Nowe zasady bezpieczeństwa wkraczają w życie? Prezydent podpisał ustawę

Prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która nakłada szerokie obowiązki na podmioty kluczowe i ważne. Jednocześnie skierował przepisy do Trybunału Konstytucyjnego w trybie kontroli następczej, wskazując na możliwą nadmierną ingerencję w działalność przedsiębiorców i kwestie proceduralne. Nowela ma wzmocnić ochronę państwa w cyberprzestrzeni, ale wprowadza też istotne wyzwania dla biznesu.

Prezydent Karol Nawrocki ogłosił w czwartek podpisanie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), jednocześnie przekazując ją do Trybunału Konstytucyjnego w trybie kontroli następczej. Jak podkreślił w nagraniu opublikowanym w serwisie X, zmiany mają wzmocnić mechanizmy obronne państwa, usprawnić współpracę między instytucjami oraz eliminować dostawców wysokiego ryzyka, przy czym „bezpieczeństwo nie ma barw partyjnych”.

Prezydent zwrócił jednak uwagę, że głosy przedsiębiorców wskazują na „nadmiarowe i nieproporcjonalne” obowiązki. Wątpliwości Nawrockiego dotyczą m.in. rozszerzenia listy podmiotów kluczowych i ważnych do 18 branż, sposobu uznawania dostawców wysokiego ryzyka, nakładania obowiązków wymiany sprzętu i oprogramowania bez odszkodowania oraz restrykcyjnego systemu kar. Prezydent podkreślił, że niektóre przepisy ingerują w samodzielność funkcjonowania przedsiębiorstw i mogą naruszać gwarancje proceduralne.

Wicepremier i minister cyfryzacji Krzysztof Gawkowski skomentował decyzję prezydenta, twierdząc, że nowela jest „wielkim krokiem w stronę większego bezpieczeństwa Polski w cyberprzestrzeni”, a opóźnienia związane z wnioskiem do Trybunału mogą utrudniać funkcjonowanie firm. Wiceminister Paweł Olszewski dodał, że po sześciu latach Polska wreszcie dysponuje nowoczesnym Krajowym Systemem Cyberbezpieczeństwa, który utrudnia ataki na państwo.

Nowela obejmuje szereg sektorów kluczowych – m.in. energetykę, transport, ochronę zdrowia, bankowość, wodociągi, infrastrukturę cyfrową i przestrzeń kosmiczną – a także sektory ważne, takie jak poczta, gospodarka odpadami, produkcja chemikaliów, żywności i sprzętu medycznego oraz dostawcy usług cyfrowych. Podmioty objęte KSC będą musiały wdrożyć system zarządzania bezpieczeństwem informacji, oceniać ryzyko incydentów, zbierać dane o zagrożeniach, wdrażać procedury techniczne i organizacyjne oraz zgłaszać poważne incydenty w ciągu 72 godzin.

Nowelizacja przewiduje również sektorowe zespoły CSIRT, audyty bezpieczeństwa co trzy lata, Krajowy plan reagowania na incydenty oraz możliwość wydawania poleceń zabezpieczających przez ministra cyfryzacji. Za nieprzestrzeganie przepisów grożą kary pieniężne – dla podmiotów kluczowych do 2 proc. przychodów firmy (maksymalnie 42,4 mln zł), a dla podmiotów ważnych do 1,4 proc. przychodów (maksymalnie 20 mln zł). Dodatkowe kary mogą sięgać nawet 100 mln zł w przypadku bezpośredniego zagrożenia cyberbezpieczeństwa państwa.

Podmioty będą miały 12 miesięcy na dostosowanie się do nowych wymogów, a administracyjne kary pieniężne będą mogły być nakładane dopiero po dwóch latach od wejścia noweli w życie, aby zapewnić czas na przygotowanie.

Nowelizacja wdraża dyrektywę NIS 2 do polskiego prawa, której termin implementacji upłynął 18 października 2024 r., i ma wejść w życie miesiąc po ogłoszeniu w Dzienniku Ustaw. W ocenie władz, jest to kluczowy krok w kierunku zwiększenia odporności Polski na cyberzagrożenia, choć jednocześnie rodzi poważne wyzwania proceduralne i finansowe dla przedsiębiorców.