W ubiegły piątek (6 czerwca) opublikowano szóstą wersję projektu zmiany ustawy o krajowym systemie cyberbezpieczeństwa (datowaną na 16 kwietnia 2025 r.). To kolejny etap dostosowywania polskiego prawa do dyrektywy NIS2. W porównaniu z projektem z 7 lutego nie wprowadza ona spektakularnych zmian, ale przynosi kilka ważnych korekt i doprecyzowań, które mogą mieć realne znaczenie dla podmiotów zarówno publicznych, jak i prywatnych.

• Z obszaru identyfikacji i danych osobowych, na potrzeby wykazu podmiotów kluczowych i podmiotów ważnych wprowadzono możliwość posługiwania się europejskimi identyfikatorami elektronicznymi zamiast PESEL. Ograniczony został także dostęp do niektórych danych zawartych w systemie teleinformatycznym do ministra właściwego ds. informatyzacji i wskazanych jednostek.

• Nowe przepisy rozszerzają współpracę CSIRT z Narodowym Bankiem Polskim i Ministrem Spraw Zagranicznych. Wprowadzono także wymóg niekaralności dla osób wykonujących zadania w CSIRT GOV/NASK/MON.

• Doprecyzowaniu uległy niektóre aspekty procedury administracyjnej. W nowym projekcie przewidziano obowiązkowe uzasadnienie odmowy wykreślenia podmiotu kluczowego lub ważnego z wykazu, jeżeli – wbrew wnioskowi tego podmiotu – organ uzna, że nadal spełnia on przesłanki uznania za podmiot kluczowy lub ważny. Bardziej szczegółowo opisane zostały także zasady składania wniosków o wpis, zmianę wpisu albo o wykreślenie z wykazu.

• Nowością jest wprowadzenie systemu wsparcia finansowego – minister właściwy do spraw informatyzacji ma być odpowiedzialny za dofinansowywanie działań służących rozwojowi cyberbezpieczeństwa, w obszarach m.in. edukacji, certyfikacji, promocji dobrych praktyk. To istotne novum, a nowe przepisy (art. 45a-45c) dają postawę prawną do realnego wsparcia transformacji cyberbezpieczeństwa w praktyce – zarówno dla podmiotów publicznych, jak i prywatnych. Zdecydowanie warto obserwować ten wątek.

• Tym razem obyło się bez zmian systemowych w obszarze sankcji i odpowiedzialności. Doprecyzowane zostały zasady wymiaru kar pieniężnych przy przekształceniach podmiotów. Maksymalne limity sankcji pozostały niezmienione.

 
Projekt będzie teraz rozpatrywany przez Stały Komitet Rady Ministrów.
 
Chociaż termin implementacji NIS2 upłynął w październiku 2024 r. opóźnienia i brak finalnego brzmienia ustawy mogą oznaczać, że znowelizowana ustawa o KSC wejdzie w życie dopiero w drugiej połowie 2025 r.
Proces legislacyjny toczy się zatem mozolnie, ale konsekwentnie. To dobry moment, żeby przyjrzeć się wymaganiom z obszaru cyberbezpieczeństwa z praktycznej perspektywy i zacząć przygotowania – zanim zmiany staną się faktem. Jeśli chcesz porozmawiać o wpływie NIS2/KSC na Twoją organizację, zapraszamy do kontaktu.
 
Autorka: Aleksandra Kubiś – radca prawny w SKP Ślusarek Kubiak Pieczyk.