- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Nowelizacja KSC, czyli ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża postanowienia unijnej dyrektywy NIS2 nadchodzi wielkimi krokami. Przed nami etap legislacyjnych prac w Sejmie, ale już teraz wiele firm i instytucji śledzi z wypiekami najnowsze rozstrzygnięcia w kwestii ustawy. Głównym wątkiem dyskusji staje się wytypowanie sektorów działalności, z których podmioty zostaną uznane za kluczowe lub ważne. Wiele pytań i wątpliwości budzi także kwestia wprowadzenia definicji ‘dostawcy wysokiego ryzyka’ i właśnie na tym terminie chcielibyśmy skupić się w tym materiale.
Nowelizacja KSC wprowadza nowe pojęcie “dostawcy wysokiego ryzyka”. Jak argumentuje Ministerstwo Cyfryzacji, to działanie prewencyjne, które ma na celu lepszą ochronę cyberprzestrzeni w kluczowych obszarach funkcjonowania państwa. Resort dementuje także pogłoski mówiące o tym, że to rozwiązanie będzie wymierzone w dostawców sprzętu i usług ICT z konkretnych krajów. Warto dodać, że do tej pory w Polsce brakowało przepisów pozwalających na formalne wycofanie z użycia sprzętu lub oprogramowania, które mogłyby stanowić ryzyko dla bezpieczeństwa. Nowe przepisy wypełniają tę lukę, wpisując się w europejskie standardy ochrony cyberprzestrzeni.
Co tak dokładnie mówią proponowane przepisy? Na mocy przepisów konkretny producent sprzętu lub oprogramowania będzie mógł być uznany za tzw. dostawcę wysokiego ryzyka – czyli podmiot, którego produkty lub usługi mogą zagrażać bezpieczeństwu publicznemu. Minister cyfryzacji będzie mógł wydać decyzję wskazującą takiego dostawcę i określić, które produkty lub usługi ICT (czyli związane z technologiami informacyjno-komunikacyjnymi) powinny zostać wycofane z użytku w instytucjach kluczowych dla państwa.
Postępowanie w sprawie uznania za dostawcę wysokiego ryzyka może rozpocząć minister cyfryzacji – z własnej inicjatywy lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa. Kolegium opracuje opinię na temat potencjalnych zagrożeń związanych z danym dostawcą. W proces ten zaangażowani będą również przedstawiciele Urzędu Ochrony Konkurencji i Konsumentów oraz – jeśli będą chcieli – organizacje społeczne. Minister podejmie decyzję na podstawie twardych danych, takich jak wykryte podatności techniczne, incydenty cyberbezpieczeństwa czy analiza struktury właścicielskiej firmy. Jeśli uzna, że ryzyko jest realne – wyda decyzję obejmującą konkretne produkty lub usługi. Firma będzie mogła bronić swojego stanowiska, a w razie niekorzystnej decyzji – odwołać się do sądu administracyjnego.
Jak podkreśla resort, decyzja zostanie poprzedzona szczegółową analizą, która obejmie m.in.:
poziom zagrożenia dla bezpieczeństwa państwa,
powiązania właścicielskie i strukturalne firmy,
wcześniejsze incydenty cyberbezpieczeństwa,
liczbę i charakter wykrytych podatności,
posiadane certyfikaty i standardy bezpieczeństwa,
rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa.
Każda firma objęta postępowaniem będzie mogła przedstawić swoje argumenty i dowody, a decyzja – jeśli zapadnie – obejmie tylko wskazane produkty lub usługi, a nie całą działalność przedsiębiorstwa. Co ważne, decyzję będzie można zaskarżyć do sądu administracyjnego.
Obowiązek dostosowania się do decyzji o wycofaniu sprzętu lub oprogramowania będzie dotyczył tzw. podmiotów kluczowych i ważnych – czyli firm i instytucji działających m.in. w sektorach takich jak energetyka, bankowość, zdrowie czy dostarczanie wody. Firmy korzystające z rozwiązań dostawcy wysokiego ryzyka będą miały obowiązek ich stopniowego usunięcia – najczęściej w ciągu 7 lat, a w przypadku najbardziej wrażliwych systemów – w ciągu 4 lat. W telekomunikacji obowiązek ten obejmie przedsiębiorstwa, których roczny przychód za poprzedni rok przekroczy 10 mln zł.
Jak uzasadnia resort cyfryzacji, 7 lat to wystarczająco dużo czasu, aby zaplanować wymianę sprzętu czy oprogramowania, a cały proces nie wpłynął na zakłócenie ciągłości funkcjonowania danego podmiotu. Istotne są także względy finansowe – kilka lat na wycofanie produktu pozwoli na rozłożenie kosztów w czasie. Co istotne, do momentu całkowitego wycofania urządzeń będzie można z nich korzystać – modernizować je, naprawiać i aktualizować oprogramowanie, o ile nie zwiększa to ryzyka.
Projekt przewiduje kary za niedostosowanie się do decyzji i nie wycofanie sprzętu w terminie. W przypadku podmiotów kluczowych kara wyniesie od 20 tys. zł, a w przypadku podmiotów ważnych – od 15 tys. zł. Ale uwaga! W przypadku podmiotów, w których niewycofanie sprzętu spowoduje zagrożenie bezpieczeństwa lub szkody majątkowe, kara może sięgnąć nawet 100 milionów złotych!
Rząd przyjął projekt nowelizacji KSC 21 października 2025 roku. Teraz dokument trafi do parlamentu. Ustawa zacznie obowiązywać miesiąc po ogłoszeniu w Dzienniku Ustaw.