Nowelizacja KSC na Komisji Cyfryzacji. Burza o dostawców wysokiego ryzyka

Prace nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa toczą się w Sejmie od początku grudnia 2025 r.

Po październikowym przyjęciu regulacji przez rząd, 4 grudnia odbyło się I czytanie nowelizacji, zaś w ostatnim tygodniu przed świętami Bożego Narodzenia poświęcono jej dwa posiedzenia sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.

16 grudnia w przedstawionym podczas dyskusji stanowisku, wiceminister cyfryzacji Paweł Olszewski podkreślił, że instytucja dostawcy wysokiego ryzyka nie będzie podlegała negocjacjom. Dzień później, tj. 17 grudnia, udało się rozpatrzyć 74 zmiany z projektu ustawy.

Wojna o dostawców wysokiego ryzyka

Komisja powróciła do procedowania dokumentu w czwartek 8 stycznia.

Na samym początku posiedzenia rozwiązano sprawę zmiany 24 dotyczącej okresu realizacji obowiązków przez podmioty ważne lub kluczowe, którą przed świętami zawieszono. Zgłoszona poprawka, która została poparta przez przedstawicieli wszystkich klubów oraz stronę rządową, wydłużyła ten okres z 6 do 12 miesięcy.

Największą dyskusję wywołały jednak zmiany związane z dostawcami wysokiego ryzyka (DWR). Wiceminister Olszewski przypomniał na samym początku, że wszystkie informacje na temat tych zapisów zostały zawarte w uzasadnieniu do projektu ustawy, prosząc jednocześnie o nieprowadzenie dyskusji.

Kinga Pawłowska-Nojszewska z Krajowej Izby Komunikacji Ethernetowej w kwestii określenia podmiotów mających usuwać sprzęt dostawców wysokiego ryzyka wskazała, że we wszystkich państwach Wspólnoty z wdrożonym 5G Toolbox niektóre elementy sieci 5G mogą być częścią dyskusji o DWR.

Jej zdaniem, żadne państwo członkowskie nie miało tak szerokiego podejścia do problemu jak Polska; w projekcie ustawy zawarto bowiem zapis mówiący, że wszystkie podmioty kluczowe i ważne mogą podlegać pod dostawcę wysokiego ryzyka.

„Mamy 18 sektorów gospodarki, które potencjalnie mogą się liczyć z nakazem usuwania sprzętu w nieokreślonej skali. Naszym zdaniem jest niedopuszczalne, żeby polscy przedsiębiorcy mieli gorsze warunki prowadzenia działalności niż w innych państwach członkowskich Unii Europejskiej” – powiedziała Pawłowska-Nojszewska.

Zmiana nieniosąca bezpieczeństwa

Z kolei Marcin Zoła, Przewodniczący Rady Bezpieczeństwa Biznesowego stwierdził, że karanie przedsiębiorców, zasłaniając się kwestią bezpieczeństwa, jest błędem.

„Tym artykułem odbieramy podmiotom ważnym jak i kluczowym możliwość świadomości zagrożenia - bo nie wiemy, dlaczego dany dostawca jest wycofany - a drugie podjęcia decyzji. Fundujecie przedsiębiorcom telekomunikacyjnym bardzo poważną zmianę, która nie niesie ze sobą bezpieczeństwa” – zaznaczył w swojej wypowiedzi.

Jarosław Mąsiuk z Polskiego Towarzystwa Informatycznego przytoczył natomiast przykład Viasat na Ukrainie, który został wyłączony pierwszego dnia pełnoskalowej inwazji Rosji, stwierdzając, że „nie wierzy w przypadki”.

Zauważył również, że rozwiązań, gdzie może pojawić się moduł niebezpieczny, jest „mnóstwo”, zaś sieć RAN jest elementem krytycznym i może być narażona na ingerencję z zewnątrz.

„Chyba nie chcemy dopuścić do tego, żeby te rozwiązania funkcjonowały w polskiej infrastrukturze krytycznej” – podsumował przedstawiciel PTI.

Dysputa o dyskusję. „Nie chcecie słuchać strony społecznej”

Wówczas wiceminister Olszewski przypomniał, że intencją rządu jest zagwarantowanie bezpieczeństwa Polski, mieszkańców i przedsiębiorców, zaś dyskusja nad zmianami jest bezprzedmiotowa.

„Powtarzam wielokrotnie to, co mówiłem: zmian dotyczących dostawców wysokiego ryzyka, niezależnie od tego, ile słów i nieprawdziwych argumentów padnie, rząd nie przewiduje” – podkreślił.

Przewodniczący Komisji Bartłomiej Pejo (Konfederacja) zauważył, że w dyskusji pojawiły się różne głosy; na to jednak wiceszef resortu skontrował, że dyskusja już miała miejsce, zaś posiedzenie poświęcono rozpatrywaniu projektu.

