Powrót 19.08.2025

Uznanie za dostawcę wysokiego ryzyka w świetle dyrektywy NIS2 i nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa

Jednym z kluczowych rozwiązań przewidzianych w projektowanej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest wprowadzenie nowej instytucji – dostawcy wysokiego ryzyka (high-risk vendor, HRV). Pierwsze odniesienia do tego pojęcia pojawiły się w dokumencie EU 5G Toolbox, opracowanym jako wspólna strategia państw członkowskich UE dla zapewnienia bezpieczeństwa sieci piątej generacji. W praktyce rozwiązanie to umożliwi Państwom Członkowskim UE eliminowanie z rynku sprzętu, oprogramowania i usług ICT, które mogą stanowić poważne zagrożenie dla cyberbezpieczeństwa, obronności i porządku publicznego.

Kto może zostać uznany za dostawcę wysokiego ryzyka?

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wprowadza definicję dostawcy wysokiego ryzyka oraz mechanizm jego formalnego uznania w drodze decyzji administracyjnej ministra właściwego ds. informatyzacji. Decyzja ta może zostać podjęta względem dostawcy sprzętu, oprogramowania lub usług ICT, jeśli jego działalność może stanowić zagrożenie dla:

  • bezpieczeństwa narodowego,
  • porządku publicznego,
  • zdrowia lub życia obywateli,
  • integralności systemów informacyjnych podmiotów kluczowych lub ważnych.

Ocena ryzyka będzie opierać się m.in. na pochodzeniu dostawcy, jego powiązaniach kapitałowych i właścicielskich, zgodności produktów z normami UE, historii incydentów czy przejrzystości procesów.

Podmioty objęte taką decyzją mogą zostać zobowiązane do:

  • zaprzestania świadczenia usług na rzecz określonych klientów (np. podmiotów kluczowych),
  • wycofania swoich produktów z obrotu,
  • poinformowania odbiorców o nałożonych ograniczeniach.

To oznacza, że przedsiębiorstwa funkcjonujące na styku technologii i infrastruktury krytycznej muszą liczyć się z możliwością formalnego uznania za dostawcę wysokiego ryzyka i koniecznością dostosowania działalności do wymogów administracyjnych.

Procedura uznania dostawcy za HRV

Zgodnie z projektem nowelizacji ustawy o krajowym systemie Cyberbezpieczeństwa, uznanie dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka będzie następowało w drodze decyzji ministra właściwego ds. informatyzacji, po zasięgnięciu opinii Kolegium ds. Krajowego Systemu Cyberbezpieczeństwa.

Do obowiązków Przewodniczącego Kolegium należało będzie powołanie zespołu opiniującego, którego zadaniem jest przygotowanie projektu opinii w sprawie uznania danego dostawcy za dostawcę wysokiego ryzyka. W skład zespołu wchodzić mają przedstawiciele członków Kolegium, wyznaczeni przez Przewodniczącego. Termin na wydanie opinii przez Kolegium ds. Krajowego Systemu Cyberbezpieczeństwa ma wynosić 3 miesiące od dnia wystąpienia przez ministra właściwego ds. informatyzacji o jej sporządzenie.

Do prac zespołu opiniującego może zostać zaproszony także przedstawiciel Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Ponadto w posiedzeniu Kolegium, podczas którego podejmowana jest ostateczna decyzja w sprawie opinii, może uczestniczyć Prezes lub Wiceprezes UOKiK.

