Sejmowa komisja ds. cyfryzacji wprowadziła w czwartek trzy poprawki do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), z czego jedna miała charakter merytoryczny. Zakłada ona, że przedsiębiorcy kluczowi i ważni będą mieć rok, zamiast sześciu miesięcy, na wdrożenie nowych obowiązków związanych z KSC. Poprawka została przyjęta jednomyślnie przez reprezentantów wszystkich klubów zasiadających w komisji i odpowiadała na postulaty strony rynkowej.

Wcześniej  taką zmianę postulowała Konfederacja Lewiatan. Czytaj więcej w tekście: Firmy mogą nie wiedzieć, że podlegają pod ustawę o KSC

Prace w Sejmie nad ustawą o KSC

Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji - m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka (DWR). Podczas posiedzenia komisji wywiązała się debata na temat tej procedury.

- Zmian dotyczących dostawcy wysokiego ryzyka rząd nie przewiduje; dyskusja jest całkowicie bezprzedmiotowa i ma na celu świadome przedłużanie prac nad projektowaną ustawą - przekazał obecny na posiedzeniu wiceminister cyfryzacji Paweł Olszewski. Dodał, że projekt był już wielokrotnie konsultowany i dyskutowany, a zabieranie głosu w tej sprawie podczas pierwszego czytania to „znana, stara zasada i strategia lobbystów, którzy próbują opóźnić prace legislacyjna nad ważnymi projektami”. Następnie głosami koalicji rządzącej przyjęto wniosek formalny o przerwanie dyskusji, co spotkało się ze sprzeciwem posłów opozycji.

Komisja odrzuciła kilkanaście poprawek PiS-u i Konfederacji. Prace nad projektem będą kontynuowane 9 stycznia.

Wyznaczony przez marszałka Sejmu termin na sprawozdanie komisji to 20 stycznia br.

Ustawa o krajowym systemie cyberbezpieczeństwa i dyrektywa NIS 2

Na początku listopada 2025 r. do Sejmu trafił projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który wdraża w Polsce dyrektywę NIS 2. Projekt zakłada, że firmy z sektorów kluczowych i ważnych - czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę - będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych - PAP) oraz regularnie ocenianie ryzyka wystąpienia incydentów. Projekt zakłada też, że podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu s46.

Nowe przepisy przewidują procedurę wskazywania dostawcy wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta przez ministra ds. informatyzacji, według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.

Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.

Czytaj także: Walka z dezinformacją? Potrzeba wiedzy, a nie rebusów