Reklama

KSC: rok zamiast pół roku. Najpierw ponadpartyjny kompromis, potem spór o dostawcę wysokiego ryzyka

Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii przyjęła na czwartkowym posiedzeniu 8 stycznia poprawkę, która daje firmom więcej czasu na kosztowne wdrożenia wymogów cyberbezpieczeństwa. Zapalnym fragmentem nowelizacji KSC okazał się dostawca wysokiego ryzyka. Padły zarzuty o przewlekanie prac; dyskusję kilkukrotnie zamykano wnioskami formalnymi. Pojawił się też spór o ograniczanie debaty na komisji, który wręcz nazwano kneblowaniem głosu opozycji.

Publikacja: 09.01.2026 11:53

KSC: rok zamiast pół roku. Najpierw ponadpartyjny kompromis, potem spór o dostawcę wysokiego ryzyka

Foto: Adobe Stock

Maria Szpakowska

8 stycznia sejmowa Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii kontynuowała prace nad rządowym projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Na sali, obok wiceministra cyfryzacji Pawła Olszewskiego oraz przedstawicieli instytucji publicznych, obecna była spora reprezentacja strony społecznej: organizacje i izby branżowe telekomunikacji oraz ICT, eksperci prawni i techniczni, a także przedstawiciele samorządów. W praktyce posiedzenie miało dwa zupełnie różne oblicza: najpierw rzadki, ponadpartyjny kompromis dla rynku, a potem ostry powrót do konfliktu o mechanizm dostawcy wysokiego ryzyka i o to, jak prowadzić debatę na komisji.

Najważniejszy punkt posiedzenia dotyczył czasu na dostosowanie się firm do nowych obowiązków wynikających z nowelizacji KSC, powiązanej z implementacją NIS2. Komisja wróciła do tzw. zmiany nr 24, wcześniej zawieszonej, i właśnie tu pojawiła się poprawka, którą branża od początku przedstawiała jako warunek realności wdrożenia. Chodzi o wydłużenie terminu na wdrożenie obowiązków dla podmiotów objętych nowymi reżimami KSC: zamiast 6 ma to być 12 miesięcy. To podwojenie czasu na spełnienie wymogów organizacyjnych i technicznych, m.in. procedury zarządzania ryzykiem, polityk i środków bezpieczeństwa, gotowości do obsługi incydentów, obowiązków sprawozdawczych i audytowych, przygotowania dokumentacji, kontraktów i procesów wewnętrznych. Poprawkę prezentował poseł Paweł Bliźniuk z KO. – W związku z ustaleniami ostatniego posiedzenia komisji pragnę przedstawić propozycję poprawki, która została podpisana przez reprezentantów wszystkich klubów parlamentarnych – mówił, wskazując, że podmiot kluczowy lub ważny ma realizować obowiązki w terminie 12 miesięcy zamiast 6. Wiceminister Paweł Olszewski potwierdził: – Przechyliliśmy się do głosów strony rynkowej i jesteśmy oczywiście za.

Biuro Legislacyjne zwracało uwagę, że ta zmiana jest nierozerwalnie związana z dwiema kolejnymi poprawkami porządkującymi przepisy przejściowe i rekomendowało głosowanie pakietu łącznie. Komisja przyjęła tę logikę. Przewodniczący komisji Bartłomiej Pejo zaproponował wspólne głosowanie powiązanych poprawek, sprzeciwu nie było, a pakiet wydłużający termin do 12 miesięcy został przyjęty. Dla rynku to jest kluczowa poprawka. Nowy KSC, zgodnie z intencją NIS2, nie jest jednym wymogiem, tylko całym systemem procesów i odpowiedzialności. Dla wielu przedsiębiorców pół roku oznaczałoby wdrożenie na skróty, bez stabilnego poukładania procedur, ról i narzędzi. W wypowiedziach przedstawicieli branży przewijał się argument, że realne podniesienie cyberodporności nie polega na szybkim odhaczaniu listy zadań, tylko na przebudowie sposobu pracy, w którym liczy się polityka bezpieczeństwa, nadzór dostawców, reagowanie na incydenty i testowanie gotowości. Dlatego kompromis rok zamiast pół roku był w ocenie rynku zmianą, która nie rozwiązuje sporu o DWR, czyli dostawców wysokiego ryzyka, ale przynajmniej daje szansę, by resztę obowiązków wdrożyć w sposób uporządkowany, a nie pozorny. To także pierwszy moment tego dnia, gdy komisja, mimo późniejszych ostrych sporów, pokazała, że potrafi przenieść nacisk strony społecznej na konkretną, zaakceptowaną zmianę legislacyjną.