Procedura opiniodawcza w ramach Kolegium do spraw Cyberbezpieczeństwa w postępowaniu ws. uznania za dostawców wysokiego ryzyka Źródło: gov.pl

Projektowana procedura uznania za dostawcę wysokiego ryzyka budzi liczne kontrowersje. Szczególne wątpliwości budzi ograniczenie możliwości uczestnictwa w postępowaniu przez organizacje społeczne i inne podmioty niż ten, w stosunku do którego ma zostać wydana decyzja, np. przez działających na prawach strony przedsiębiorców telekomunikacyjnych, znajdujących się w analogicznej sytuacji. Ustawodawca w istotny sposób ograniczył możliwość włączenia się do postępowania na prawach strony przez inne podmioty, wprowadzając rygorystyczne kryterium przychodowe. W obecnym brzmieniu projektu nowelizacji takie uprawnienie będzie przysługiwało wyłącznie największym przedsiębiorcom telekomunikacyjnym, którzy w poprzednim roku obrotowym osiągnęli przychody w wysokości co najmniej 20 000 – krotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłoszonego w komunikacie Prezesa GUS. Obecnie zatem taka możliwość przysługiwałaby wyłącznie przedsiębiorcy telekomunikacyjnemu, który osiągnął w ostatnim roku obrotowym przychody w wysokości bliskiej 165 mln złotych.

Schematy określania dostawcy wysokiego ryzyka

Źródło: gov.pl

Zakres i czas na wycofanie produktów, usług i procesów zagrażających bezpieczeństwu

Możliwe postępowanie nie będzie jednak odnosiło się do wszystkich produktów, usług i procesów ICT, lecz tych, które będą wykorzystywane przez:

  • podmioty kluczowe i podmioty ważne (z wyłączeniem jednak podsektora komunikacji elektronicznej),
  • podmioty finansowe, z wyłączeniem podmiotów określonych w art. 16 rozporządzenia 2022/2554 lub
  • przedsiębiorców komunikacji elektronicznej, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 milionów złotych.

Dostawca sprzętu lub oprogramowania Źródło: gov.pl

W przypadku uznania takiego przedsiębiorcy komunikacji elektronicznej za dostawcę wysokiego ryzyka, będzie on zobowiązany do wycofania w ciągu 4 lat od dnia ogłoszenia decyzji typów produktów ICT, rodzajów usług ICT, konkretnych procesów ICT wskazanych w decyzji i określone w wykazie kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług w załączniku nr 3 do ustawy KSC.

Projektowany przepis nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa spotkał się z krytyką środowiska przedsiębiorców telekomunikacyjnych. Zainteresowane podmioty w toku prowadzonych konsultacji projektu ustawy wskazywały, że wymagany termin, w którym ma dojść do wycofania urządzeń ICT, w stosunku do których wydana zostanie decyzja o uznaniu za dostawcę wysokiego ryzyka, jest krótszy niż funkcjonujące na rynku sprzętu telekomunikacyjnego okresy gwarancji udzielanej na takie urządzenia.

W przypadku produktów, usług lub procesów nabytych w ramach zamówień publicznych przed dniem ogłoszenia decyzji podmiot, w stosunku do którego ma zostać wydana decyzja o uznaniu za dostawcę wysokiego ryzyka, będzie uprawniony do  korzystania z tych produktów, usług lub procesów, nie dłużej niż 7 lat od dnia ogłoszenia decyzji w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”, a w przypadku produktów ICT, usług ICT lub procesów ICT wykorzystywanych do wykonywania funkcji krytycznych określonych w załączniku nr 3 do ustawy, nie dłużej niż 4 lat od dnia ogłoszenia decyzji.

Podsumowanie

Wprowadzenie instytucji dostawcy wysokiego ryzyka to jeden z najistotniejszych kroków w kierunku wzmocnienia odporności polskiej infrastruktury krytycznej. Przepisy te nie tylko wpisują się w unijne standardy wynikające z dyrektywy NIS2, ale także tworzą krajowy mechanizm ochrony przed zagrożeniami w łańcuchu dostaw.

Dla przedsiębiorstw działających w obszarze ICT oznacza to konieczność szczegółowego monitorowania źródeł i zgodności stosowanych rozwiązań, a dla dostawców, ryzyko administracyjnego wykluczenia z rynku w przypadku uznania ich za podmioty wysokiego ryzyka.