Rząd przyjął nowelizację ustawy o KSC. Gawkowski zdeterminowany, by zakończyć prace w tym roku.

Sześcioletnia saga wokół kluczowych dla cyberbezpieczeństwa państwa przepisów zbliża się do finału. Rada Ministrów przyjęła projekt nowelizacji ustawy o KSC, implementujący dyrektywę NIS2. Wicepremier Gawkowski liczy na szybkie procedowanie w parlamencie i podpis prezydenta jeszcze w tym roku.

Po sześciu latach legislacyjnej sagi, prace nad jednym z najważniejszych aktów prawnych dla cyberbezpieczeństwa Polski wreszcie nabierają tempa. Rada Ministrów przyjęła we wtorek, 21 października, projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). To kluczowy moment, na który branża czekała od lat, ponieważ przepisy te implementują do polskiego porządku prawnego unijną dyrektywę NIS2. Wicepremier i minister cyfryzacji Krzysztof Gawkowski jest zdeterminowany, aby proces legislacyjny w parlamencie zakończył się jeszcze w tym roku, co podkreślał w ostatnich tygodniach.

Wagę projektu dobitnie zaznaczył premier Donald Tusk, który podczas jawnej części posiedzenia rządu stwierdził, że „cyberbezpieczeństwo jest kluczowe z perspektywy bezpieczeństwa wewnętrznego i zewnętrznego”. Wskazał również na konieczność zapewnienia pełnej kontroli nad sprzętem używanym przez instytucje państwowe. Projekt trafi teraz na ścieżkę parlamentarną, gdzie będzie procedowany przez Sejm i Senat.

Przyjęcie projektu przez Radę Ministrów to przełomowy moment dla polskiej cyberodporności. Eksperci od lat wskazywali, że opóźnienia w implementacji dyrektywy NIS2 mogą prowadzić nie tylko do sankcji ze strony Unii Europejskiej, ale przede wszystkim narażają polskie firmy i instytucje na rosnące zagrożenia cybernetyczne. W obliczu narastających ataków ze strony państw wrogich oraz zorganizowanych grup przestępczych, brak odpowiednich regulacji prawnych stanowił poważną lukę w systemie bezpieczeństwa narodowego.

Co to jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa i dlaczego polskie firmy oraz instytucje powinny się nią pilnie zainteresować?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) to fundamentalna zmiana prawna, której głównym celem jest wdrożenie w Polsce europejskiej dyrektywy NIS2. Dyrektywa ta znacząco rozszerza katalog podmiotów, które zostaną uznane za kluczowe dla funkcjonowania państwa i gospodarki, nakładając na nie szereg rygorystycznych obowiązków w zakresie cyberbezpieczeństwa. Projekt przewiduje między innymi utworzenie sektorowych zespołów reagowania na incydenty (CSIRT-ów sektorowych) oraz znaczące rozszerzenie listy podmiotów objętych systemem KSC, co obejmie tysiące nowych firm z kilkunastu branż.

Dotychczasowa ustawa o KSC, obowiązująca od 2018 roku, obejmowała swoim zakresem stosunkowo wąską grupę podmiotów, głównie z sektorów energetyki, transportu, bankowości czy ochrony zdrowia. Nowa regulacja radykalnie zmienia tę sytuację, rozszerzając listę o dodatkowe sektory, w tym zarządzanie usługami ICT, podmioty świadczące usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcję oraz dystrybucję chemikaliów, produkcję żywności, a także sektor cyfrowy obejmujący dostawców usług w chmurze i centrów danych.

Kluczową zmianą jest wprowadzenie dwóch kategorii podmiotów: podmiotów kluczowych i podmiotów ważnych. Każda z tych kategorii będzie miała określone obowiązki, przy czym podmioty kluczowe będą podlegać bardziej restrykcyjnym wymogom. Firmy będą musiały wdrożyć kompleksowe systemy zarządzania bezpieczeństwem informacji, prowadzić regularne audyty bezpieczeństwa, szkolić pracowników oraz natychmiast raportować poważne incydenty bezpieczeństwa do właściwych organów.

