Przewidywana data zatwierdzenia przez polski rząd nowelizacji UoKSC to przełom roku 2025 i 2026 - najprawdopodobniej grudzień 2025 roku. Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa ma na celu transpozycję Dyrektywy NIS 2 do polskiego porządku prawnego. Ten krok kończy okres legislacyjnych opóźnień i uruchamia formalne obowiązki wynikające z nowego europejskiego standardu cyberbezpieczeństwa.
Dlaczego Polska spóźniła się z nowelizacją UoKSC?
Złożoność legislacyjna i konieczność koordynacji między różnymi podmiotami
Ustawa obejmuje kilkadziesiąt sektorów gospodarki, co wymagało skoordynowanych uzgodnień między komitetami Rad Ministrów, regulatorami i sektorem prywatnym. Proces był czasochłonny, ponieważ każda branża zgłaszała własne uwagi, a kompromis wymagał wielu rund negocjacji.
Warto dodać, że Ustawa jest procedowana w ramach ogólnej procedury legislacyjnej, bez trybu odrębnego, co oznacza:
- konieczność wpisu do wykazu prac,
- przeprowadzenie konsultacji publicznych i uzgodnień międzyresortowych,
- prace w kilku komitetach Rady Ministrów, a następnie w Stałym Komitecie RM.
Uwagi zgłoszone przez sektor prywatny w procesie konsultacji
Pierwsza wersja nowelizacji ustawy wzbudziła sporo zastrzeżeń przedsiębiorców z sektora prywatnego, którzy bali się nadregulacji ograniczających ich możliwości prowadzenia biznesu. Aby odpowiedzieć na te obawy, zorganizowane zostały konsultacje publiczne, w których wzięło udział niespełna sto podmiotów. Jak podaje Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, lista uwag i komentarzy do projektu nowelizacji ustawy to tysiące stron. Rozpatrzenie tak ogromnej liczby uwag zajęło dużo czasu.
Kwestia finansów i spory międzyresortowe
Podczas konsultacji pojawiły się postulaty, aby w ramach nowelizacji zmienić również ustawę o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa.
Minister infrastruktury wskazał na potrzebę transparentnej gradacji świadczeń i rozszerzenia ich na kolejne instytucje, a Ministerstwo Finansów nie zgodziło się na zwiększenie Funduszu Cyberbezpieczeństwa o 250 mln zł rocznie, mimo że kwota ta pokrywałaby jedynie połowę rocznych kosztów wynikających z oceny skutków regulacji. Brak zgody wymaga dalszych negocjacji, co opóźnia cały proces.
Dodatkowe czynniki opóźniające
- Konieczność utworzenia nowych jednostek w ramach rządu np. organu odpowiadającego za zarządzanie kryzysowe i incydenty wielkoskalowe.
- W administracji rządowej dąży się do maksymalnego wypracowania rozwiązań w drodze kompromisu, co jest dobre dla jakości prawa, ale wydłuża harmonogram - każda wersja projektu jest poprawiana w oparciu o kolejne uwagi.
- Istotną rolę odegrały również kwestie polityczne, w tym wybory prezydenckie i rekonstrukcja rządu.
Czy warto czekać w wdrożeniem wymogów na finalną akceptację nowelizacji?
Zdecydowanie nie.
Po pierwsze - 10 podstawowych wymogów nakładanych przez NIS 2 i nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa pozostaje bez zmian mimo kolejnych wersji projektów.
Po drugie - z naszego doświadczenia wdrożenie wymogów NIS 2 i nowelizacji UoKSC, to proces trwający około 9-12 miesięcy w zależności od dojrzałości organizacji pod kątem cyberbezpieczeństwa. Zwlekanie z podjęciem działań sprawia, że zmniejsza się margines czasowy na dostosowanie się przed rozpoczęciem obowiązywania kar.
Warto również zauważyć, że choć formalne kary przewidziane w polskiej nowelizacji będą stosowane dopiero po jej wejściu w życie, brak realnych działań w zakresie cyberbezpieczeństwa naraża organizację na: poważne straty w razie incydentu, odpowiedzialność wobec kontrahentów i klientów czy utratę reputacji.
W Polsce liczba podmiotów, które będą musiały dostosować się do NIS 2 to około 38 tysięcy. Zwlekanie z podjęciem działań będzie skutkowało ograniczonym wyborem partnerów do przeprowadzenia wdrożenia.
Jeśli nie chcesz czekać z dostosowaniem się do wymogów NIS 2 i nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, zachęcamy do umówienia konsultacji z naszymi ekspertami przy użyciu formularza kontaktowego.
