Kolejna wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Czy UKSC jest bliskie uchwalenia?
7 czerwca 2023 r. na stronie BIP Ministerstwa Cyfryzacji pojawiła się kolejna – dwunasta już – wersja projektu nowelizacji UKSC. Projekt został przyjęty przez Radę Ministrów, w związku z czym można oczekiwać, że nowelizacja może zostać uchwalona w nadchodzących tygodniach.
Przypomnijmy, że UKSC jest ustawą implementującą dyrektywę NIS do polskiego porządku prawnego i stanowi główną regulację dotyczącą cyberbezpieczeństwa w Polsce. Od dłuższego czasu, bo od ponad 2,5 roku, trwają prace nad jej nowelizacją, które zostały zapoczątkowane w wyniku zwiększenia zagrożeń cyberbezpieczeństwa, a później zintensyfikowane w związku z trwającą za granicami kraju wojną.
Od początku roku 2023 obserwujemy wzrost dynamiki prac nad tą regulacją, co może być związane ze zbliżającym się końcem obecnej kadencji Parlamentu. Przyjęcie projektu przez Radę Ministrów może zwiastować rychłe uchwalenie nowelizacji.
Nowy projekt nie wprowadza zbyt wielu zmian względem poprzedniego, a część zmian wprowadzonych stanowi kontynuację kierunku przyjętego w poprzedniej wersji projektu nowelizacji z 05 maja 2023 r., czyli wprowadzanie odniesień do ustawy prawo komunikacji elektronicznej (PKE) oraz zmian mających uspójnić obie te regulacje. Powinny one zgodnie z przedstawionym uzasadnieniem do projektu UKSC wejść w życie w tym samym dniu.
W tym kontekście istotną zmianą, wprowadzoną jeszcze w poprzedniej wersji jest wydłużenie okresu vacatio legis nowelizacji UKSC z dotychczasowych 30 dni do 6 miesięcy.
Największą zmianą w obecnej wersji jest natomiast usunięcie z projektu instytucji polecenia zabezpieczającego. Było to rozwiązanie kontrowersyjne, krytykowane m.in. za to, że treść polecenia zabezpieczającego miało obejmować jedynie wskazanie „rodzaju podmiotów”, do których polecenie to jest skierowane. Określone podmioty mogły zatem nie mieć informacji o tym, że zostały zobowiązane do danego zachowania w drodze decyzji administracyjnej – natomiast za niezastosowanie się do treści tej decyzji groziła administracyjna kara pieniężna.
Inne proponowane zmiany dotyczą doprecyzowania niektórych przepisów UKSC m.in. w zakresie krajowego systemu certyfikacji czy ISAC.
Mimo tego, że nowelizacja dąży do wzmocnienia cyberbezpieczeństwa kraju, to omawiany projekt nie stanowi transpozycji dyrektywy NIS 2, która powinna zostać implementowana do 17 października 2024 r. Tym samym, nawet jeśli obecny projekt zostanie niebawem uchwalony, w niedługiej przyszłości należy spodziewać się rozpoczęcia prac nad projektem zmian do UKSC lub zupełnie nową ustawą, który wprowadzi zmiany związane z implementacją przepisów dyrektywy NIS2.