Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znów opóźniona – Sejm wciąż czeka na projekt

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, przygotowywany od kwietnia 2024 roku, miał już trafić do Sejmu, lecz termin był przekładany. Tym razem wyznaczono go na czerwiec.

Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) trwają już od kwietnia 2024 roku, kiedy to opublikowano pierwszą wersję projektu mającego wdrożyć unijną dyrektywę NIS 2 do polskiego prawa. Od tego czasu dokument był wielokrotnie modyfikowany – na początku lutego 2025 roku pojawiła się już… piąta wersja projektu. Mimo wcześniejszych zapowiedzi Ministerstwa Cyfryzacji, że ustawa trafi do Sejmu do końca kwietnia 2024 roku, termin ten nie został dotrzymany. Kolejne deklaracje mówiły o przekazaniu projektu do Sejmu jeszcze w pierwszym półroczu 2025 roku, a obecnie nowy termin wyznaczono na czerwiec.

Dlaczego proces trwa tak długo? Powodów jest kilka. Przede wszystkim projekt ustawy jest bardzo złożony – obejmuje szeroki katalog podmiotów, nowe obowiązki w zakresie zarządzania ryzykiem, utworzenie sektorowych zespołów CSIRT oraz możliwość uznania dostawców sprzętu i oprogramowania za tzw. dostawców wysokiego ryzyka. Każda z tych zmian wymaga konsultacji międzyresortowych, uzgodnień z branżą i dostosowania do dynamicznie zmieniających się przepisów unijnych. Dodatkowo, każda nowa wersja projektu generuje kolejne uwagi i poprawki, co wydłuża proces legislacyjny. Nie bez znaczenia są także kwestie polityczne i presja związana z wdrożeniem NIS 2 oraz Toolbox 5G.

Nowelizacja jest pilna – Polska wciąż nie wdrożyła dyrektywy NIS 2, a Komisja Europejska już w listopadzie 2024 roku skierowała wobec naszego kraju formalne zarzuty za opóźnienia. Resort cyfryzacji musi przedstawić odpowiedź Komisji do 7 lipca 2025 roku.

Projekt ustawy zakłada m.in. rozszerzenie katalogu podmiotów objętych KSC, wprowadzenie nowych obowiązków w zakresie zarządzania ryzykiem, utworzenie sektorowych zespołów CSIRT oraz możliwość uznania dostawców sprzętu i oprogramowania za tzw. dostawców wysokiego ryzyka. Przewidziano również nowe kary administracyjne oraz wzmocnienie nadzoru nad cyberbezpieczeństwem w strategicznych sektorach gospodarki.

Nowelizacja ustawy o KSC jest także jednym z kamieni milowych Krajowego Planu Odbudowy. Obecna ustawa pochodzi z 2018 roku i nie uwzględnia wymagań NIS 2 ani Toolbox 5G, które mają podnieść poziom bezpieczeństwa cyfrowego w Polsce. Tak więc… czekamy. Wciąż czekamy.