KSC zostało uchwalone i co z dostawcami wysokiego ryzyka? Propozycja Komisji Europejskiej na ujednolicenie zasad uznania za dostawcę wysokiego ryzyka w UE
Komisja Europejska przedstawiła nowy pakiet cyberbezpieczeństwa
20 stycznia 2026 r. Komisja Europejska opublikowała propozycję nowego rozporządzenia, tzw. Cybersecurity Act 2.0 (CSA2), którego celem jest wzmocnienie odporności UE na zagrożenia cyfrowe oraz uporządkowanie i ujednolicenie zasad obowiązujących na jednolitym rynku cyfrowym. Kluczowym elementem pakietu jest projekt nowelizacji unijnych przepisów o cyberbezpieczeństwie, który ma ograniczyć fragmentację regulacyjną i zwiększyć skuteczność działań w skali całej Unii.
Wzmocnienie bezpieczeństwa łańcuchów dostaw ICT
Proponowane zmiany koncentrują się na wzmocnieniu bezpieczeństwa łańcuchów dostaw ICT, w tym poprzez rozszerzenie i ujednolicenie zasad dotyczących dostawców wysokiego ryzyka. Komisja Europejska zmierza do tego, aby regulacje w tym zakresie miały charakter bardziej obowiązkowy i spójny w całej UE, co ma zakończyć krajowe spory interpretacyjne i zapewnić równe warunki działania na rynku. Projekt Komisji Europejskiej zakłada, że to Komisja Europejska a nie poszczególne kraje, będzie określać, którzy dostawcy stanowią wysokie ryzyko, co ma zapewnić spójność w całej Unii. Uznanie za dostawcę wysokiego ryzyka będzie zatem regulowane już na poziomie unijnym.
Zakres sektorowy nowych regulacji
Nowelizacja obejmie łącznie 18 kluczowych sektorów, w tym: operatorzy sieci komórkowych, systemy wykrywania, pojazdy autonomiczne, elektrownie i magazyny energii, wodociągi, drony i systemy antydronowe, usługi medyczne, produkcja półprzewodników czy usługi przetwarzania w chmurze.
Dostawcy wysokiego ryzyka
Komisja Europejska proponuje możliwość wykluczenia firmy spoza UE lub należącej do podmiotów spoza UE z rynku ICT. Projekt rozporządzenia Komisji Europejskiej zakłada, że operatorzy sieci komórkowych w okresie przejściowym dostaną maksymalnie 36 miesięcy na usunięcie kluczowych komponentów ICT pochodzących od dostawców uznanych za dostawców wysokiego ryzyka.
Dla porównania, podpisana przez Prezydenta RP Karola Nawrockiego 19 lutego 2026 r. nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa zakłada co do zasady czteroletni termin na takie działania, przez przedsiębiorców komunikacji elektronicznej, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 milionów złotych.
W przypadku produktów, usług lub procesów nabytych w ramach zamówień publicznych przed dniem ogłoszenia decyzji podmiot, w stosunku do którego ma zostać wydana decyzja o uznaniu za dostawcę wysokiego ryzyka, będzie uprawniony do korzystania z tych produktów, usług lub procesów, nie dłużej niż 7 lat od dnia ogłoszenia decyzji w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”, a w przypadku produktów ICT, usług ICT lub procesów ICT wykorzystywanych do wykonywania funkcji krytycznych określonych w załączniku nr 3 do ustawy, nie dłużej niż 4 lat od dnia ogłoszenia decyzji.
Rola ENISA
Istotną rolę w nowym modelu ma odgrywać Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), której kompetencje zostaną wzmocnione, zwłaszcza w zakresie wspierania państw członkowskich w zarządzaniu ryzykami cybernetycznymi oraz reagowaniu na incydenty.
Źródło: https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act