Nowelizacja Ustawy o KSC nabiera tempa. Rząd przyjął projekt – co to oznacza dla Twojej firmy?

To kamień milowy w długim i wyczekiwanym procesie dostosowywania Polski do nowych unijnych wymogów cyberbezpieczeństwa. Po miesiącach prac i konsultacji, Rada Ministrów w końcu przyjęła projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Choć do wejścia w życie nowych przepisów droga jeszcze daleka, jest to wyraźny sygnał dla rynku: czas na przygotowania właśnie się zaczął.

Dla firm z branży cybersecurity, a przede wszystkim dla ich klientów, to kluczowa informacja. Proces legislacyjny wkracza w decydującą fazę, a ostateczny kształt ustawy może zostać wykuty w ciągu najbliższych miesięcy.

Dla firm z branży cybersecurity, a przede wszystkim dla ich klientów, to kluczowa informacja. Proces legislacyjny wkracza w decydującą fazę, a ostateczny kształt ustawy może zostać wykuty w ciągu najbliższych miesięcy.

Jaki jest obecny status ustawy?

Warto podkreślić: ustawa nie została jeszcze uchwalona. Projekt przyjęty przez Rząd trafia teraz do Sejmu, gdzie będzie procedowany przez posłów, a następnie trafi do Senatu i do podpisu Prezydenta. Proces ten może potrwać, jednak kluczowy etap rządowy został zakończony.

Przypomnijmy, że głównym celem nowelizacji jest wdrożenie do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555, znanej szerzej jako dyrektywa NIS2. Termin na jej implementację minął ponad rok temu – 17 października 2024 roku, co stawia Polskę w gronie państw opóźnionych i zagrożonych karami ze strony Unii Europejskiej. Ten fakt z pewnością będzie motywował parlamentarzystów do przyspieszenia prac.

Czego możemy spodziewać się w finalnej ustawie? Główne kierunki zmian

Chociaż projekt może jeszcze ulec zmianom w parlamencie, jego trzon, oparty na dyrektywie NIS2, najprawdopodobniej pozostanie nienaruszony. Oznacza to rewolucję dla wielu polskich przedsiębiorstw. Najważniejsze, projektowane zmiany to:

• Znaczne rozszerzenie zakresu podmiotów objętych regulacjami: Zamiast dotychczasowych "operatorów usług kluczowych", ustawa wprowadzi dwie nowe kategorie: podmioty kluczowe i podmioty ważne. Co istotne, nowe przepisy obejmą całe sektory, które do tej pory nie podlegały pod KSC, takie jak m.in. produkcja żywności, usługi pocztowe i kurierskie, gospodarka odpadami czy produkcja wyrobów medycznych.

• Większa odpowiedzialność zarządów: Projekt zakłada, że to członkowie organów zarządzających będą osobiście odpowiedzialni za zatwierdzanie i nadzorowanie środków zarządzania ryzykiem w cyberbezpieczeństwie. Zaniedbania mogą prowadzić do dotkliwych kar finansowych.

• Rygorystyczne obowiązki w zakresie zarządzania ryzykiem: Firmy będą zobowiązane do wdrożenia konkretnych polityk i procedur, m.in. analizy ryzyka, planów ciągłości działania, bezpieczeństwa łańcucha dostaw i regularnych szkoleń dla pracowników.

• Usprawnione raportowanie incydentów: Nowe przepisy skrócą czas na zgłaszanie poważnych incydentów do odpowiednich zespołów CSIRT.