Dla przedsiębiorców oznacza to konieczność przygotowania się do nowych wymogów prawnych. Eksperci szacują, że pod nowe regulacje może podlegać nawet kilkanaście tysięcy polskich firm, które do tej pory nie były objęte systemem KSC. Będą one musiały przeprowadzić audyty swojej infrastruktury IT, wdrożyć odpowiednie procedury bezpieczeństwa oraz przeznaczyć budżet na szkolenia i modernizację systemów. Ignorowanie tych obowiązków może skutkować dotkliwymi karami finansowymi, które zgodnie z dyrektywą NIS2 mogą sięgać nawet 10 milionów euro lub 2% globalnego rocznego obrotu przedsiębiorstwa.

Warto również podkreślić, że nowe przepisy nakładają odpowiedzialność osobistą na kadrę zarządzającą przedsiębiorstw. Zarządy i rady nadzorcze będą zobowiązane do aktywnego nadzoru nad wdrażaniem środków cyberbezpieczeństwa, a ich zaniedbania mogą skutkować konsekwencjami prawnymi. To istotna zmiana w podejściu do cyberbezpieczeństwa, która ma podnieść rangę tych zagadnień na najwyższym szczeblu decyzyjnym w firmach.

Dlaczego prace nad nowelizacją ustawy o KSC trwały aż 6 lat i co było główną przyczyną opóźnień w implementacji dyrektywy NIS2?

Saga legislacyjna wokół nowelizacji KSC trwa już od sześciu lat, mimo że termin na implementację dyrektywy NIS2 minął 17 października 2024 roku. Przez ten czas pojawiały się kolejne wersje projektu i propozycje zmian, a proces znacząco się opóźniał. Opóźnienia tłumaczono na różne sposoby. Z jednej strony wskazywano na wysoki stopień skomplikowania materii, zwłaszcza w kontekście budzących wiele dyskusji przepisów dotyczących dostawców wysokiego ryzyka. Z drugiej strony, nie brakowało głosów wskazujących na przeciągające się procesy legislacyjne na poziomie unijnym jako przyczynę zwłoki.

Historia nowelizacji to pasmo kontrowersji i sporów politycznych. Pierwsza wersja projektu pojawiła się już w 2019 roku, kiedy to rozpoczęły się prace nad dostosowaniem polskiego prawa do wymogów unijnych. Jednak kolejne lata przyniosły serię zmian i korekt, a projekt wielokrotnie wracał do szuflady. Jednym z najbardziej spornych elementów były przepisy dotyczące tzw. dostawców wysokiego ryzyka, które miały ograniczyć możliwość korzystania ze sprzętu i oprogramowania pochodzącego z państw uznanych za potencjalne zagrożenie dla bezpieczeństwa narodowego.

Problematyka dostawców wysokiego ryzyka stała się przedmiotem intensywnych lobbingowych działań zarówno ze strony krajowych, jak i zagranicznych podmiotów. Operatorzy telekomunikacyjni argumentowali, że zbyt restrykcyjne przepisy mogą prowadzić do kosztownej wymiany infrastruktury i opóźnień w rozwoju sieci 5G. Z kolei przedstawiciele sektora bezpieczeństwa podkreślali, że bez rygorystycznych ograniczeń Polska pozostanie narażona na szpiegostwo przemysłowe i działania hybrydowe ze strony wrogich państw.

Dodatkowym czynnikiem komplikującym prace były zmiany na scenie politycznej. Proces legislacyjny przebiegał przez kadencje różnych rządów, z których każdy miał nieco inne priorytety w zakresie cyberbezpieczeństwa. Zmiana władzy w 2023 roku przyniosła nowe podejście do tematu, ale także konieczność ponownej analizy projektu i wprowadzenia kolejnych modyfikacji. Każda zmiana ekipy rządowej oznaczała również reorganizację priorytetów legislacyjnych, co przekładało się na kolejne miesiące opóźnień.

Nie bez znaczenia były również zmiany w samej dyrektywie NIS2 na poziomie europejskim. Prace nad unijnym aktem prawnym również się przeciągały, a ostateczna wersja dyrektywy została przyjęta dopiero w grudniu 2022 roku. To z kolei wymagało aktualizacji polskiego projektu, aby zapewnić pełną zgodność z wymogami unijnymi. Eksperci wskazują, że Polska nie jest odosobnionym przypadkiem – wiele krajów członkowskich również zmaga się z opóźnieniami we wdrażaniu dyrektywy NIS2, choć niewiele z nich przekroczyło termin implementacji w tak spektakularny sposób.

