Powrót 21.07.2025

Kolejny projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, jest coraz bliżej uchwalenia. Szósta wersja projektu – opublikowana 6 czerwca 2025 r. – została przekazana do Stałego Komitetu Rady Ministrów. Choć sam dokument nie wnosi rewolucyjnych zmian względem wersji z lutego, to dla operatorów telekomunikacyjnych sygnał, że czas przygotowań do wdrożenia rozwiązań z zakresu Cyberbezpieczeństwa powoli się kończy.

Branża telekomunikacyjna a nowelizacja ustawy

Projekt jasno wskazuje, że dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej, w zależności od wielkości prowadzonego przedsiębiorstwa, będą traktowani jako podmioty kluczowe lub ważne. W praktyce oznacza to nie tylko podleganie pod reżim nowelizowanej ustawy, ale też obowiązek wdrożenia szerokiego katalogu środków organizacyjnych i technicznych, na poziomie, który często wykracza poza dotychczasowe standardy branżowe.

Operatorzy muszą liczyć się m.in. z:

  • obowiązkowym systemem zarządzania ryzykiem i planami ciągłości działania,
  • regularnymi audytami (dla podmiotów kluczowych – na własny koszt, co 3 lata, jest to zmiana z czerwcowej edycji projektu, w której zredukowano częstotliwość obowiązkowych audytów zgodności do jednego co trzy lata i ograniczono je wyłącznie do podmiotów kluczowych),
  • obowiązkiem raportowania incydentów w krótkim terminie,
  • monitorowaniem łańcuchów dostaw i podwykonawców (szczególnie w kontekście infrastruktury 5G).

Co zmienia szósta wersja projektu nowelizacji ustawy o KSC?

Najnowszy już, szósty projekt nowelizacji ustawy o KSC, tak jak wspomniano wcześniej, wprowadza niewielkie zmiany w stosunku do poprzedniej wersji, a są nimi między innymi:

  • Do współpracy z CSIRT włączono Narodowy Bank Polski i Ministra Spraw Zagranicznych. Wprowadzono wymóg niekaralności dla osób realizujących zadania w CSIRT GOV, NASK i MON.
  • Obowiązkowe uzasadnienie organu odmowy wykreślenia podmiotu kluczowego lub ważnego z wykazu. Doprecyzowano też zasady składania i aktualizacji wniosków.
  • Przewidziano system wsparcia finansowego dla działań z zakresu cyberbezpieczeństwa – m.in. szkoleń, certyfikacji i promocji dobrych praktyk (jako pomoc de minimis dla podmiotów prywatnych).
  • Maksymalne kary w obszarze sankcji i odpowiedzialności pozostają bez zmian, ale doprecyzowano zasady ich stosowania przy przekształceniach.

Polska wciąż nie wdrożyła przepisów dyrektywy NIS2, a opóźnienie wynika z szerokiego zakresu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – projekt obejmuje kilkadziesiąt sektorów i wymaga uzgodnień z wieloma resortami.

Mimo braku krajowego harmonogramu firmy nie mogą pozwolić sobie na bierność i powinny jak najszybciej przeanalizować swoje procesy pod kątem zgodności z dyrektywą NIS2, przeprowadzić analizę luk, zaktualizować plany reagowania na incydenty oraz zadbać o przeszkolenie zespołów technicznych i kadry zarządzającej. W praktyce pierwszy możliwy termin wejścia w życie przepisów krajowych to przełom trzeciego i czwartego kwartału 2025 r., jednak operatorzy telekomunikacyjni przygotowania powinni rozpocząć się już teraz, na podstawie dyrektywy NIS2 i najnowszej wersji projektu ustawy – traktowaną jako punkt odniesienia, choć wciąż zmienny.