Dostawca wysokiego ryzyka – kto zapłaci?

Projektowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza instytucję dostawcy wysokiego ryzyka (high risk vendors – HRV) i wskazuje tryb postępowania w sprawie uznania dostawcy za HRV. Polski ustawodawca zdecydował się na wdrożenie dyrektywy NIS2 wraz z zaleceniami wynikającymi z EU 5G Toolbox, w tym regulacjami dotyczącymi dostawców wysokiego ryzyka, w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Przyjęty w obecnym projekcie z dnia 12 sierpnia 2025 r. ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (projekt ustawy KSC) proces uznania dostawcy za dostawcę wysokiego ryzyka wymusza na przedsiębiorcach stały monitoring informacji publikowanych w Biuletynie Informacji Publicznej (BIP) ministra ds. cyfryzacji. Decyzje wydawane w sprawie uznania dostawcy za dostawcę wysokiego ryzyka będą wywoływać bezpośredni skutek wobec każdego, kto korzysta z usług lub produktów takiego dostawcy.

Konsultacje społeczne

Przepisy dotyczące dostawców wysokiego ryzyka budzą kontrowersje szczególnie wśród przedsiębiorców komunikacji elektronicznej. Podczas konsultacji społecznych projektu nowelizacji ustawy KSC wielokrotnie podkreślano, że procedura uznania za dostawcę wysokiego ryzyka stanowi nadregulację wobec przepisów unijnych wynikających z dyrektywy NIS2. Główny zarzut środowiska telekomunikacyjnego opiera się na tym, że polski ustawodawca oparł procedurę uznania dostawcy wysokiego ryzyka na dokumencie 5G Toolbox, który dotyczył oceny ryzyka dostawców w sieciach wykonanych w technologii 5G, a więc wyłącznie sektora ruchomych sieci telekomunikacyjnych działających w tej technologii.

Mimo wielokrotnie zgłaszanych postulatów ustawodawca zdecydował, że procedura uznania za dostawcę wysokiego ryzyka obejmie łącznie 18 sektorów gospodarki, a nie tylko sektor telekomunikacyjny sieci ruchomych wykonanych w technologii 5G. To rozwiązanie będzie miało ogromny wpływ na działalność wielu branż. Przedsiębiorcy zostaną zobowiązani do cyklicznych audytów wykorzystywanego sprzętu i oprogramowania oraz do wdrożenia polityk wycofania oprogramowania lub sprzętu w terminach wskazanych w projekcie nowelizacji ustawy KSC.

Definicja

Zgodnie z projektem ustawy KSC za dostawcę wysokiego ryzyka może zostać uznany producent, jego upoważniony przedstawiciel, importer lub dystrybutor sprzętu albo oprogramowania ICT, usługi ICT lub procesu ICT.

Postępowanie w tej sprawie może wszcząć z urzędu lub – na wniosek przewodniczącego kolegium ds. cyberbezpieczeństwa – minister właściwy do spraw informatyzacji. Decyzja o wszczęciu postępowania wobec dostawcy sprzętu, oprogramowania lub usług ICT może zostać podjęta, jeżeli działalność dostawcy stanowi zagrożenie dla bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.

Postępowanie w sprawie uznania dostawcy za HRV obejmuje sprzęt i oprogramowanie wykorzystywane przez:

- podmioty ważne i kluczowe, w tym m.in. sektor ochrony zdrowia udzielający świadczeń zdrowotnych, organizacje badawcze, sektor produkcji (np. producenci wyrobów medycznych, diagnostyki in vitro czy żywności);

- przedsiębiorców komunikacji elektronicznej, których roczne przychody z działalności telekomunikacyjnej w poprzednim roku obrotowym przekroczyły 10 milionów złotych;

- podmioty finansowe, z wyłączeniem podmiotów określonych w art. 16 rozporządzenia 2022/2554.

Oznacza to, że decyzje dotyczące dostawców wysokiego ryzyka mogą obejmować jakikolwiek sprzęt lub oprogramowanie wykorzystywane w 18 sektorach gospodarki, w tym w całym sektorze telekomunikacyjnym – niezależnie od stosowanej technologii.

Decyzja o uznaniu za dostawcę wysokiego ryzyka ma być podejmowana po stwierdzeniu, że dostawca (oraz podmioty wchodzące w skład jego grupy kapitałowej w rozumieniu ustawy o rachunkowości) – ze względu na produkowany sprzęt, wprowadzane na rynek oprogramowanie, świadczone usługi ICT lub wykorzystywane procesy ICT – stanowi zagrożenie dla podstawowych interesów bezpieczeństwa państwa.

Wydanie decyzji będzie poprzedzone opinią kolegium ds. cyberbezpieczeństwa, opartą na analizie m.in.:

- zagrożeń bezpieczeństwa narodowego (ekonomicznych, wywiadowczych, terrorystycznych),

- ryzyka naruszenia zobowiązań sojuszniczych i europejskich,

- prawdopodobieństwa, że dostawca podlega kontroli państwa spoza UE i NATO,

- powiązań dostawcy z podmiotami zaangażowanymi w cyberataki (np. Chosun EXPO, który wspierał technicznie i finansowo cyberataki znane jako „WannaCry” wymierzone m.in. w polską Komisję Nadzoru Finansowego i Sony Pictures Entertainment).

Wydanie decyzji

Skutkiem wydania decyzji będzie zakaz nabywania i wprowadzania do użytku wskazanych produktów ICT, usług ICT i procesów ICT oraz obowiązek wycofania z użytkowania już nabytego sprzętu, oprogramowania lub usług.

Wycofanie sprzętu ma nastąpić:

- w terminie siedmiu lat od dnia ogłoszenia decyzji – dla większości podmiotów,

- w terminie czterech lat – dla przedsiębiorców telekomunikacyjnych, których roczne przychody z działalności telekomunikacyjnej w poprzednim roku obrotowym przekroczyły 10 milionów złotych.

Do czasu wycofania sprzętu lub oprogramowania przedsiębiorcy mogą korzystać z niego wyłącznie w zakresie naprawy, modernizacji, wymiany elementu lub aktualizacji – jeżeli jest to niezbędne dla zachowania jakości i ciągłości świadczonych usług.