Problemem były także rozległe konsultacje społeczne, które ujawniły liczne rozbieżności między stanowiskami różnych branż i instytucji. Każdy sektor miał swoje specyficzne potrzeby i obawy związane z nowymi regulacjami. Sektor energetyczny martwił się o koszty modernizacji infrastruktury krytycznej, branża IT obawiała się nadmiernej biurokracji, a podmioty z sektora zdrowia wskazywały na niedostateczne zasoby finansowe i kadrowe do spełnienia nowych wymogów. Znalezienie kompromisu między tymi różnorodnymi interesami wymagało czasu i licznych negocjacji.

Czy wicepremier Krzysztof Gawkowski zapewnia szybkie wdrożenie ustawy o KSC i co zrobi, aby proces legislacyjny zakończył się jeszcze w tym roku?

Wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie podkreślał swoją determinację, aby jak najszybciej zakończyć prace nad nowelizacją. Minister zaznaczył, że zrobi wszystko, aby projekt został zaakceptowany przez Radę Ministrów, a później szybko przyjęty przez parlament. Wicepremier podkreślał, że krajowy system cyberbezpieczeństwa to jeden z głównych elementów budowania odporności państwa, a różne siły przez lata próbowały blokować te prace.

Stanowisko ministra Gawkowskiego jest jasne i bezkompromisowe. W swoich publicznych wystąpieniach nie ukrywał frustracji związanej z wieloletnimi opóźnieniami i wyraźnie wskazywał, że nowy rząd traktuje kwestię cyberbezpieczeństwa priorytetowo. Minister wielokrotnie zapowiadał, że osobiście będzie nadzorował proces legislacyjny na każdym jego etapie, aby uniknąć dalszych zwłok.

Gawkowski przedstawił również konkretny harmonogram działań. Po przyjęciu projektu przez Radę Ministrów, jego resort będzie aktywnie współpracował z komisjami sejmowymi, aby zapewnić sprawne procedowanie ustawy. Minister zapowiedział także serię spotkań z parlamentarzystami różnych opcji politycznych, aby zbudować jak najszersze poparcie dla projektu. Zdaje sobie sprawę, że ustawa o tak fundamentalnym znaczeniu dla bezpieczeństwa państwa powinna zyskać ponadpartyjne wsparcie.

Wicepremier nie ogranicza się jednak tylko do działań stricte legislacyjnych. Resort cyfryzacji rozpoczął już prace przygotowawcze, które mają ułatwić wdrożenie nowych przepisów. Przygotowywane są wytyczne i materiały szkoleniowe dla przedsiębiorców, którzy będą musieli dostosować się do nowych wymogów. Ministerstwo planuje także kampanię informacyjną, która ma uświadomić firmom nadchodzące zmiany i dać im czas na przygotowanie się do nowej rzeczywistości prawnej.

Minister Gawkowski podkreśla również międzynarodowy kontekst wdrażania dyrektywy NIS2. Polska, jako państwo członkowskie NATO i Unii Europejskiej, znajduje się na pierwszej linii frontu w cyberprzestrzeni. Opóźnienia we wdrażaniu kluczowych regulacji nie tylko narażają kraj na sankcje unijne, ale przede wszystkim osłabiają zdolność państwa do przeciwstawienia się rosnącym zagrożeniom cybernetycznym ze strony wrogich państw i organizacji przestępczych.

W swoich wystąpieniach wicepremier wielokrotnie nawiązywał do konkretnych zagrożeń, z jakimi boryka się Polska w cyberprzestrzeni. Wskazywał na rosnącą liczbę ataków ransomware na polskie firmy i instytucje, próby infiltracji infrastruktury krytycznej oraz kampanie dezinformacyjne prowadzone przez wrogie państwa. Według Gawkowskiego, skuteczna ochrona przed tymi zagrożeniami wymaga nie tylko nowoczesnych narzędzi technicznych, ale przede wszystkim spójnych ram prawnych, które określą obowiązki i odpowiedzialność wszystkich uczestników cyfrowego ekosystemu.