Sedno konfliktu: DWR

Następnie CNT weszła w obszar, który od miesięcy dzieli rynek i polityków: mechanizm dostawcy wysokiego ryzyka oraz pytanie, jak szeroko ma sięgać jego zastosowanie. Najpierw odrzucono poprawkę PiS dotyczącą art. 67A ust. 6 , czyli wątek rekomendacji i odniesień do skoordynowanej oceny bezpieczeństwa w ramach NIS2. Poseł Sebastian Łukaszewicz z PiS zapowiedział, że poprawka stanie się wnioskiem mniejszości. Chwilę później komisja przeszła do art. 67b, i poprawek ograniczających zasięg działania DWR, m.in. w kierunku 5G i funkcji krytycznych. Napięcie na sali obrad wzrosło. Wiceminister Paweł Olszewski postawił sprawę jednoznacznie: - Zmian dotyczących dostawcy wysokiego ryzyka, niezależnie ile słów i nieprawdziwych argumentów padnie, rząd w tym zakresie nie przewiduje – oświadczył. Dodał, że dyskusja ma charakter bezprzedmiotowy oraz służy świadomemu przedłużaniu prac nad ustawą. Przewodniczący Bartłomiej Pejo bronił prawa komisji do rozmowy z interesariuszami: – Od rozmowy jeszcze nikt nikogo na niebezpieczeństwo nie naraził. Dyskutujemy i głosy są bardzo różne – odpowiadał polubownie. Wiceminister Olszewski przypominał, że dyskusja odbyła się wcześniej na innym posiedzeniu. Pejo ripostował, że na sali są również przedstawiciele, których wcześniej nie było, więc jego zdaniem ucięcie wypowiedzi strony społecznej nie znajduje uzasadnienia. Jednocześnie apelował do osób zabierających głos, by nie powtarzać tych samych argumentów.

Poseł Paweł Bliźniuk argumentował, że szeroka debata odbyła się już wcześniej, bez limitów czasu, i teraz, na etapie szczegółowego procedowania, wypowiedzi powinny dotyczyć konkretnych poprawek, a nie wracać do ogólnych stanowisk. Ujął to jako postulat sprawności w pracach nad ustawą krytyczną z punktu widzenia bezpieczeństwa państwa. W ostrzejszym tonie wypowiedział się poseł Włodzimierz Skalik z Konfederacji Korony Polskiej, zarzucając rządowi próbę redukcji debaty i ostrzegając, że regulacja uderzy kosztowo w przedsiębiorców. – Ta ustawa stwarza ogromne pole do nadużyć, do korupcji, ingerując w rynek, stwarzając pole do biurokratycznych decyzji wybierających uprzywilejowanych dostawców – podnosił. Na te słowa zareagował poseł Bliźniuk, wnosząc formalnie o zakończenie dyskusji i przejście do głosowania. W tle pojawił się spór o standard debaty. Pojawiły się polityczne odniesienia do wcześniejszych głosowań w Sejmie po incydencie z rosyjskimi dronami, w dyskusji padły personalne aluzje i zarzuty, że sprzeciw w głosowaniu miał wynikać z braku możliwości zadawania pytań. Wiceminister Olszewski poparł wniosek o zamknięcie dyskusji, wprost zarzucając, że sam fakt obecności posła z ugrupowania Grzegorza Brauna jednoznacznie reprezentującego formację prorosyjską, uzasadnia konieczność odrzucenia wszystkich poprawek dotyczących dostawcy wysokiego ryzyka. W głosowaniu wniosek formalny o zakończenie dyskusji został przyjęty, niemniej przewodniczący Pejo skomentował fakt krytycznie: - To pokazuje, że nie chcecie państwo wsłuchiwać się w głos ze strony społecznej, który jest clue tej ustawy.

Reklama
Reklama

Dr hab. Paweł Wajda z Uniwersytetu Warszawskiego podkreślał brak notyfikacji przepisu technicznego do Komisji Europejskiej, co w jego opinii jest błędem proceduralnym.

– Przepis art. 67b jest klasyczną normą techniczną. Chociażby Niemcy czy Włochy notyfikowały swoje przepisy dotyczące DWR, a z niewiadomych przyczyn Polska tego nie zrobiła. Zwrócił także uwagę, że brak notyfikacji może doprowadzić do sytuacji, w której ten przepis będzie „martwy”, a przedsiębiorcy będą mieli otwartą drogę do roszczeń odszkodowawczych przeciwko Skarbowi Państwa – tłumaczył ekspert Pracodawców RP.

