Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza możliwość formalnego wskazywania tzw. dostawców wysokiego ryzyka, czyli producentów sprzętu lub oprogramowania, których produkty mogą stanowić zagrożenie dla bezpieczeństwa państwa. Nowe przepisy mają na celu ochronę kluczowych systemów i usług, takich jak dostawy energii, wody, ochrona zdrowia czy bankowość, przed cyberatakami i ingerencją z zewnątrz. Minister cyfryzacji będzie mógł wydać decyzję, w której wskaże konkretnego dostawcę wysokiego ryzyka, aby wyeliminować niebezpieczny sprzęt lub oprogramowanie z systemów istotnych dla funkcjonowania państwa.
Zgodnie z projektem ustawy, podmioty uznane za kluczowe i ważne będą miały obowiązek wycofania z użycia produktów pochodzących od dostawcy wysokiego ryzyka. Na realizację tego obowiązku przewidziano 7 lat, a w przypadku sprzętu wykorzystywanego w krytycznych funkcjach sieci telekomunikacyjnych – 4 lata. Czas ten odpowiada cyklowi życia urządzeń i oprogramowania, co pozwoli na stopniową wymianę bez zakłócenia ciągłości świadczenia usług.
Celem nowych przepisów jest zwiększenie poziomu cyberbezpieczeństwa infrastruktury krytycznej i zapewnienie zgodności polskich regulacji z europejskimi standardami. Obecnie w Polsce brakowało mechanizmów, które pozwalałyby na wycofanie z obiegu produktów ICT stwarzających ryzyko dla bezpieczeństwa narodowego. Zmiana przepisów umożliwi więc reagowanie prewencyjne – zanim dojdzie do incydentu – oraz zwiększy odporność państwa na cyberzagrożenia.
Wprowadzenie nowych regulacji ma charakter prewencyjny i nie oznacza, że decyzje o uznaniu dostawców wysokiego ryzyka zostaną wydane natychmiast. W praktyce chodzi o stworzenie narzędzi prawnych, które pozwolą działać w sytuacjach potencjalnego zagrożenia. Minister cyfryzacji będzie mógł wszcząć postępowanie z własnej inicjatywy lub na wniosek przewodniczącego Kolegium do spraw Cyberbezpieczeństwa, które opracuje opinię na temat danego dostawcy.
Decyzja o uznaniu danego przedsiębiorcy za dostawcę wysokiego ryzyka będzie wynikiem wieloetapowego i transparentnego postępowania. Kolegium ds. Cyberbezpieczeństwa oceni m.in. potencjalne zagrożenia dla bezpieczeństwa narodowego, zobowiązań Polski wobec NATO i Unii Europejskiej, a także strukturę właścicielską i powiązania danej firmy. Analizie zostaną poddane również kwestie techniczne – liczba i rodzaj wykrytych podatności, wcześniejsze incydenty cyberbezpieczeństwa, certyfikaty produktów oraz nadzór nad procesem produkcji i dystrybucji.
W skład zespołu przygotowującego opinię w sprawie dostawcy wysokiego ryzyka wejdzie przedstawiciel Urzędu Ochrony Konkurencji i Konsumentów, co ma zagwarantować uwzględnienie zasad uczciwej konkurencji i równego traktowania firm. W postępowaniu będą mogły również uczestniczyć organizacje społeczne, przedstawiając swoje stanowiska i opinie. Sam dostawca otrzyma prawo do przedstawienia własnych dowodów i wyjaśnień, a w przypadku niekorzystnej decyzji – możliwość odwołania się do sądu administracyjnego.
Warto zaznaczyć, że decyzja ministra cyfryzacji będzie dotyczyć konkretnych typów produktów lub usług ICT, a nie całego asortymentu danej firmy. Oznacza to, że przedsiębiorca uznany za dostawcę wysokiego ryzyka nie zostanie całkowicie wyeliminowany z rynku, jeśli jego inne produkty nie stwarzają zagrożenia. Takie rozwiązanie ma na celu zachowanie równowagi między ochroną bezpieczeństwa państwa a zasadami wolnego rynku i konkurencyjności.
Podmioty kluczowe i ważne, które korzystają z produktów uznanego dostawcy, będą mogły nadal z nich korzystać do momentu ich wymiany. Przez ten czas dopuszczalne będzie ich modernizowanie, aktualizowanie oraz naprawa, o ile działania te nie zwiększają ryzyka dla bezpieczeństwa sieci lub usług. W praktyce oznacza to, że proces wycofywania sprzętu i oprogramowania będzie rozłożony w czasie i dostosowany do cyklu inwestycyjnego danej organizacji.
Nowe przepisy przewidują również kary finansowe dla podmiotów, które nie zastosują się do obowiązku wycofania sprzętu lub oprogramowania dostawcy wysokiego ryzyka. Dla podmiotów kluczowych przewidziano minimalną karę w wysokości 20 tys. zł, a dla podmiotów ważnych – 15 tys. zł. W sytuacjach, gdy naruszenie przepisów spowoduje bezpośrednie zagrożenie dla bezpieczeństwa lub życia ludzi, wysokość kary może wynieść nawet 100 milionów złotych.
Podobne przepisy funkcjonują już w większości krajów Unii Europejskiej, a polska ustawa ma dostosować krajowe rozwiązania do standardów europejskich. W wielu państwach UE istnieją mechanizmy pozwalające identyfikować i eliminować dostawców sprzętu i oprogramowania, którzy mogą zagrażać bezpieczeństwu publicznemu. Polskie regulacje czerpią z tych doświadczeń, jednocześnie uwzględniając krajowe realia i strukturę sektora teleinformatycznego.
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw został przyjęty przez Radę Ministrów 21 października 2025 r. i wkrótce trafi do parlamentu. Przepisy wejdą w życie miesiąc po ogłoszeniu w Dzienniku Ustaw, a ich wdrożenie ma wzmocnić ochronę polskiej infrastruktury krytycznej i zapewnić większe bezpieczeństwo cyfrowe wszystkim obywatelom. Dzięki nowym rozwiązaniom Polska dołącza do krajów, które kompleksowo chronią swoje systemy przed cyberzagrożeniami i wykorzystaniem technologii w celach wrogich wobec państwa.