Kiedy dokładnie Rada Ministrów przyjęła projekt nowelizacji ustawy o KSC i co oznacza to dla dalszego procesu legislacyjnego?

Zgodnie z zapowiedziami, Rada Ministrów zajęła się projektem podczas wtorkowego posiedzenia, 21 października. Jak poinformował wiceminister cyfryzacji Paweł Olszewski, rząd przyjął projekt nowelizacji ustawy o KSC. Oznacza to, że prace na poziomie rządowym zostały zakończone, a projekt jest gotowy do skierowania do dalszych prac w parlamencie.

Decyzja Rady Ministrów zamyka ważny etap w procesie legislacyjnym i otwiera drogę do prac parlamentarnych. Projekt, który przez lata był wielokrotnie konsultowany, poprawiany i uzgadniany między różnymi resortami, wreszcie otrzymał zielone światło od najwyższego organu wykonawczego. To historyczny moment, który pokazuje, że obecny rząd traktuje kwestię cyberbezpieczeństwa jako jeden z kluczowych priorytetów polityki bezpieczeństwa narodowego.

Przyjęcie projektu przez Radę Ministrów oznacza, że dokument przeszedł przez wszystkie niezbędne uzgodnienia międzyresortowe. Swoje opinie wyraziły ministerstwa odpowiedzialne za kluczowe sektory gospodarki, które zostaną objęte nowymi regulacjami, w tym Ministerstwo Infrastruktury, Ministerstwo Zdrowia, Ministerstwo Klimatu i Środowiska oraz Ministerstwo Aktywów Państwowych. Projekt został również zaopiniowany przez Agencję Bezpieczeństwa Wewnętrznego oraz Służbę Kontrwywiadu Wojskowego, co podkreśla jego wymiar bezpieczeństwa narodowego.

Warto zauważyć, że terminowe rozpatrzenie projektu przez Radę Ministrów jest bezpośrednim efektem determinacji wicepremiera Gawkowskiego, który nie dopuścił do kolejnych opóźnień. Minister osobiście zabiegał o umieszczenie projektu w porządku obrad posiedzenia rządu i aktywnie współpracował z innymi członkami gabinetu, aby rozwiać wszelkie wątpliwości i zapewnić jednomyślne poparcie dla dokumentu.

Procedura parlamentarna, która rozpocznie się w najbliższych dniach, będzie kolejnym testem dla projektu. Ustawa trafi najpierw do Sejmu, gdzie zostanie skierowana do właściwej komisji – najprawdopodobniej będzie to Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Posłowie będą mieli możliwość zgłaszania poprawek i uwag, choć zarówno rząd, jak i koalicja rządząca deklarują wolę szybkiego procedowania bez zbędnych korekt, które mogłyby dalej opóźnić wdrożenie dyrektywy NIS2.

Eksperci parlamentarni wskazują, że przy odpowiedniej koordynacji i politycznej woli, ustawa może przejść przez Sejm i Senat w ciągu kilku tygodni. Kluczowe będzie zapewnienie szerokiego poparcia politycznego, które pozwoli uniknąć przedłużających się debat i sporów. Minister Gawkowski zapowiedział, że będzie osobiście uczestniczył w pracach komisji sejmowej, aby odpowiadać na pytania posłów i przekonywać wahających się do poparcia projektu.

Dlaczego premier Donald Tusk uważa cyberbezpieczeństwo za absolutny priorytet państwa i jakie ma to znaczenie dla bezpieczeństwa narodowego Polski?

Premier Donald Tusk, podczas jawnej części posiedzenia rządu, nie pozostawił wątpliwości co do wagi, jaką obecny gabinet przykłada do kwestii cyberbezpieczeństwa. Stwierdził wprost, że „dzisiaj cyberbezpieczeństwo jest kluczowe z perspektywy bezpieczeństwa wewnętrznego i zewnętrznego”. Premier podkreślił również geopolityczny wymiar tej walki, mówiąc: „Kto przegrywa konfrontację w cyberprzestrzeni, przegrywa na wszystkich innych polach. To tam rozstrzygają się losy wojny”.

