Pod datą 5 maja Rządowe Centrum Legislacji opublikowało nową wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Projekt ten skierowany został na komisję prawniczą.
Po raz pierwszy odwołuje się on i deklaruje wdrożenie unijnego rozporządzenia o ENISA i certyfikacji cyberbezpieczeństwa, dyrektywy stanowiącej Europejski Kodeks Łączności Elektronicznej oraz przepisy techniczne i zasady dotyczące usług społeczeństwa informacyjnego. Nowa wersja projektu KSC w szerokim stopniu rezygnuje z własnych definicji i odwołuje się do definicji zawartych w projekcie ustawy Prawo komunikacji elektronicznej (co by oznaczało, że oba akty wejdą w życie łącznie, lub PKE zostanie przyjęte pierwsze).
W nowej wersji KSC nie ma szczególnych zmian odnośnie dostawców wysokiego ryzyka (DWR) i procedur związanych z ich produktami. Warto zaznaczyć, że minister ds. informatyzacji ma zyskać dostęp do informacji w sprawie wycofywania zakwestionowanych produktów DWR, które użytkownicy będą mieli obowiązek przekazywać „uprawnionym służbom”.
Załącznik „Kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług” został zharmonizowany ze standardem 3GPP.
Kilka zmian wprowadzony do rozdziału o strategicznej sieci bezpieczeństwa (SSB). Parametry techniczne tej sieci muszą umożliwiać szyfrowaną łączność. W sprawie powołania jej operatora opinię ma wyrazić kolegium ds. cyberbezpieczeństwa. W koszy jej usług nie będzie wliczany CAPEX finansowany z publicznej dotacji.
Zredukowane zostały zapisy dotyczące obowiązkowego udostępniania operatorowi SSB częstotliwości z zakresu 700 MHz przez jego dysponentów w sytuacjach szczególnego zagrożenia (sam obowiązek pozostał). Ponadto wprowadzono zapis o anulowaniu części opłat za korzystanie z tych zasobów przez przedsiębiorców telekomunikacyjnych na czas udostępnienia operatorowi SSB oraz o możliwości dochodzenia odszkodowań za straty wynikłe z obowiązkowego udostępnienia.
Wykreślono także możliwość korzystania przez operatora SSB z częstotliwości radiowych, których przeznaczenie określone jest w krajowym planie jako „rządowe” lub „cywilno-rządowe”. O rok przesunięty został projekt tworzenia sieci SSB i harmonogram obciążenia budżetu państwa z tego tytułu (w części za który odpowiedzialny jest resort aktywów państwowych).
W dominującej w całym projekcie części dotyczącej stricte spraw cyberbezpieczeństwa większość zmian ma charakter redakcyjny i porządkowy.
Zwraca uwagę znaczna reedukacja przepisów dotyczących krajowego programu certyfikacji cyberbezpieczeństwa. W dotychczasowej wersji projektu procedury były opisane znacznie dokładniej. Ponadto wcześniej zdefiniowanie krajowego programu certyfikacji było zadaniem ministra właściwego ds. cyfryzacji lub podległych mu jednostek. Teraz w to miejsce jest mowa o tym, że minister cyfryzacji może (co prawda fakultatywnie) „na podstawie umowy cywilnoprawnej, zlecić podmiotom dysponującym wiedzą i kompetencjami w zakresie określonej technologii przygotowanie projektów, dokumentacji, opinii, ekspertyz i analiz dla określonych grup produktów ICT, usług ICT lub procesów ICT”. Nie dokonano co prawda prostej zamiany kompetencji, ale podniesiono znaczenie zewnętrznych specjalistów. Uszczegółowione zostały ponadto zasady kontroli nad podmiotami, które uzyskały certyfikaty.
Określono zasady informowania podmiotów zobowiązanych do realizacji zaleceń zabezpieczających.