6 grudnia 2024 r. na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)1. Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 22.

Nowy projekt nowelizacji ustawy o KSC nie wprowadza rewolucyjnych zmian w stosunku do projektu z listopada 2024 r.

Warto jednak zwrócić uwagę na najważniejsze zmiany, które pojawiły się w stosunku do listopadowej wersji projektu. Należą do nich:

  1. „uszczelnienie” przepisów odnoszących się do możliwości okresowego zawieszenia prawa do prowadzenia działalności gospodarczej przez podmiot kluczowy, który naruszył obowiązki wynikające z ustawy o KSC i jednocześnie nie zastosował się do wcześniejszego nakazu wydanego przez organ właściwy do spraw cyberbezpieczeństwa;
  2. ograniczenie możliwości okresowego zawieszenia prawa do prowadzenia działalności gospodarczej jedynie do podmiotów kluczowych – a więc odejście od objęcia tymi przepisami również podmiotów ważnych (takie rozwiązanie zapewnia większą spójność z przepisami dyrektywy NIS 2);
  3. możliwość uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka jedynie w oparciu o przesłankę „zagrożenia dla podstawowego interesu bezpieczeństwa państwa” – wcześniej było to „zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”.

Pozostałe zmiany wprowadzone w czwartej wersji projektu nowelizacji mają charakter bardziej kosmetyczny i nie wpływają w znaczący sposób na prawa lub obowiązki podmiotów kluczowych i ważnych.

Choć termin implementacji dyrektywy NIS 2 upłynął w październiku 2024 r., a według zapowiedzi Ministerstwa Cyfryzacji projekt nowelizacji ustawy o KSC miał trafić to Sejmu na początku 2025 r., to nad projektem wciąż trwają intensywne prace rządowe.

W swoich nowych komunikatach z początku 2025 r. Ministerstwo Cyfryzacji informuje jednak, że prace nad projektem będą kontynuowane w I kwartale 2025 r.  Biorąc pod uwagę dotychczasowe opóźnienia i potrzebę uchwalenia ustawy przez Parlament, można się spodziewać, że znowelizowana ustawa o KSC zacznie obowiązywać nie wcześniej niż w połowie bieżącego roku.

Nowy projekt jest dostępny na stronie internetowej Rządowego Centrum Legislacji. Aby jednak ułatwić jego odbiór, poniżej zamieszczamy przygotowane przez nas pliki:

  1. ujednolicony tekst ustawy o KSC, który uwzględnia zmiany wprowadzane projektem nowelizacji z 2 grudnia 2024 r.,
  2. ujednolicony tekst ustawy o KSC, który wskazuje zmiany w stosunku do projektu z listopada 2024 r.

  1. Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych – projekt z 2 grudnia 2024 r. (UC32). ↩︎
  2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG). ↩︎