Słowa premiera Tuska wpisują się w szerszy kontekst geopolityczny, w którym cyberprzestrzeń stała się kluczowym polem rywalizacji między państwami. Współczesne konflikty, jak pokazuje przykład wojny na Ukrainie, mają swój istotny wymiar cybernetyczny. Ataki na infrastrukturę krytyczną, kampanie dezinformacyjne w mediach społecznościowych, sabotaż systemów łączności i zarządzania – to wszystko stanowi integralną część współczesnych działań wojennych i hybrydowych.

Premier Tusk doskonale zdaje sobie sprawę z zagrożeń, przed jakimi stoi Polska. Jako sąsiad Ukrainy i członek NATO znajdujący się na wschodniej flance Sojuszu, Polska jest naturalnym celem ataków cybernetycznych ze strony wrogich państw. Polskie instytucje rządowe, firmy energetyczne, operatorzy infrastruktury krytycznej oraz sektor finansowy regularnie odnotowują próby nieautoryzowanego dostępu, ataki DDoS czy kampanie phishingowe wymierzone w pracowników.

W ocenie premiera, silna cyberodporność to nie tylko kwestia ochrony danych czy systemów informatycznych, ale fundamentalny element suwerenności państwa. W erze cyfrowej, państwo które nie potrafi skutecznie chronić swojej cyberprzestrzeni, traci kontrolę nad kluczowymi aspektami funkcjonowania administracji, gospodarki i społeczeństwa. Dlatego też rząd Donalda Tuska traktuje wdrożenie dyrektywy NIS2 jako strategiczny priorytet, który nie może być dalej odkładany.

Premier podkreślił również ekonomiczny wymiar cyberbezpieczeństwa. Polskie firmy, szczególnie te działające w eksporcie i współpracujące z partnerami zagranicznymi, coraz częściej napotykają na wymóg posiadania certyfikatów i standardów cyberbezpieczeństwa. Brak odpowiednich regulacji i mechanizmów weryfikacji może więc stanowić barierę w dostępie do międzynarodowych rynków i współpracy z zagranicznymi kontrahentami.

Jakie konkretne wymagania dotyczące kontroli sprzętu IT i wymiany urządzeń w instytucjach państwowych wprowadzi nowa ustawa o KSC?

Donald Tusk zwrócił szczególną uwagę na kwestię sprzętu, na którym pracują instytucje państwowe. Zaznaczył, że musi istnieć pełna kontrola nad tym sprzętem. Podkreślił również konieczność systematycznej wymiany urządzeń w tych miejscach, w których występuje podwyższone ryzyko. Jako przyczyny tego ryzyka wymienił między innymi kraj pochodzenia sprzętu oraz brak odpowiedniego wsparcia technicznego ze strony producenta.

Kwestia kontroli nad sprzętem IT w instytucjach państwowych to jeden z najbardziej kontrowersyjnych, ale jednocześnie najważniejszych elementów nowej ustawy. Przepisy dotyczące tzw. dostawców wysokiego ryzyka mają na celu ograniczenie możliwości wykorzystywania w polskiej infrastrukturze krytycznej sprzętu i oprogramowania pochodzącego od producentów, którzy mogą podlegać wpływom wrogich państw lub służb specjalnych.

W praktyce oznacza to, że instytucje państwowe oraz podmioty uznane za kluczowe dla funkcjonowania państwa będą musiały poddać się szczegółowej weryfikacji swojego parku technologicznego. Szczególnej kontroli będą podlegać urządzenia sieciowe, systemy telekomunikacyjne, serwery oraz rozwiązania chmurowe. W przypadku zidentyfikowania sprzętu lub oprogramowania pochodzącego od dostawców wysokiego ryzyka, podmioty te będą zobowiązane do opracowania planu wymiany takiego sprzętu w określonym terminie.

Premier Tusk wyraźnie wskazał, że nie chodzi tutaj o arbitralne decyzje czy dyskryminację konkretnych producentów, ale o racjonalne zarządzanie ryzykiem w oparciu o analizy służb specjalnych i ekspertów ds. cyberbezpieczeństwa. Kraj pochodzenia sprzętu jest istotnym czynnikiem ryzyka, szczególnie gdy mówimy o państwach, które prowadzą agresywną politykę w cyberprzestrzeni lub są zaangażowane w konflikty z państwami NATO.

