MAKE SURE THAT YOUR DATA IS INSURED
/
Ewolucja projektu ustawy o KSC w ramach implementacji NIS2

Ewolucja projektu ustawy o KSC w ramach implementacji NIS2

W ostatnim czasie obserwujemy intensywny proces legislacyjny związany z wdrażaniem dyrektywy NIS2 do krajowych przepisów, co znalazło odzwierciedlenie w pięciu kolejnych projektach nowelizacji ustawy o KSC. Każda z kolejnych wersji wnosiła nowe rozwiązania i doprecyzowania, mające na celu dostosowanie regulacji do rosnących wyzwań w dziedzinie cyberbezpieczeństwa. Postaramy się po krótce wyjaśnić jak te zmiany postępowały. 

Pierwsza nowelizacja

Pierwszy projekt stanowił punkt wyjścia dla dalszych zmian. Jego głównym celem było stworzenie ram prawnych umożliwiających implementację dyrektywy NIS2 poprzez ustalenie podstawowych standardów ochrony przed zagrożeniami w cyberprzestrzeni. Choć tekst był dość ogólny, dał solidne fundamenty do kolejnych modyfikacji.

Druga wersja projektu

Druga wersja ustawy przyniosła bardziej szczegółowe rozwiązania. Projekt ten precyzował definicje kluczowych pojęć oraz rozszerzał zakres obowiązków nie tylko dla podmiotów prywatnych, ale również dla instytucji publicznych. Konsultacje społeczne i eksperckie pozwoliły wyłonić obszary wymagające dalszej interwencji ustawodawcy, co przyczyniło się do udoskonalenia regulacji. Pisaliśmy o tym w naszym artykule na jesieni: NIS2: Jakie zmiany w nowym projekcie ustawy?

Trzecia zmiana – wersja z listopada 2024

Trzecia zmiana, datowana na listopad 2024 roku, wprowadziła istotne modyfikacje w zakresie odpowiedzialności za incydenty cybernetyczne. W tej wersji pojawiły się mechanizmy umożliwiające lepszą współpracę między służbami odpowiedzialnymi za ochronę krytycznych infrastruktur. Ustawa zaczęła wyraźnie określać role i obowiązki zarówno w sektorze publicznym, jak i prywatnym, co stanowiło kluczowy krok w kierunku harmonizacji regulacji z wymogami unijnymi.

Czwarta nowelizacja

Kolejna, czwarta wersja projektu, skupiła się na wdrożeniu zaawansowanych środków nadzoru i monitoringu. Nowe przepisy nakładały na organy państwowe obowiązek systematycznych audytów oraz bieżącej kontroli, co miało zwiększyć skuteczność reagowania na potencjalne zagrożenia. Ustawodawca postawił na podniesienie kwalifikacji służb oraz wzmocnienie mechanizmów nadzoru, co spotkało się z szeroką aprobatą ekspertów z zakresu cyberbezpieczeństwa.

Piąta zmiana – restrukturyzacja nadzoru nad podmiotami publicznymi

Ostatnia wersja projektu, czyli piąta zmiana, skoncentrowała się na restrukturyzacji nadzoru nad podmiotami publicznymi. Wprowadzono szereg modyfikacji dotyczących organizacji nadzoru oraz operacyjnych środków kontroli, co ma przyczynić się do stworzenia spójnego systemu ochrony. Nowelizacja ta zawierała szczegółowe wytyczne dotyczące współpracy między instytucjami, podkreślając konieczność prewencji i szybkiej reakcji na zagrożenia.

Pracujący nad finalnym obrazem ustawy

Na przestrzeni kolejnych projektów widać, że ustawodawca nieustannie pracuje nad finalnym kształtem ustawy. Zmiany pojawiają się dynamicznie – w niektórych przypadkach różnice sięgają nawet 180% między kolejnymi wersjami. Pojawiają się zarówno rozluźnienia, jak i nowe wymagania dotyczące podmiotów, które dotąd nie były objęte regulacjami. Wraz z wprowadzaniem kolejnych modyfikacji rodzi się szereg pytań o praktyczne aspekty wdrażania nowych przepisów, a najważniejsze z nich dotyczą tempa, w jakim ustawa będzie wymagała dostosowania się od stron obowiązanych. Ta niepewność podkreśla dynamiczny charakter zmian i konieczność ciągłego monitorowania procesów legislacyjnych.

Komentarz eksperta – Marcin Ciesielski, CTO SPIREE

Marcin Ciesielski zwraca uwagę, że najważniejsze jest teraz nie czekać, a zacząć sprawdzać technologiczne szczegóły funkcjonowania swojego podmiotu. Ekspert podkreśla, że szczególnie w sektorach kluczowych i ważnych, które od początku projektowania nowej ustawy pozostają stabilne, przygotowania muszą ruszyć bezzwłocznie. Marcin zauważa, że jednostki publiczne dostosowują się do nowych wymogów zdecydowanie szybciej niż podmioty prywatne – co stwarza ryzyko dla polskich przedsiębiorstw, gdyż każdy z nich będzie miał jedynie rok na przeprowadzenie pierwszego audytu i wdrożenie nowych przepisów.

Podsumowanie

Analiza kolejnych projektów nowelizacji ukazuje, że zmiany są konsekwentne, a zakres regulacji systematycznie się rozszerza. Ustawodawca dąży do stworzenia kompleksowego systemu ochrony przed cyberzagrożeniami, odpowiadającego na wyzwania współczesnej rzeczywistości. Dynamiczność wprowadzanych modyfikacji i ogromne różnice między wersjami podkreślają, że finalny kształt ustawy nadal ewoluuje, co wymusza na wszystkich zainteresowanych stronach ciągłe monitorowanie sytuacji i przygotowywanie się na nowe wymogi.

Zachęcamy do śledzenia również kancelarii prawnej TKP: https://www.traple.pl/piata-wersja-projektu-now