Nie sprzedajemy marchewek: branża telekomunikacyjna o ryzyku zakazu na wszelki wypadek

W debacie wybrzmiały ważne argumenty strony społecznej. – My nie sprzedajemy marchewek, tylko świadczymy dostęp do internetu. Przepisy, które miały dotyczyć korporacji międzynarodowych, czyli 5G, nagle rozszerzono na nas - mówił Karol Skupień z KIKE, reprezentujący polskich przedsiębiorców telekomunikacyjnych. Zwrócił uwagę na rozróżnianie incydentów, podatności i zarządzanie ryzykiem, wskazując, że branża nie neguje reagowania na incydenty i usuwania podatności. Spór dotyczy tego, kto ma decydować o sposobie redukcji ryzyka – eksperci w firmach czy decyzja administracyjna oparta na kategorii dostawcy wysokiego ryzyka. – To, w jaki sposób należy usunąć podatność, muszą zrobić eksperci, a nie politycy – mówił, argumentując, że zakaz używania sprzętu bywa rozwiązaniem skrajnie nieproporcjonalnym, jeśli nie jest poprzedzony precyzyjną diagnozą podatności – mówił. Wskazywał na argument dotyczący konkurencyjności; rynek obawia się scenariusza, w którym polskie firmy zostaną objęte bardziej restrykcyjnymi ograniczeniami niż podmioty z innych państw UE działające w Polsce. – Może doprowadzić do sytuacji, kiedy stosowanie jakiegoś rozwiązania przez polskiego przedsiębiorcę będzie nielegalne, ale legalne będzie stosowanie tego samego rozwiązania przez firmy niemieckie czy francuskie – ostrzegał.

Mecenas Kinga Pawłowska-Nojszewska z KIKE uzupełniała ten obraz, podkreślając, że kwintesencja cyberbezpieczeństwa i NIS2 w projekcie jest gdzie indziej niż DWR, bo w rozdziale dotyczącym systemowych obowiązków zarządzania ryzykiem. – Kwintesencja dyrektywy NIS2 jest w rozdziale 3, a dostawca wysokiego ryzyka to jest zarządzanie ryzykiem w sieciach 5G – sygnalizowała. Jej zdaniem, nawet krytycy DWR widzą w projekcie elementy dobrze zaprojektowane, ale domagają się proporcjonalności i zawężenia spornego instrumentu.

Drugi blok sporu dotyczył tego, kogo obejmie DWR, ale też jak ma wyglądać postępowanie administracyjne prowadzące do uznania za dostawcę wysokiego ryzyka. Prof. Maciej Rogalski krytykował rozwiązania, które w jego ocenie formalnie odsyłają do Kodeksu Postępowania Administracyjnego, ale jednocześnie wyłączają istotne przepisy gwarancyjne, w tym dotyczące strony postępowania i udziału organizacji społecznych. – Rozwiązania zmierzają w kierunku takim, aby maksymalnie ograniczyć możliwość ochrony swoich praw – mówił profesor, a wyłączenia tłumaczył przykładami z życia, jak spór o grunt, możliwości udziału w dowodach, jawności i uzasadnieniu rozstrzygnięcia. Ostrzegał również przed konsekwencjami systemowymi: sporem na poziomie konstytucyjnym i europejskim, jeśli konstrukcja postępowania nie zapewnia realnego prawa do sądu.

Ustawy szczególne mogą ograniczać niektóre uprawnienia z KPA, jeśli ustawodawca uzna, że chroni ważniejsze dobro i że sam mechanizm ograniczeń nie jest z definicji niedopuszczalny. – zaznaczał z kolei Sylwester Szczepaniak z Unii Metropolii Polskich. – Samo ograniczanie jest możliwe, tylko chodzi o granice tego ograniczenia – mówił. Stanisław Dąbek z BioForum popierał poprawki opozycji, argumentując, że obecny kształt tworzy fikcyjność postępowania, że skutki spadną na firmy, które nie będą miały realnego głosu. – Firmy zostaną obarczone skutkami tej decyzji, a w żaden sposób nie będą mogły wziąć udziału w tym postępowaniu – przekonywał.