Drugim kluczowym aspektem podniesionym przez premiera jest kwestia wsparcia technicznego. Sprzęt IT wymaga regularnych aktualizacji zabezpieczeń, łatek poprawiających wykryte luki oraz wsparcia ze strony producenta w przypadku incydentów. Brak takiego wsparcia – czy to z powodu zakończenia cyklu życia produktu, czy też z przyczyn politycznych – czyni dany sprzęt szczególnie podatnym na ataki. Nowa ustawa ma wprowadzić mechanizmy monitorowania stanu wsparcia technicznego dla krytycznych systemów i wymuszać ich wymianę, zanim staną się one zagrożeniem dla bezpieczeństwa.

Wdrożenie tych wymogów będzie wiązało się z istotnymi kosztami, szczególnie dla dużych instytucji państwowych, które przez lata budowały swoją infrastrukturę IT. Rząd zapowiada jednak program wsparcia finansowego, który ma pomóc podmiotom publicznym w pokryciu kosztów wymiany sprzętu wysokiego ryzyka. Szczegóły tego programu mają zostać przedstawione w nadchodzących tygodniach.

Kiedy projekt ustawy o KSC trafi do Sejmu i Senatu oraz jaki jest harmonogram procedowania nowelizacji w parlamencie?

Po przyjęciu projektu przez Radę Ministrów, następnym krokiem jest skierowanie go do prac parlamentarnych. Nowelizacją zajmie się teraz Sejm, a następnie Senat. Wicepremier Krzysztof Gawkowski wyraził nadzieję, że obie izby parlamentu sprawnie przeprowadzą proces legislacyjny, tak aby ustawa została uchwalona jeszcze w tym roku.

Harmonogram prac parlamentarnych jest obecnie intensywnie uzgadniany między rządem a kierownictwem Sejmu. W najbliższych dniach projekt trafi do Marszałka Sejmu, który skieruje go do pierwszego czytania. Zgodnie z procedurą, pierwsze czytanie może odbyć się na posiedzeniu plenarnym Sejmu lub od razu w komisji – decyzja w tej sprawie należy do Marszałka po konsultacji z Konwentem Seniorów.

Biorąc pod uwagę pilny charakter projektu i przekroczony termin implementacji dyrektywy NIS2, istnieje duże prawdopodobieństwo, że ustawa zostanie objęta trybem pilnym. Oznaczałoby to skrócenie niektórych terminów proceduralnych i możliwość szybszego procedowania. Jednak decyzja o trybie pilnym wymaga zgody większości posłów, co z kolei uzależnione jest od zaangażowania koalicji rządzącej i ewentualnego wsparcia ze strony opozycji.

Po pierwszym czytaniu projekt trafi do komisji sejmowej – najprawdopodobniej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, ewentualnie jako komisja wiodąca przy współpracy z innymi komisjami branżowymi. To właśnie na etapie prac komisyjnych posłowie będą mieli możliwość szczegółowego zapoznania się z projektem, przesłuchania ekspertów i zgłoszenia poprawek. Ministerstwo Cyfryzacji zapowiedziało pełne zaangażowanie swoich przedstawicieli w prace komisji, aby móc na bieżąco odpowiadać na pytania i wątpliwości parlamentarzystów.

Drugie czytanie projektu na posiedzeniu plenarnym Sejmu będzie okazją do debaty politycznej i głosowania nad ewentualnymi poprawkami zgłoszonymi w komisji. Jeśli proces przebiega sprawnie, drugie i trzecie czytanie mogą odbyć się nawet w ciągu jednego posiedzenia Sejmu, choć bardziej prawdopodobny jest scenariusz, w którym między tymi etapami minie kilka dni lub tygodni.

Po przyjęciu przez Sejm, ustawa trafi do Senatu, który będzie miał 30 dni na jej rozpatrzenie (lub 14 dni w przypadku trybu pilnego). Senat może przyjąć ustawę bez poprawek, wprowadzić poprawki lub odrzucić ją w całości. W przypadku poprawek, ustawa wraca do Sejmu, który musi się do nich ustosunkować. Dopiero po zakończeniu tego procesu ustawa jest przekazywana do podpisu Prezydenta.