Z kolei poseł Włodzimierz Skalik (Konfederacja Korony Polskiej) wyraził oburzenie podejściem Olszewskiego, oskarżając go o „pouczanie i redukowanie bardzo ważnej debaty w bardzo ważnej sprawie”. Zwrócił również uwagę, że zawarte w ustawie kolejne regulacje będą „dobijały” polskich przedsiębiorców, zaś sama nowelizacja ma stwarzać duże pole do nadużyć i korupcji.

Poseł Paweł Bliźniuk (KO) złożył natomiast wniosek o zakończenie dyskusji, który przyjęto stosunkiem 9 głosów za, 7 przeciw.

Wobec kontynuacji dyskusji podczas prac, poseł Grzegorz Napieralski (KO) złożył dodatkowy wniosek o wprowadzenie zasady 1 głosu za i 1 głosu przeciw w dyskusji dotyczących wszystkich zmian i poprawek. Przyjęto go stosunkiem 9 głosów za i 4 przeciw.

Nie chcecie państwo wsłuchiwać się w głos strony społecznej w sprawie dostawców wysokiego ryzyka.
Bartłomiej Pejo, Konfederacja, przewodniczący sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii

Subfundusz przy Funduszu Cyberbezpieczeństwa?

W sprawie artykułów dotyczących dostawców wysokiego ryzyka, posłowie Prawa i Sprawiedliwości oraz Konfederacji zgłosili w sumie ponad 20 poprawek. Wszystkie zostały odrzucone, zgodnie z negatywnymi rekomendacjami rządu.

Posiedzenie Komisji rozciągnięto na piątek wobec wyczerpania możliwości czasowych. Na dodatkowym posiedzeniu rozpatrzono pozostałe zmiany w ramach artykułu 1 (od 77 do 90), a także artykuły od 2 do 47 wraz z załącznikami 1-4.

Tego dnia przyjęto również ok. 20 poprawek zgłoszonych przez KO, zaś odrzucono trzy poprawki PiS oraz Konfederacji.

Podczas procedowania artykułu 18, przedstawiciele Związku Powiatów Polskich przypomnieli, że zaproponowali poprawkę dotyczącą utworzenia subfunduszu w ramach Funduszu Cyberbezpieczeństwa. Miałby on pomóc we wdrażaniu ustawy w ramach samorządu terytorialnego poprzez przekazanie na ten cel środków z kar wpływających do Funduszu.

Wiceminister Olszewski przypomniał jednak, że Fundusz to środki przeznaczone na dodatki personalne dla osób pracujących w branży cyberbezpieczeństwa i przyjęcie takiej zmiany spowodowałoby spore zamieszanie finansowe. Samorządy mogą skorzystać z dedykowanych im programów, jak Cyberbezpieczne Wodociągi.

Projekt KSC przyjęty. „Bez amunicji nic nie zrobimy”

Komisja przyjęła projekt ustawy na drodze głosowania z powodu zgłoszenia sprzeciwu; 9 posłów było za, 3 przeciwko. Jako sprawozdawcę wybrano posła KO Pawła Bliźniuka.

Dariusz Stefaniuk zadeklarował, że Prawo i Sprawiedliwość będzie głosowało przeciwko ustawie (podobnie jak Konfederacja). O ile bowiem należy wdrożyć takie prawo, jakie przyjęła Unia Europejska, tak jego zdaniem w Sejmie dodaje się do niego również inne przepisy. Zwracał przy tym uwagę na głos m.in. przedstawicieli organizacji branżowych czy prawników.

„Nigdy nie widziałem, żeby scena społeczna z różnych środowisk była tak zjednoczona i mówiła, że to są złę przepisy, które doprowadzą do tragedii polskich przedsiębiorców” – zaznaczył Stefaniuk, deklarując jednocześnie zgłaszanie poprawek w II czytaniu.

Poseł Napieralski w kontrze do posła PiS przypomniał, że podczas procedowania projektu ustawy w poprzedniej kadencji, o wiele więcej środowisk było jej przeciwnych niż obecnie.

„Mieliście szansę, żeby tę ustawę przyjąć w zeszłej kadencji. Zagrożenia na świecie stwarzają ryzyko dla naszego kraju” – podkreślił.

Tymczasem wiceminister Paweł Olszewski przypomniał o procedurze, którą wszczęła Komisja Europejska wobec Polski w sprawie niewdrożenia NIS2.

„Musimy mieć narzędzia, żeby odpierać te ataki. Możemy kupować karabiny i pistolety, ale jeżeli nie będziemy mieli amunicji, to nic z nimi nie zrobimy” – dodał wiceszef resortu cyfryzacji, apelując do wszystkich ugrupowań o poparcie projektu.

Teraz projekt nowelizacji ustawy ponownie trafi na salę plenarną Sejmu.