Czwarta wersja projektu nowelizacji ustawy o KSC (grudzień 2024 r.)

6 grudnia 2024 r. na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)1. Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 22.
Co się zmieniło?
Nowy projekt nowelizacji ustawy o KSC nie wprowadza rewolucyjnych zmian w stosunku do projektu z listopada 2024 r.
Warto jednak zwrócić uwagę na najważniejsze zmiany, które pojawiły się w stosunku do listopadowej wersji projektu. Należą do nich:
- „uszczelnienie” przepisów odnoszących się do możliwości okresowego zawieszenia prawa do prowadzenia działalności gospodarczej przez podmiot kluczowy, który naruszył obowiązki wynikające z ustawy o KSC i jednocześnie nie zastosował się do wcześniejszego nakazu wydanego przez organ właściwy do spraw cyberbezpieczeństwa;
- ograniczenie możliwości okresowego zawieszenia prawa do prowadzenia działalności gospodarczej jedynie do podmiotów kluczowych – a więc odejście od objęcia tymi przepisami również podmiotów ważnych (takie rozwiązanie zapewnia większą spójność z przepisami dyrektywy NIS 2);
- możliwość uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka jedynie w oparciu o przesłankę „zagrożenia dla podstawowego interesu bezpieczeństwa państwa” – wcześniej było to „zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”.
Pozostałe zmiany wprowadzone w czwartej wersji projektu nowelizacji mają charakter bardziej kosmetyczny i nie wpływają w znaczący sposób na prawa lub obowiązki podmiotów kluczowych i ważnych.
Co dalej z nowelizacją ustawy o KSC?
Choć termin implementacji dyrektywy NIS 2 upłynął w październiku 2024 r., a według zapowiedzi Ministerstwa Cyfryzacji projekt nowelizacji ustawy o KSC miał trafić to Sejmu na początku 2025 r., to nad projektem wciąż trwają intensywne prace rządowe.
W swoich nowych komunikatach z początku 2025 r. Ministerstwo Cyfryzacji informuje jednak, że prace nad projektem będą kontynuowane w I kwartale 2025 r. Biorąc pod uwagę dotychczasowe opóźnienia i potrzebę uchwalenia ustawy przez Parlament, można się spodziewać, że znowelizowana ustawa o KSC zacznie obowiązywać nie wcześniej niż w połowie bieżącego roku.
Tekst ujednolicony projektu nowelizacji
Nowy projekt jest dostępny na stronie internetowej Rządowego Centrum Legislacji. Aby jednak ułatwić jego odbiór, poniżej zamieszczamy przygotowane przez nas pliki:
- ujednolicony tekst ustawy o KSC, który uwzględnia zmiany wprowadzane projektem nowelizacji z 2 grudnia 2024 r.,
- ujednolicony tekst ustawy o KSC, który wskazuje zmiany w stosunku do projektu z listopada 2024 r.
- Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych – projekt z 2 grudnia 2024 r. (UC32). ↩︎
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG). ↩︎