Nowelizacja ustawy o KSC coraz bliżej – komisja cyfryzacji rekomenduje poprawki

Sejmowa komisja cyfryzacji zarekomendowała pakiet poprawek do nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wdrożyć unijną dyrektywę NIS 2. Wśród zmian znalazło się m.in. wydłużenie czasu na dostosowanie się do nowych obowiązków oraz formalne włączenie prezydenta RP w prace nad ustawą. Projekt trafi teraz pod głosowanie w Sejmie.

Jak poinformowała PAP, w czwartek (22 stycznia br.) sejmowa Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii zarekomendowała 12 poprawek do projektu nowelizacji ustawy o KSC, zgłoszonych podczas drugiego czytania. Większość z nich ma charakter techniczno-legislacyjny, jednak wśród przyjętych znalazły się również zmiany o znaczeniu ustrojowym i praktycznym dla podmiotów objętych regulacją.

Najbardziej widoczną poprawką merytoryczną jest zapis umożliwiający udział prezydenta RP lub jego przedstawiciela w pracach nad KSC. Postulat ten był wcześniej podnoszony przez część opozycji i ostatecznie uzyskał rekomendację komisji. Jednocześnie komisja nie poparła wniosku o odrzucenie projektu w całości, co oznacza, że nowelizacja trafi teraz pod głosowanie na posiedzeniu plenarnym Sejmu.

NIS 2 w praktyce: nowe obowiązki i mechanizm dostawców wysokiego ryzyka

Przypomnijmy, że projekt ustawy, który wpłynął do Sejmu na początku listopada 2025 roku, ma na celu implementację dyrektywy NIS 2, której termin wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 roku. Obowiązująca od 2018 roku ustawa o KSC nie uwzględnia nowych unijnych wymogów, co naraża Polskę na konsekwencje regulacyjne ze strony Komisji Europejskiej.

Nowelizacja znacząco rozszerza katalog obowiązków dla firm i instytucji z sektorów kluczowych i ważnych, takich jak energetyka, ochrona zdrowia, bankowość, produkcja czy zaopatrzenie w wodę. Podmioty te będą zobowiązane m.in. do wdrożenia systemu zarządzania bezpieczeństwem informacji, zarządzania ryzykiem w łańcuchu dostaw ICT oraz regularnej oceny ryzyka wystąpienia incydentów. Zgłaszanie incydentów ma odbywać się za pośrednictwem systemu S46.

Istotnym elementem projektu pozostaje również procedura uznawania tzw. dostawcy wysokiego ryzyka. Decyzję w tym zakresie będzie mógł podjąć minister właściwy ds. informatyzacji, na podstawie kryteriów technicznych i pozatechnicznych, po konsultacjach m.in. z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Sprzęt takiego dostawcy będzie musiał zostać wycofany z systemów podmiotów kluczowych i ważnych w perspektywie od 4 do 7 lat, przy czym decyzja administracyjna będzie podlegać kontroli sądu.

Więcej czasu na wdrożenie, mniej czasu na ignorowanie zagrożeń

W trakcie prac komisji przyjęto także poprawkę wydłużającą okres dostosowania się do nowych wymogów – z pierwotnie planowanych 6 do 12 miesięcy. Jak podkreślił poseł sprawozdawca Paweł Bliźniuk, zmiana ta ma dać podmiotom objętym ustawą realną możliwość wdrożenia wymaganych procesów i zabezpieczeń.

Eksperci branżowi przyjęli tę decyzję ze zrozumieniem, choć zwracają uwagę na rosnącą skalę zagrożeń.

„Wydłużenie okresu na dostosowanie jest wyjściem naprzeciw oczekiwaniom wielu podmiotów. Szczególnie w przypadku podmiotów znajdujących się na początkowym etapie dostosowania jest to z pewnością korzystna wiadomość. Jednak, wobec intensywnej presji na sferę cyfrową ze strony przestępców, czego dowodami są liczne i głośne przypadki cyberataków na wrażliwe z perspektywy funkcjonowania państwa elementy infrastruktury krytycznej wierzę, że po zakończeniu prac legislacyjnych, przedsiębiorstwa i instytucje przeznaczą odpowiednie zasoby by w krótszym okresie dostosować się do wymogów. Leży to w interesie nas wszystkich” – skomentował Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT.

Jeśli Sejm przyjmie projekt wraz z rekomendowanymi poprawkami, Polska zrobi istotny krok w kierunku dostosowania krajowego systemu cyberbezpieczeństwa do unijnych standardów. Jednocześnie dla wielu firm 2026 rok może okazać się okresem intensywnych inwestycji w bezpieczeństwo cyfrowe, kompetencje i procesy zarządzania ryzykiem.