Koniec niebezpiecznego sprzętu w Polsce. 7 lat na czyszczenie sieci
Sejm uchwalił długo wyczekiwaną nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowe przepisy wdrażają unijną dyrektywę NIS2, ale dla branży telekomunikacyjnej najważniejsze są regulacje dotyczące dostawców wysokiego ryzyka. Operatorzy będą mieli 7 lat na pozbycie się sprzętu firm uznanych za niebezpieczne.
Nowelizacja, przyjęta przez Sejm 22 stycznia 2026 r., zdaniem rządu ma na celu uszczelnienie cyfrowych granic Polski. Najważniejsze zmiany dotyczą struktury rynku i eliminacji konkretnych technologii z infrastruktury krytycznej.
Bat na dostawców wysokiego ryzyka
Najważniejszym elementem ustawy z punktu widzenia infrastruktury telekomunikacyjnej jest sformalizowanie procedury uznania firmy za dostawcę wysokiego ryzyka. Zgodnie z uchwaloną nowelizacją, decyzję będzie podejmował Minister Cyfryzacji przy udziale Kolegium ds. Cyberbezpieczeństwa. Procedura ma być wieloetapowa, a dostawcy przysługuje prawo skargi do sądu administracyjnego.
Ustalono też ostateczne konsekwencje uznania firmy za dostawcę wysokiego ryzyka. Operatorów będzie obowiązywał:
- zakaz zakupu: podmioty kluczowe dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów nowych produktów od takiego dostawcy.
- nakaz wycofania: jeśli podmiot już stosuje sprzęt od dostawcy wysokiego ryzyka, ustawa nakłada obowiązek jego całkowitego wycofania. Termin na czyszczenie sieci wynosi 7 lat.
To rozwiązanie, o którym dyskutowano od lat w kontekście budowy sieci 5G i obecności chińskich dostawców w polskiej infrastrukturze. Sprawa niezmiennie budzi duże emocje, a producenci jak Huawei skarzą się, że regulacje są wprowadzane specjalnie przeciwko nim.
Nowe sektory pod lupą
Ustawa wdraża do polskiego porządku prawnego dyrektywę NIS2, co wiąże się z podziałem podmiotów na kluczowe i ważne. Do systemu cyberbezpieczeństwa dołączają zupełnie nowe sektory gospodarki, które dotychczas nie były tak ściśle regulowane. Są to m.in.:
- usługi pocztowe,
- gospodarka ściekowa,
- produkcja i dystrybucja żywności oraz chemikaliów,
- przestrzeń kosmiczna.
Firmy z tych branż będą musiały wdrożyć rygorystyczne środki bezpieczeństwa, przeprowadzać audyty oraz raportować incydenty bezpośrednio do odpowiednich zespołów CSIRT poprzez system S46.
Co więcej, powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. Rząd przekonuje, że CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia i pozwolą zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.
Większe uprawnienia i okres ochronny
Nowe przepisy dają potężne narzędzia organom nadzorczym (w tym Prezesowi UKE i Ministrowi Cyfryzacji). Będą one mogły wydawać polecenia zabezpieczające, nakazywać audyty bezpieczeństwa, a nawet wyznaczać urzędnika monitorującego dany podmiot.
W toku prac sejmowych wprowadzono istotną poprawkę łagodzącą dla przedsiębiorców. Administracyjne kary pieniężne za niewywiązywanie się z nowych obowiązków będą mogły być nakładane dopiero po upływie 2 lat od wejścia ustawy w życie. Ma to dać firmom czas na kosztowne dostosowanie systemów IT do nowych wymogów bez ryzyka natychmiastowych sankcji finansowych.
