Choć tempo procedowania było szybkie, a większość poprawek miała charakter techniczny i redakcyjny, nie zabrakło sporów merytorycznych oraz licznych sygnałów od przedsiębiorców oraz ekspertów, że niektóre rozwiązania mogą rodzić poważne i niedobre konsekwencje. Ostatecznie komisja rozpatrzyła 74 zmiany, z czego jedną, należącą do kluczowych z punktu widzenia przedsiębiorców, zdecydowano się zawiesić. Prace legislacyjne mają być kontynuowane w styczniu.

Dyrektywa jest, ustawy nie ma

Projekt nowelizacji ma wdrożyć do polskiego porządku prawnego dyrektywę NIS2, unijną regulację wzmacniającą poziom cyberbezpieczeństwa w państwach członkowskich UE. Drogą do tego ma być ujednolicenie wymogów nakładanych na podmioty publiczne i prywatne świadczące kluczowe usługi. KSC rozszerza jednak zakres sektorów objętych obowiązkami w porównaniu do samej dyrektywy NIS2, wprowadzając jednocześnie bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem, zgłaszania incydentów oraz odpowiedzialności kadry zarządzającej. Zakłada także znaczące podniesienie maksymalnych kar finansowych za naruszenie przepisów, co ma motywować do inwestycji w cyberbezpieczeństwo. Implementacja dyrektywy NIS2 pozostawiona jest państwom członkowskim, które mogą doprecyzować część rozwiązań na poziomie krajowym, jednak muszą zachować zgodność z jej podstawowymi założeniami. W Polsce to ostatnie wzbudza niemałe kontrowersje.

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa znajduje się w Sejmie od początku grudnia. Jak przypominano podczas posiedzenia, jest on procedowany już od kilku lat. Po pierwszym czytaniu dokument został skierowany do komisji, gdzie 16 grudnia, odbyła się długa dyskusja z udziałem przedstawicieli rządu, posłów oraz organizacji przedsiębiorców i ekspertów.

Według eksperta Pracodawców RP Pawła Wajdy z Uniwersytetu Warszawskiego zapisy stanowiące niejako uzupełnienie dyrektywy NIS2 mają charakter przepisów technicznych i muszą zostać poddane procedurze notyfikacji w Komisji Europejskiej. Wprowadzenie i stosowanie nienotyfikowanych przepisów otworzy drogę podmiotom dotkniętym decyzjami do dochodzenia roszczeń odszkodowawczych od Skarbu Państwa.

DWR anno domini 2026

Podczas posiedzenia 16 grudnia Paweł Olszewski, wiceminister cyfryzacji, zadeklarował między innymi poparcie dla zapisanego w projekcie uregulowania kwestii dostawcy wysokiego ryzyka (DWR). Instytucja ta ma umożliwić państwu identyfikację i ograniczenie stosowania produktów oraz usług ICT, które mogą stanowić zagrożenie dla bezpieczeństwa publicznego lub podstawowych interesów bezpieczeństwa państwa. Ocena ryzyka ma obejmować nie tylko aspekty techniczne, takie jak charakter sprzętu, oprogramowania czy świadczonych usług, ale również uwarunkowania organizacyjne, prawne i polityczne, w tym powiązania kapitałowe dostawcy. Decyzja o uznaniu danego podmiotu lub jego grupy kapitałowej za dostawcę wysokiego ryzyka może skutkować ograniczeniami lub zakazami stosowania jego rozwiązań w kluczowych elementach infrastruktury. Wielu przedsiębiorców i ekspertów wskazuje, że przy obecnych zapisach będzie to miało daleko idące i bardzo kosztowne skutki, dla korzystających z ich produktów i usług.

To właśnie ten obszar, uznawany za najtrudniejszy i najbardziej wrażliwy, ma zostać omówiony dopiero po nowym roku, choć wcześniej Ministerstwo Cyfryzacji sygnalizowało gotowość do zajęcia się nim na obecnym etapie prac. Ta zapowiedź wywołała wyraźne niezadowolenie części organizacji branżowych, które zwracały uwagę zarówno na zakres podmiotów objętych ustawą, jak i potencjalne skutki regulacji dla małych i średnich firm.

Zdaniem prof. Artura Nowak-Fara, eksperta Polskiego Towarzystwa Gospodarczego, zasady uznawania dostawców za DWR powinny być spójne z normami obowiązującymi w całym obszarze gospodarczym UE, a regulacja powinna sprzyjać dywersyfikacji dostawców, a nie prowadzić do „monokultury technologicznej”.

Wątki te powracały również podczas posiedzenia 17 grudnia, choć tym razem komisja skupiła się na konkretnych poprawkach do projektu.

Wątpliwości i poprawki

Na początku obrad doszło do sporu co do ich przebiegu. Przewodniczący komisji Bartłomiej Pejo (Klub Poselski Konfederacja) złożył wniosek o przeprowadzenie wysłuchania publicznego, argumentując, że skala zmian i liczba zainteresowanych środowisk uzasadniają taką formę debaty. Wniosek poparli posłowie PiS i Konfederacji. Przeciwnego zdania byli przedstawiciele Koalicji Obywatelskiej oraz Polski 2050, którzy wskazywali, że obszerna dyskusja nad projektem miała miejsce dzień wcześniej i nie ma potrzeby jej powtarzania. W głosowaniu wniosek został odrzucony stosunkiem głosów 6 do 9.

