Prezydent podpisał nowelizację KSC – ustawa trafia do kontroli następczej w TK

Prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, jednocześnie kierując dokument do Trybunału Konstytucyjnego w trybie kontroli następczej. Decyzja ta kończy proces legislacyjny kluczowych przepisów wdrażających dyrektywę NIS2, zapewniając państwu narzędzia do walki z zagrożeniami hybrydowymi przy zachowaniu rezerwy prawnej wobec potencjalnie spornych zapisów.

Prezydent Karol Nawrocki sfinalizował proces legislacyjny nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (druk sejmowy nr 1955), co potwierdziły oficjalne komunikaty Kancelarii Prezydenta RP. Złożenie podpisu oznacza, że przepisy wdrażające unijną dyrektywę NIS2 wejdą w życie po upływie przewidzianego okresu vacatio legis – czyli czasu, jaki firmy i instytucje otrzymały na przygotowanie się do nowych przepisów, zanim zaczną grozić za nie kary. Jednoczesne skierowanie ustawy do kontroli następczej przez Trybunał Konstytucyjny wskazuje jednak na potencjalne zastrzeżenia głowy państwa dotyczące zgodności niektórych artykułów z Konstytucją.

Krajowy System Cyberbezpieczeństwa (KSC) to fundament odporności cyfrowej Polski, obejmujący operatorów usług kluczowych, takich jak energetyka, transport czy bankowość. Nowelizacja drastycznie rozszerza katalog podmiotów objętych nadzorem, dodając do niego sektory gospodarki odpadami, żywności oraz przestrzeni kosmicznej, co wymusza powołanie nowych sektorowych zespołów CSIRT.

Najistotniejszym technicznie elementem noweli jest wprowadzenie procedury oceny dostawcy wysokiego ryzyka (HRV), która umożliwia administracji państwowej eliminację sprzętu i oprogramowania zagrażającego bezpieczeństwu narodowemu z polskiej infrastruktury krytycznej. Zgodnie z uchwalonymi przepisami, operatorzy będą mieli od 4 do 7 lat na wycofanie urządzeń od producentów uznanych za potencjalnie niebezpiecznych dla stabilności sieci.

Decyzja prezydenta o skierowaniu ustawy do Trybunału Konstytucyjnego jest odpowiedzią na postulaty organizacji zrzeszających przedsiębiorców oraz izb gospodarczych. Biznes krytykuje przede wszystkim nadmiarowość obowiązków sprawozdawczych oraz system kar finansowych, które mogą sięgać nawet 100 mln złotych lub 2% globalnego obrotu firmy. Karol Nawrocki podkreślił w swoim wystąpieniu, że „bezpieczeństwo nie ma barw partyjnych”, ale przepisy nie mogą nakładać na rodzime firmy obciążeń nieproporcjonalnych do ich skali działania.

Główne wyzwanie dla branży technologicznej stanowi obecnie niepewność prawna – podmioty muszą rozpocząć kosztowne procesy dostosowawcze, nie mając pewności, czy Trybunał nie uchyli kluczowych zapisów dotyczących certyfikacji dostawców w nadchodzących miesiącach.