Reklama
Reklama

Wniosek Napieralskiego, PiS protestuje

W trakcie posiedzenia konflikt proceduralny wybuchł na nowo, gdy wiceprzewodniczący Grzegorz Napieralski z KO zgłosił wniosek formalny, aby w dalszym procedowaniu obowiązywała zasada: jeden głos za poprawką, jeden głos przeciw i głosowanie. Motywował to presją terminów i ryzykiem konsekwencji za opóźnienia. Przewodniczący Pejo wskazywał, że termin na sprawozdanie komisji do drugiego czytania jest wyznaczony na 20 stycznia, ale wniosek Napieralskiego został przyjęty w głosowaniu. Poseł Katarzyna Czochara z PiS nazwała ten mechanizm kagańcem i przekonywała, że komisje są po to, by dyskutować nad ważnymi ustawami. Padały słowa o bezprzedmiotowości udziału strony społecznej, skoro i tak w ocenie części opozycji wynik głosowań jest przesądzony. W efekcie, przy przyjętym ograniczeniu debaty, komisja przeszła do serii głosowań nad kolejnymi poprawkami PiS i Konfederacji dotyczącymi art. 67b i konsekwentnie je odrzucała, w tym m.in. propozycje skreśleń kolejnych ustępów, ograniczeń niejawności i zmian w kryteriach oceny DWR, w tym propozycje Konfederacji, by ocena opierała się wyłącznie na przesłankach technicznych, a nie na ryzykach powiązanych z wpływem państwa trzeciego. Wiceminister Olszewski ponownie deklarował wprost, że stanowisko rządu do poprawek PiS i Konfederacji w obszarze DWR jest negatywne: – Jesteśmy przeciwko wszelkim poprawkom PiS-u i Konfederacji dotyczącym dostawców wysokiego ryzyka ze względu na interes i bezpieczeństwo państwa – mówił. A w pewnym momencie zasugerował nawet, by oszczędzając czas, głosować je hurtem.

W debacie pojawił się też wątek wykraczający poza telekomunikację. Poseł Dariusz Stefaniuk z PiS pytał wiceministra o ryzyko związane z chińskimi samochodami elektrycznymi, wymieniał kamery, chipy, zbieranie danych i czy nowe przepisy mogłyby oznaczać wycofywanie takich produktów z rynku. Wiceminister Olszewski odpowiadał, że jeśli coś stanowi zagrożenie dla bezpieczeństwa państwa, będzie podlegało ocenie ryzyka, ale szczegółowych informacji nie poda na jawnym posiedzeniu, bo mają charakter niejawny. Podkreślał też, że rząd nie chce nikogo wykluczać arbitralnie i że procedura DWR ma być długa i z możliwością odwołania do sądu. Dopytany o certyfikację aut elektrycznych odparł krótko: – W tym obszarze nie ma obowiązku certyfikacji.

Bilans posiedzenia sejmowej komisji: jej członkowie potrafili uzgodnić i przyjąć ponadpartyjną zmianę korzystną dla wykonalności wdrożenia przepisów, czyli wydłużenie terminu do 12 miesięcy, ale w ważnym politycznie i gospodarczo punkcie, czyli w DWR, linia rządu pozostała niezmienna i zmian nie przewiduje. Opozycja zapowiadała wnioski mniejszości, strona społeczna, mimo ograniczeń, sygnalizowała ryzyka kosztowe, konkurencyjne i proceduralne. Przewodniczący Pejo nie ukrywał, że ograniczanie dyskusji odbiera komisji część sensu. Prace nad projektem mają być kontynuowane 9 stycznia ze względu na bardzo dużą liczbę wątpliwości i zgłoszonych poprawek tak, by sprawozdanie komisji mogło trafić do drugiego czytania w terminie wyznaczonym na 20 stycznia.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

cyberbezpieczeństwo KSC Prawo
Już po ostatnim sezonie „Stranger Things”, ale zainteresowanie serialem i jego bohaterami nie słabni
IT
Szał na „Stranger Things” nie słabnie. Jest teatr, będą kolejne produkcje
Kiedy pojawi się ocieplenie? Najnowsze prognozy nie pozostawiają złudzeń
IT
Ostrzeżenia IMGW przed mrozem i śniegiem. Meteorolodzy wskazali datę „drugiego uderzenia”
Polacy coraz częściej szukają w sieci informacji na temat ferii zimowych 2026
IT
Ferie zimowe 2026 w nowej odsłonie. Ważna zmiana w harmonogramie
TikTok mógł nie wdrożyć adekwatnych mechanizmów moderacji treści generowanych przez AI ani skuteczny
IT
„Prawilne Polki” pod lupą Brukseli. Rząd uderza w TikToka za propagandę Polexitu
Wyprzedaż rocznika 2025. Samochody dostawcze FORD PRO już od 64 900 zł
Materiał Promocyjny
Wyprzedaż rocznika 2025. Samochody dostawcze FORD PRO już od 64 900 zł
Advertisement
Zakupy przed zabawą? Polacy pytają, czy w sylwestra można jeszcze się zaopatrzyć
IT
Sklepy były zamknięte w Wigilię, a co z sylwestrem? Zakupowe zaskoczenie
Wyprzedaż w salonach Jeep®! Tylko teraz Jeep Avenger z korzyścią do 30 000 zł!
Materiał Promocyjny
Wyprzedaż w salonach Jeep®! Tylko teraz Jeep Avenger z korzyścią do 30 000 zł!
Advertisement
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama
Reklama