Prezydencki podpis dzieli Polaków od gigantycznych kar. Senat zlekceważył ostrzeżenia legislacyjne

Wszystko wskazuje na to, że rewolucja w krajowym systemie cyberbezpieczeństwa stanie się faktem. Senat, mimo licznych zastrzeżeń biura legislacyjnego i apeli przedsiębiorców, przyjął kontrowersyjną nowelizację ustawy bez żadnych poprawek. Teraz los przepisów, które drastycznie zwiększają liczbę podmiotów objętych nadzorem i wprowadzają drakońskie kary finansowe, leży w rękach prezydenta.

Prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) nabrały niespodziewanego tempa. Po latach przygotowań, rozpoczętych jeszcze przez poprzednią ekpię rządzącą, projekt błyskawicznie przeszedł przez parlament. Sejm uchwalił go 23 stycznia, a zaledwie kilka dni później, 28 stycznia, Senat zaakceptował nowe prawo w całości, odrzucając sugestie poprawek. Co ciekawe, ustawa zyskała poparcie nawet części senatorów opozycyjnego Prawa i Sprawiedliwości.

Decyzja senatorów budzi jednak poważne wątpliwości natury prawnej. Biuro legislacyjne Senatu wskazywało na szereg błędów, niespójności definicyjnych oraz nieprecyzyjnych odesłań, które mogą sprawić, że część przepisów będzie martwa lub nawet niekonstytucyjna. Eksperci sugerowali wręcz, że ze względu na skalę zmian, zamiast nowelizacji należało przygotować zupełnie nową ustawę.

Tysiące firm pod nadzorem. Kogo dotkną zmiany?

Nowe przepisy są wdrożeniem unijnej dyrektywy NIS2, która radykalnie poszerza krąg podmiotów odpowiedzialnych za cyfrowe bezpieczeństwo państwa. Liczba organizacji włączonych do systemu wzrośnie z obecnych 400 do aż 42 tysięcy.

Do tej pory obowiązki te dotyczyły głównie banków czy sektora energetycznego. Teraz do grupy podmiotów „kluczowych” i „ważnych” dołączą firmy z 18 sektorów gospodarki, w tym producenci żywności, firmy pocztowe, dostawcy wody oraz administracja publiczna.

Podmioty te będą musiały zainwestować w:

• Wdrożenie systemów zarządzania bezpieczeństwem informacji.

• Zabezpieczenie łańcuchów dostaw usług i produktów ICT.

• Regularne audyty i oceny ryzyka wystąpienia incydentów.

Koszty dostosowania się do nowych wymogów będą znaczące. Raport firmy EY szacuje, że same inwestycje w systemy IT mogą wynieść od kilkudziesięciu tysięcy złotych w przypadku małych firm, do milionów złotych dla korporacji, nie licząc wydatków na szkolenia personelu.

Kary idące w miliony, ale z odroczonym wyrokiem

Największe obawy przedsiębiorców budzi taryfikator kar za niedopełnienie obowiązków. Są one drakońskie:

• Dla podmiotów kluczowych: do 10 mln euro.

• Dla podmiotów ważnych: do 7 mln euro.

• Za zwłokę w wykonaniu nakazu organu nadzorczego: do 100 tys. zł za każdy dzień opóźnienia.

W skrajnych przypadkach, gdy zaniedbania doprowadzą do bezpośredniego zagrożenia dla bezpieczeństwa państwa lub życia ludzi, kara może sięgnąć nawet 100 mln zł.

Pewną ulgą dla biznesu jest poprawka przyjęta przez Sejm, która wprowadza dwuletni okres karencji. Kary finansowe będą mogły być nakładane dopiero po upływie 24 miesięcy od wejścia ustawy w życie. Eksperci, jak Dawid Maciejewski z Cyber360, oceniają to jako potrzebny „okres adaptacyjny”, choć zaznaczają, że nie rozwiązuje to systemowych problemów z konstrukcją kar w samej ustawie.

---

Co to oznacza dla Ciebie?

Zmiany w ustawie o KSC to nie tylko problem prezesów wielkich spółek. Ich skutki mogą odczuć także zwykli obywatele i mniejsi przedsiębiorcy:

• Wzrost cen usług: Koszty wdrożenia nowych zabezpieczeń i systemów IT firmy z pewnością przerzucą na klientów. Możemy spodziewać się podwyżek cen usług pocztowych, żywności czy opłat za media.

• Bezpieczniejsze dane: Z drugiej strony, Twoje dane osobowe i cyfrowe, przechowywane przez dostawców usług, powinny być lepiej chronione przed wyciekami i atakami hakerów.

• Nowe wymogi dla dostawców: Jeśli prowadzisz firmę B2B i współpracujesz z dużymi graczami (np. dostarczasz oprogramowanie do firmy energetycznej), możesz zostać zmuszony do podniesienia własnych standardów bezpieczeństwa, aby utrzymać kontrakty w ramach zabezpieczania łańcucha dostaw.