Nowelizacja przepisów o KSC idzie na rząd. Nadal nie wszystko jest ustalone

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, nad którą prace trwają szósty rok, został w czwartek, 4 września, przyjęty przez Stały Komitet Rady Ministrów w rządzie Donalda Tuska.

Nowelizacja KSC wyszła ze Stałego Komitetu Rady Ministrów. Co dalej? 

Fakt przyjęcia nowelizacji KSC potwierdził nam Marek Gieorgica, dyrektor biura komunikacji Ministerstwa Cyfryzacji, którym kieruje obecnie Krzysztof Gawkowski.

Decyzja SKRM sprawia, że przepisami może zająć się teraz Rada Ministrów. Jak się przy tym okazuje, nie wszystko zostało jeszcze ustalone. Do uzgodnienia pozostają sprawy kluczowe dla każdej legislacji, czyli finanse.

Czytaj więcej:

Nawigator prawny Poradnik

Wymogi NIS 2 – analiza ryzyka ICT. Implementacja nowych wymagań

Analiza ryzyka ICT oznacza ocenę zagr...

Pro

Przypomnijmy, że ustawa o KSC weszła w życie w 2018 r. Prace nad jej nowelizacją zaczęły się zaledwie rok później. Formalnym powodem nowelizacji jest dostosowanie przepisów do zmieniających się aktów prawnych obowiązujących w Unii Europejskiej. Ostatnio chodzi o dyrektywę o cyberbezpieczeństwie – tzw. NIS 2.

Od Donalda Trumpa do Lex Huawei 

W projektach przepisów przygotowanych najpierw przez rząd PiS (miały kilka wersji, ostatnia trafiła do Sejmu w lipcu 2023 r., a dwa miesiące później została wycofana, na chwilę przed wyborami parlamentarnymi), a teraz KO, najwięcej kuluarowych dyskusji i aktywności lobbingowej budzą zapisy o tzw. dostawcach wysokiego ryzyka (DWR). Chodzi o podmioty, które dostarczają infrastrukturę i oprogramowanie na potrzeby budowy sieci telekomunikacyjnych i systemów informatycznych.

Zapisy te zostały przygotowane za pierwszej kadencji prezydentury Donalda Trumpa w Stanach Zjednoczonych. To wtedy administracja prezydenta rozpoczęła otwartą wojnę o prymat technologiczny z Chinami i tamtejszymi koncernami (głównie Huawei), starając się wymóc na sojusznikach poparcie i decyzje. To dlatego o nowelizacji KSC mówi się czasem „lex Huawei”. 

Czytaj więcej

Telekomunikacja

Premier i wiceprezydent USA podpisali deklarację o sieciach 5G

Premier Mateusz Morawiecki i odwiedzający Polskę wiceprezydent Stanów Zjednoczonych Michael Pence...

Jednak formalnie przepisy nowelizacji KSC nie są wymierzone w konkretny podmiot. Dają jednak polskiemu rządowi narzędzia pozwalające wykluczyć z dostaw firmę uznaną za dostawcę wysokiego ryzyka.

Rząd nie przewiduje odszkodowań

Zgodnie z przepisami, operatorzy telekomunikacyjni, ale nie tylko oni, będą musieli wyzbyć się infrastruktury dostarczonej przez taki podmiot w ciągu kilku lat. Mimo tego z czasem sprawa ta przestała budzić emocje u operatorów telekomunikacyjnych. Pojawiły się w branży nawet głosy, że nowelizacja powinna zostać przyjęta jak najszybciej. 

Obowiązek wycofania typów produktów, usług i procesów ICT nie później niż 7 lat od ogłoszenia decyzji lub udostępnienia informacji o niej będą miały „podmioty kluczowe i ważne”. Natomiast określeni przedsiębiorcy telekomunikacyjni – do 4 lat, a usunąć muszą także produkty, usługi i procesy ujęte w wykazie kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług.