W dniu 12 lutego 2025 r. opublikowano piąty projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Projekt, datowany na 7 lutego 2025 r., stanowi kolejny krok w procesie wdrażania dyrektywy NIS 2 – kluczowej regulacji z zakresu cyberbezpieczeństwa na poziomie Unii Europejskiej.
Warto przypomnieć, iż dyrektywa NIS 2 zakłada znaczne rozszerzenie zakresu podmiotów objętych jej przepisami, tj. podmiotów kluczowych i ważnych, a także zaostrzenie wymagań stawianych tym podmiotom.
Nowy projekt nowelizacji UKSC różni się względem poprzedniego w obszarach:
- podmiotów publicznych oraz
- zasad stosowania środków nadzoru.
Projekt wprowadza podział podmiotów publicznych na najważniejsze oraz ważne. Do tej drugiej kategorii zaliczać się będzie m.in.: niebędące podmiotami kluczowymi samorządowe jednostki budżetowe i zakłady budżetowe, instytucje kultury oraz spółki prawa handlowego realizujące zadania o charakterze użyteczności publicznej przy wykorzystaniu systemów informacyjnych.
W stosunku do podmiotów publicznych-ważnych przewidziano wdrożenie uproszczonego systemu zarządzania bezpieczeństwem informacji, określonego w nowym załączniku nr 4, zamiast dotychczasowych, bardziej rozbudowanych środków zarządzania ryzykiem. Ograniczone zostały także obowiązki związane ze zgłaszaniem incydentów.
Istotne zmiany dotyczą także środków nadzoru. Nowelizacja przyznaje organowi adekwatnemu ds. cyberbezpieczeństwa kompetencje do samodzielnego wydawania decyzji o wstrzymaniu udzielonych koncesji lub pozwoleń na prowadzenie działalności. Nowe przepisy precyzują, iż stosowanie środków nadzoru nie może przekraczać 14 dni. Okres ten może być jednak przedłużany o kolejne 14-dniowe okresy do czasu usunięcia uchybień.
Przekazanie projektu do prac Stałego Komitetu Rady Ministrów świadczy o zaawansowanym etapie prac rządowych. Można spodziewać się dalszych, intensywnych prac, biorąc pod uwagę, iż termin implementacji dyrektywy NIS 2 minął 17 października 2024 r., a kwestie bezpieczeństwa są jednym z priorytetów polskiej prezydencji w Radzie UE.
Można oczekiwać, iż w niedługim czasie projekt zostanie skierowany do parlamentu. W związku z czym przedsiębiorstwa, które będą podlegały pod tę regulację, powinny już teraz zacząć przygotowania do spełnienia nowych wymagań.
