propozycji wiceministra cyfryzacji Pawła Olszewskiego. Jego zdaniem posiedzenie komisji tym razem powinno się odbyć w trybie niejawnym. To pozwoli, mówił na jednym z posiedzeń wiceminister, zapoznać się posłom z dwoma dokumentami służb specjalnych dotyczącymi nielegalnego lobbingu wokół opisywanej ustawy. Jego zdaniem niezależnie od procesu legislacyjnego, warto byłoby, gdyby członkowie komisji mieli świadomość, „co tak naprawdę dzieje się wokół tej ustawy”.

Sejm przyjmuje NIS2. Unia Europejska zmienia przepisy

I może to dobry pomysł, żeby posłowie zapoznali się z tego typu informacjami, bo prawdopodobnie niedługo trzeba będzie nowelizować uchwaloną dopiero co ustawę jeszcze raz. 20 stycznia br. Komisja Europejska opublikowała bowiem propozycję nowego rozporządzenia, tzw. Cybersecurity Act 2.0 (CSA2). Dokument ten ma na celu harmonizację bezpieczeństwa łańcucha dostaw ICT i certyfikacji w całej Unii Europejskiej. Odnosi się do wdrażanego właśnie ustawą o krajowym systemie cyberbezpieczeństwa toolboxa. To narzędzie oceny ryzyka według nowego projektu miałoby odnosić się do 18 sektorów gospodarki, a nie tylko sieci komórkowych 5G.

Etap legislacyjny

Ustawa uchwalona przez Sejm