Piotr Konieczny reprezentujący IAB Polska (Związek Pracodawców Branży Internetowej) zakwestionował definicję dostawcy sieci dostarczania treści, wskazując, że w zaproponowanym brzmieniu mogłaby ona obejmować wszystkich użytkowników przekazujących dane do infrastruktury serwerowej, co, jego zdaniem, pozostaje w sprzeczności z dyrektywą NIS2.

Według prof. Macieja Rogalskiego w projekcie brakuje pogłębionej analizy skutków finansowych dla przedsiębiorców prywatnych spoza administracji publicznej. Jego zdaniem skala i głębokość zmian sugerują, że w zasadzie ustawa powinna zostać stworzona od nowa, a nie nowelizowana.

Na problemy Q&A

Do zarzutów odniósł się wiceminister Olszewski. Zaprzeczył on, jakoby projekt zawierał niezgodne z dyrektywą definicje, jednocześnie zapowiadając przygotowanie oficjalnego zestawu pytań i odpowiedzi. Jak podkreślił, dokument Q&A ma rozwiać wszystkie wątpliwości interpretacyjne pojawiające się po stronie rynku i administracji, co w ocenie resortu powinno ułatwić stosowanie nowych przepisów.

Kolejne uwagi zgłosił Tomasz Proć z Polskiej Izby Komunikacji Elektronicznej (PIKE), który zwrócił uwagę na pojęcie „niezależnych systemów informacyjnych”. Jego zdaniem brak precyzji w tym zakresie może prowadzić do rozbieżnych interpretacji, szczególnie w dużych grupach kapitałowych. Tomasz Proć postulował doprecyzowanie, że chodzi wyłącznie o systemy wykorzystywane do świadczenia usług wspólnie z podmiotami partnerskimi lub powiązanymi. Jak zaznaczył, różnica ta ma ogromne znaczenie, decyduje bowiem o tym, czy do zakresu regulacji wliczane będą np. systemy CRM lub centra usług wspólnych funkcjonujące w ramach grup.

Przedstawiciel PIKE poruszył także kwestię progów, od których przedsiębiorcy komunikacji elektronicznej uznawani są za podmioty ważne lub kluczowe. Wskazał na zapis przewidujący wyjątek dla firm, które formalnie są małe, lecz w ramach grupy kapitałowej osiągają status średnich. Zdaniem Tomasza Procia ustawa powinna zachować spójność i umożliwiać takim podmiotom korzystanie z przewidzianych wyjątków, zamiast wprowadzać wobec nich nowe obowiązki. Postulat ten poparli zarówno Piotr Konieczny, jak i Kinga Pawłowska-Nojszewska z Krajowej Izby Komunikacji Ethernetowej, zwracając uwagę na problem mechanicznego doliczania podmiotów w grupach kapitałowych.

Najwięcej emocji wywołała jednak poprawka dotycząca terminu realizacji obowiązków przez podmioty ważne i kluczowe. Projekt zakładał sześciomiesięczny okres na wdrożenie nowych wymogów. Aleksandra Musielak z Konfederacji Lewiatan zaproponowała wydłużenie tego terminu do 12 miesięcy, argumentując, że sygnały płynące z rynku jasno pokazują, iż pół roku to czas niewystarczający.

Jak podkreślała, przedsiębiorcy będą zmuszeni działać pod ogromną presją, przy jednoczesnym ryzyku bardzo wysokich kar finansowych, znacznie wyższych niż te przewidziane w obecnych przepisach. Zwróciła też uwagę, że w innych państwach UE terminy wdrożeniowe są dłuższe; w Belgii sięgają 18 miesięcy, a w Czechach roku. Do tych argumentów przychyliła się Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. Jej wiceprezes Piotr Podgórski mówił wprost o „przerażeniu” biznesu i apelował o co najmniej dwukrotne wydłużenie vacatio legis.

Zdaniem prof. Marka Chmaja projekt w obecnym kształcie zawiera znacznie szerszy katalog sektorów niż minimalne wymagania dyrektywy NIS2, a drastyczne kary administracyjne mogą doprowadzić do paraliżu finansowego mniejszych podmiotów na rynku. Dlatego postulował również wprowadzenie okresu karencji, w którym firmy byłyby instruowane, a nie karane za błędy we wdrożeniach.

Ministerstwo ma inne zdanie

W odpowiedzi na te głosy wiceminister Paweł Olszewski zaznaczył, że „resort nie podziela oceny co do skali zagrożeń”, przypominając o szerokich konsultacjach prowadzonych na wcześniejszych etapach prac. Jednocześnie zadeklarował on gotowość rządu do zmiany terminu wdrożenia przepisów, co spotkało się z pozytywnym przyjęciem ze strony przedstawicieli przedsiębiorców. Jak poinformował wiceszef resortu cyfryzacji, stosowna poprawka została przygotowana, jednak zostanie formalnie zgłoszona na kolejnym etapie procesu legislacyjnego. Komisja zdecydowała się zawiesić rozpatrywanie tej zmiany do czasu przedstawienia rządowej propozycji.

Podczas posiedzenia powrócił także temat wykonalności decyzji administracyjnych skutkujących zamknięciem działalności podmiotu. Tomasz Proć zwracał uwagę, że decyzje te mają być natychmiast wykonalne, mimo możliwości odwołania się do sądu, którego rozstrzygnięcie może zapaść po wielu miesiącach, a nawet latach. Paweł Olszewski odpowiedział jednak jednoznacznie, że procedura ta wynika wprost z dyrektywy NIS2 i nie ma pola na jej modyfikację na poziomie krajowym.

Kolejne posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii zaplanowane jest na 8 stycznia 2026.

MP
ikona lupy />
Materiały prasowe
Materiał z serwisu partnerskiego Cyfrowa Gospodarka