Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) i niektórych innych ustaw była konsultowana z prezydentem – przekazał w rozmowie z PAP wicepremier i minister cyfryzacji Krzysztof Gawkowski. Dodał, że w związku z tym jest „dobrej myśli” ws. podpisu prezydenta.
Senat przyjął w środę (28 stycznia) nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) i niektórych innych ustaw. Nowela trafi teraz na biurko prezydenta.
Gawkowski o ewentualnym wecie prezydenta
Wicepremier Gawkowski pytany przez PAP, co planuje resort cyfryzacji, jeśli prezydent Karol Nawrocki zawetuje nowelizację ustawy, odpowiedział, że „nie będzie dywagował”.
Uważam, że bardzo dużym sukcesem było to, że ustawa została przyjęta w parlamencie zdecydowaną większością głosów; że posłowie i koalicji i opozycji za nią zagłosowali. Podczas prac sejmowych zostały przyjęte poprawki PiS. Podczas konsultacji z panem prezydentem uzgodniliśmy te elementy, które były ważne z perspektywy Pałacu Prezydenckiego, więc jestem dobrej myśli
– przekazał Gawkowski.
Ocenił, że nowelizacja ustawy o KSC „wychodzi poza parametr polityczny”.
Ona jest po prostu o bezpieczeństwie państwa w cyberprzestrzeni
– zaznaczył.
Senat przyjął nowelę bez poprawek, mimo 19 uwag zgłoszonych przez biuro legislacyjne Kancelarii Senatu. Poprawki miały głównie charakter redakcyjny i uszczegóławiający. Gawkowski pytany, dlaczego na senackiej Komisji Infrastruktury wiceminister cyfryzacji Paweł Olszewski nie rekomendował przyjęcia tych poprawek, wskazał że prace w parlamencie nad nowelą trwały kilka tygodni, a łącznie nad projektem 6 lat.
W tym rządzie pracowaliśmy nad ustawą dwa lata, a w poprzednim cztery. Opowiadanie dzisiaj, że na ostatniej prostej trzeba wprowadzać poprawki, które – mam wrażenie – zazwyczaj mają charakter lobbingowy, to nie jest droga do dobrego prawa, tylko do tego, żeby jak najwięcej interesu uzyskały na tym różne grupy
– ocenił wicepremier.
Co wprowadzi nowelizacja o cyberbezpieczeństwie?
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem.
Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji – m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.
Nowela przewiduje, że firmy z sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę) będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP) oraz regularne ocenianie ryzyka wystąpienia incydentów.
Sejmowe poprawki
W trakcie prac sejmowych przyjęto poprawki doprecyzowujące wybrane rozwiązania projektu. Jedna z nich wprowadza obowiązek udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Dokument ten określi cele oraz tryb zarządzania incydentami i sytuacjami kryzysowymi w cyberprzestrzeni.
Podczas wtorkowego posiedzenia Komisji Infrastruktury biuro legislacyjne Kancelarii Senatu zgłosiło 19 poprawek do nowelizacji ustawy o KSC. Nie zostały one zarekomendowane przez komisję. Obecny na posiedzeniu wiceminister cyfryzacji Paweł Olszewski argumentował, że termin na wdrożenie NIS 2 minął dwa lata temu i zaapelował do senatorów o jak najszybsze procedowanie noweli.
Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.