Wicepremier Gawkowski liczy na to, że cały proces parlamentarny zakończy się przed końcem roku. To ambitny, ale realny harmonogram, pod warunkiem że nie pojawią się poważne spory polityczne czy rozległe poprawki wymagające długich negocjacji. Kluczowe będzie porozumienie między koalicją rządową a przynajmniej częścią opozycji, aby ustawa zyskała możliwie szerokie poparcie polityczne.

Czy prezydent podpisze nowelizację ustawy o KSC i jakie działania podejmie minister Gawkowski, aby zapewnić poparcie głowy państwa?

Po przyjęciu ustawy przez obie izby parlamentu, ostatnim etapem legislacyjnym jest podpis prezydenta. Krzysztof Gawkowski zapowiedział, że będzie aktywnie zabiegał o poparcie głowy państwa dla nowych przepisów. Wicepremier podkreślał, że podpisanie tej ustawy jest ważne z perspektywy państwa i wzmacniania cyberodporności Polski.

Rola prezydenta w procesie legislacyjnym jest kluczowa – może on podpisać ustawę, zawetować ją lub skierować do Trybunału Konstytucyjnego w trybie prewencyjnej kontroli konstytucyjności. Weto prezydenckie może być następnie przegłosowane przez Sejm większością 3/5 głosów, jednak taki scenariusz zawsze prowadzi do dalszych opóźnień i napięć politycznych.

Minister Gawkowski zdaje sobie sprawę, że zapewnienie poparcia prezydenta dla ustawy o KSC jest kluczowe dla jej szybkiego wejścia w życie. Dlatego zapowiada aktywne działania na rzecz budowania konsensusu z Kancelarią Prezydenta już na etapie prac parlamentarnych. Planowane są spotkania robocze z doradcami prezydenta oraz przedstawicielami Biura Bezpieczeństwa Narodowego, podczas których rząd będzie prezentował uzasadnienie dla nowych przepisów i odpowiadał na ewentualne wątpliwości.

Wicepremier podkreśla, że ustawa o KSC nie powinna być przedmiotem sporów politycznych czy gier partyjnych. To przepisy, które dotyczą fundamentalnych kwestii bezpieczeństwa państwa i ochrony interesów narodowych. W tym kontekście minister liczy na to, że prezydent, bez względu na ewentualne różnice polityczne z rządem, doceni wagę projektu i potrzebę jego szybkiego wdrożenia.

W swoich publicznych wypowiedziach Gawkowski wielokrotnie wskazywał na międzynarodowy kontekst wdrażania dyrektywy NIS2. Polska jest już spóźniona z implementacją, co naraża kraj na postępowania ze strony Komisji Europejskiej. Każdy dalszy miesiąc opóźnień zwiększa ryzyko kar finansowych oraz pogarsza wizerunek Polski jako odpowiedzialnego członka Unii Europejskiej. Minister liczy, że te argumenty będą przekonujące dla Kancelarii Prezydenta.

Warto również zauważyć, że prezydent ma 21 dni na podjęcie decyzji w sprawie podpisania ustawy. W przypadku ustawy o kluczowym znaczeniu dla bezpieczeństwa państwa, można oczekiwać, że głowa państwa wykorzysta ten czas na dokładną analizę przepisów i konsultacje z ekspertami. Minister Gawkowski zapowiedział, że resort cyfryzacji jest gotowy do pełnej współpracy z Kancelarią Prezydenta na tym etapie, aby rozwiać wszelkie wątpliwości i zapewnić, że ustawa zostanie podpisana bez zbędnych opóźnień.

Optymistyczny scenariusz zakłada, że jeśli parlament przyjmie ustawę w grudniu, prezydent mógłby ją podpisać jeszcze przed końcem roku lub w pierwszych dniach stycznia 2026 roku. Dałoby to Polsce szansę na rozpoczęcie faktycznego wdrażania dyrektywy NIS2 już w pierwszym kwartale przyszłego roku, choć nadrobienie wielomiesięcznego opóźnienia i pełne dostosowanie się do wymogów unijnych zajmie jeszcze wiele miesięcy.