Po blisko siedmiu latach burzliwych prac, nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) stała się faktem.
Prezydent Karol Nawrocki złożył pod nią podpis, oficjalnie implementując do polskiego prawa unijną dyrektywę NIS 2. Zrobił to jednak z ogromnymi zastrzeżeniami, natychmiast kierując nowe przepisy do Trybunału Konstytucyjnego. Dla polskiego biznesu i dostawców technologii to początek nowych problemów.
Ustawa o KSC to jeden z najważniejszych i najbardziej kontrowersyjnych aktów prawnych w historii polskiej cyfryzacji. Jej głównym celem jest podniesienie odporności państwa na ataki w cyberprzestrzeni, jednak narzędzia, jakie daje ona urzędnikom, od lat budziły popłoch w sektorze prywatnym.
Potężne rozszerzenie i bat na Dostawców Wysokiego Ryzyka (DWR)
Podpisana nowelizacja drastycznie poszerza listę podmiotów, które państwo uznaje za „kluczowe i ważne”. od dzisiaj rygorystycznym wymogom cyberbezpieczeństwa (i kontrolom) będą podlegać firmy z aż 18 branż, w tym z sektora przestrzeni kosmicznej, poczty, produkcji żywności czy gospodarki ściekowej. W ramach ustawy powstaną dla nich dedykowane Zespoły Reagowania na Incydenty (CSIRT), a Państwowy Instytut Badawczy NASK otrzyma dodatkowe dofinansowanie.
Dla rynku technologicznego absolutnie najważniejsze są jednak przepisy o tzw. Dostawcach Wysokiego Ryzyka (DWR). Nowa ustawa daje Ministerstwu Cyfryzacji potężne narzędzie: możliwość oficjalnego zidentyfikowania dostawcy sprzętu lub systemu jako „niebezpiecznego” dla państwa. W praktyce oznacza to bezwzględny zakaz kupowania nowych rozwiązań od takiego producenta i obowiązek usunięcia już posiadanych urządzeń z infrastruktury publicznej i krytycznej.
Podpis z odesłaniem. Czego obawia się prezydent?
Mimo złożenia podpisu, prezydent Karol Nawrocki skierował ustawę do Trybunału Konstytucyjnego, punktując jej największe wady, o których branża IT alarmowała od lat. Kancelaria Prezydenta zwraca uwagę na to, że:
- Brak odszkodowań: państwo może nakazać przedsiębiorcom wymianę drogiego sprzętu i systemu (w ramach decyzji o DWR), nie oferując w zamian złamanego grosza rekompensaty i nie zabezpieczając na to środków w budżecie.
- Nadregulacja: objęcie ustawą aż 18 branż to „samodzielna inicjatywa rządu”, która wykracza poza to, czego realnie wymagała od nas Unia Europejska w dyrektywie NIS 2.
- Drakońskie kary: system kar administracyjnych za niespełnienie wymagań jest niezwykle restrykcyjny, a tryb odwoławczy nie daje firmom wystarczających gwarancji ochrony sądowej.
Jeśli Trybunał Konstytucyjny nie zablokuje przepisów w trybie zabezpieczenia, znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa wejdzie w życie w ciągu miesiąca od jej ogłoszenia w Dzienniku Ustaw. Dla wielu dostawców infrastruktury IT i operatorów telekomunikacyjnych w Polsce włączył się właśnie poważny stoper.
Jeśli artykuł Koniec 7-letniej sagi. Prezydent podpisuje ustawę o KSC, ale wysyła ją do Trybunału. Trzęsienie ziemi dla branży IT nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
