Nowelizacja ustawy o KSC

W Sejmie intensywnie toczą się prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wreszcie wdrożyć dyrektywę NIS 2 oraz zalecenia 5G Toolbox. Chociaż dyskusje często skupiają się na dużych graczach jak Huawei czy dostawcach sprzętu 5G, rzeczywistość jest szersza – nowe przepisy mogą objąć nawet 30-40 tysięcy polskich przedsiębiorstw z 18 sektorów gospodarki. Wiele z nich nawet nie zdaje sobie sprawy z nadchodzących obowiązków, co rodzi ryzyko kar i problemów operacyjnych.

O co chodzi w nowelizacji ustawy o KSC?

Projekt nowelizacji KSC, nad którym Sejm pracuje od kilku miesięcy, ma na celu wzmocnienie ochrony przed cyberzagrożeniami w kluczowych sektorach gospodarki. Obejmuje m.in. zapobieganie atakom poprzez wykluczanie ryzykownych dostawców sprzętu (np. w technologii 5G czy fotowoltaice). Jednak równie ważne są obowiązki nałożone na polskie firmy, które muszą dostosować się do nowych standardów cyberbezpieczeństwa.

Jak szacuje prof. Maciej Rogalski, radca prawny z kancelarii Rogalski i Wspólnicy, regulacje mogą dotknąć około 38 tysięcy podmiotów z sektorów takich jak: energia, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę, infrastruktura cyfrowa, administracja publiczna, produkcja chemikaliów, przetwórstwo żywności, usługi pocztowe czy badania naukowe. Prof. Paweł Wajda, adwokat i naukowiec z Uniwersytetu Warszawskiego, krytykuje projekt za nadmierne wzmocnienie obowiązków, co może być niezgodne z prawem unijnym i krajowym.

Które firmy podlegają pod nowe przepisy KSC?

Ustawa dotyczy głównie średnich i dużych przedsiębiorstw (zatrudniających co najmniej 50 osób, z obrotem lub sumą bilansową powyżej 10 mln euro). Wyjątki obejmują mniejsze firmy, jeśli są częścią łańcucha dostaw w newralgicznych sektorach – np. kooperantów w bankowości czy energetyce.

Sektory podzielono na „kluczowe” (już częściowo regulowane jako operatorzy usług kluczowych) i „ważne” (nowość dla wielu, np. producenci żywności czy wyrobów medycznych). Firma musi samodzielnie ocenić, czy spełnia kryteria, i zgłosić się do rejestru prowadzonego przez ministra cyfryzacji. Brak zgłoszenia grozi karą.

Karolina Praszek-Gołębiewska, prawnik specjalizująca się w bezpieczeństwie informacji, podkreśla: „Nawet niewielka firma może być elementem krytycznego łańcucha dostaw, co narzuca na nią obowiązki podobne do tych dla gigantów”.

Nowe obowiązki dla firm – co wdrożyć?

Podmioty objęte KSC będą musiały zbudować kompleksowy system zarządzania cyberbezpieczeństwem.

Kluczowe elementy:

• Prewencja: Cykliczne audyty partnerów technologicznych i logistycznych.
• Reagowanie: Procedury na incydenty, monitorowanie w czasie rzeczywistym i zgłaszanie poważnych zdarzeń w określonych terminach.
• Kompetencje: Szkolenia kadry i formalny nadzór nad systemem.

Praszek-Gołębiewska radzi nie czekać: „Dyrektywa NIS 2 już obowiązuje, więc przygotowania należy zacząć natychmiast, by uniknąć chaosu po wejściu ustawy”.

Prace w Sejmie i uwagi ekspertów – co może się zmienić?

Sejmowa Komisja Cyfryzacji analizuje poprawki, kontynuując prace po Nowym Roku. Do projektu wpłynęło wyjątkowo dużo opinii, wskazujących na problemy jak nadregulacja czy zbyt krótki okres dostosowawczy (6 miesięcy – Lewiatan proponuje 12).

Krytyka obejmuje:

• Rozszerzenie sektorów „kluczowych” ponad wymogi NIS 2 (np. apteki, instytucje edukacyjne) – Wojewódzka Rada Dialogu Społecznego.
• Przepisy o dostawcach wysokiego ryzyka (DWR), wymagające wycofania sprzętu w 4 lata – KIKE i prof. Ryszard Piotrowski (konstytucjonalista z UW) widzą naruszenie własności.
• Surowsze kary niż w UE – FPP krytykuje odstępstwa od zasad kontroli w firmach.

Związek Cyfrowa Polska popiera kierunek, ale Michał Kanownik podkreśla potrzebę szybkiego usuwania niebezpiecznego sprzętu. Wiceminister cyfryzacji Paweł Olszewski w odpowiedzi na interpelację 12643 zapewnia, że projekt wdraża NIS 2 w minimalnym zakresie.

Przygotuj firmę na zmiany w KSC

Nowelizacja KSC to wyzwanie dla tysięcy polskich firm, ale też szansa na wzmocnienie cyberochrony. Jeśli nie jesteś pewien, czy Twoja działalność podlega regulacjom, warto przeprowadzić audyt. Nasza kancelaria oferuje wsparcie w analizie obowiązków, wdrożeniu procedur i reprezentacji w sporach.

autor: Gabriel Jackowski (za prawo.pl)