CYFROWA-GOSPODARKA.GAZETAPRAWNA.PL

Nowela ustawy o KSC: ciąg dalszy w tym roku

Podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii 17 grudnia posłowie zajęli się kolejnym etapem prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Najbardziej problematyczna kwestia, związana z definicją dostawcy wysokiego ryzyka, została jednak przeniesiona na 2026 rok.

Choć tempo procedowania było szybkie, a większość poprawek miała charakter techniczny i redakcyjny, nie zabrakło sporów merytorycznych oraz licznych sygnałów od przedsiębiorców oraz ekspertów, że niektóre rozwiązania mogą rodzić poważne i niedobre konsekwencje. Ostatecznie komisja rozpatrzyła 74 zmiany, z czego jedną, należącą do kluczowych z punktu widzenia przedsiębiorców, zdecydowano się zawiesić. Prace legislacyjne mają być kontynuowane w styczniu.

Dyrektywa jest, ustawy nie ma

Projekt nowelizacji ma wdrożyć do polskiego porządku prawnego dyrektywę NIS2, unijną regulację wzmacniającą poziom cyberbezpieczeństwa w państwach członkowskich UE. Drogą do tego ma być ujednolicenie wymogów nakładanych na podmioty publiczne i prywatne świadczące kluczowe usługi. KSC rozszerza jednak zakres sektorów objętych obowiązkami w porównaniu do samej dyrektywy NIS2, wprowadzając jednocześnie bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem, zgłaszania incydentów oraz odpowiedzialności kadry zarządzającej. Zakłada także znaczące podniesienie maksymalnych kar finansowych za naruszenie przepisów, co ma motywować do inwestycji w cyberbezpieczeństwo. Implementacja dyrektywy NIS2 pozostawiona jest państwom członkowskim, które mogą doprecyzować część rozwiązań na poziomie krajowym, jednak muszą zachować zgodność z jej podstawowymi założeniami. W Polsce to ostatnie wzbudza niemałe kontrowersje.