Zgodnie z obietnicą garść informacji o przewidywanych zmianach i planach wobec NIS2 i KSC. Ponadto pamiętajcie, że mówimy o zmianach w prawie, które dzieją się w czasie rzeczywistym i są to aktualne założenia:
Dłuższy czas na wdrożenie obowiązków: podmioty kluczowe i ważne mają mieć rok (zamiast 6 miesięcy). To poprawka sejmowej komisji ds. cyfryzacji, przyjęta jednomyślnie.
Nowe obowiązki dla sektorów kluczowych i ważnych. Projekt dotyczy m. in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę. Firmy z tych sektorów mają mieć „szereg nowych obowiązków” w cyberbezpieczeństwie.
System zarządzania bezpieczeństwem informacji (SZBI). Obowiązkowe ma być wdrożenie systemu zarządzania bezpieczeństwem informacji.
Bezpieczeństwo łańcucha dostaw ICT. Obowiązek zapewnienia bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych).
Raportowanie incydentów przez system s46. Podmioty kluczowe i ważne mają przekazywać informacje o incydentach za pomocą systemu s46.
Rozszerzone kompetencje ministra ds. informatyzacji. Minister ma zyskać nowe uprawnienia, m. in. możliwość wskazania dostawcy wysokiego ryzyka (DWR).
Procedura „dostawcy wysokiego ryzyka” (DWR). Decyzja ministra ma być podejmowana wg kryteriów technicznych i nietechnicznych. Ma się to dziać po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa.
Możliwość zaskarżenia decyzji DWR. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego.
Wycofanie sprzętu DWR. Sprzęt dostawcy wysokiego ryzyka ma być wycofany z systemów podmiotów kluczowych i ważnych w horyzoncie 4–7 lat.
Czas na kalendarium
Jeśli chodzi o kalendarium: obecna ustawa KSC jest z 2018 r., a termin wdrożenia NIS2 do prawa krajowego minął 18 października 2024 r. A jeśli chodzi o status prac legislacyjnych: projekt trafił do Sejmu na początku listopada 2025 r.; prace w komisji, a termin na sprawozdanie komisji to 20 stycznia.
