Dyskusja wokół nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wciąż bywa prowadzona tak, jakby dotyczyła wyłącznie sektora telekomunikacyjnego lub regulacji o charakterze technicznym. To zasadniczy błąd. W rzeczywistości mówimy o fundamentach bezpieczeństwa narodowego państwa. O infrastrukturze, bez której nie funkcjonują dziś ani administracja publiczna, ani służby, ani nowoczesna gospodarka - pisze Michał Kanownik, prezes Związku Cyfrowa Polska.

Wprowadzona w ustawie instytucja dostawcy wysokiego ryzyka jest niezgodna z Konstytucją i prowadzi do wywłaszczenia podmiotów wykorzystujących sprzęt elektroniczny lub oprogramowanie wskazane w decyzji ministra – twierdzą przeciwnicy nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. - Te przepisy są warunkiem bezpieczeństwa państwa – przekonują inni. W oczekiwaniu na decyzję prezydenta, organizacje biznesowe przerzucają się argumentami.

Infrastruktura IT Uniwersytetu Warszawskiego padła ofiarą złośliwego oprogramowania typu ransomware – poinformował wicepremier Krzysztof Gawkowski. Rzeczniczka uczelni zapewniła, że dotychczasowe ustalenia nie wskazują na wyciek danych osobowych.

Zapewnienie cyberbezpieczeństwa będzie jednym z filarów odpowiedzialności osób zarządzających. Niedopełnianie obowiązków w tym zakresie może grozić zarówno osobistym zakazem pełnienia funkcji kierowniczych, jak i ograniczeniem lub nawet zatrzymaniem działalności operacyjnej – piszą Alicja Szyrner i Michał Majnusz, radcowie prawni z kancelarii Rödl.

Weryfikacja wieku to jeden z kluczowych problemów dla regulacji mających chronić dzieci przed szkodliwymi treściami w internecie – twierdzi Mateusz Kupiec, associate w kancelarii Traple Konarski Podrecki i Wspólnicy, asystent badawczy w Instytucie Nauk Prawnych PAN. I wskazuje, że w grę może wchodzić potwierdzanie pełnoletności za pośrednictwem otwartej bankowości, weryfikacja dokumentu tożsamości ze zdjęciem, ocena wieku na podstawie cech twarzy, weryfikacja przez operatorów sieci komórkowych, wykorzystanie kart płatniczych oraz portfele tożsamości cyfrowej.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza nowe obowiązki dla wielu podmiotów korzystających z rozwiązań cyfrowych, które muszą samodzielnie sprawdzić, czy są podmiotami kluczowymi lub ważnymi. W razie pozytywnej kwalifikacji konieczne jest złożenie wniosku o wpis do wykazu – piszą Alicja Szyrner i Michał Majnusz, radcowie prawni z kancelarii Rödl.

Zarządy podmiotów zaliczanych do kategorii "ważnych" mogą nie zdawać sobie sprawy, że ich działalność jest krytyczna dla gospodarki. W Polsce przyjęto model samoidentyfikacji – to zarząd musi przeanalizować status organizacji. Jeśli spełnia ona przesłanki, ma obowiązek zgłosić się do wykazu ministra cyfryzacji - pisze Paulina Petroniec-Bruens, adwokat, BCLA Bisiorek, Cieśliński i Partnerzy.

Wiele wskazuje, że największym problemem do rozwiązania w pracach nad przepisami, mającymi chronić dzieci przed pornografią i innymi szkodliwymi treściami w internecie, jest weryfikacja wieku osób korzystających z takich przekazów. Jest dość powszechna zgoda, że sama deklaracja użytkownika to za mało, że trzeba wprowadzić jakiś inny mechanizm, ale wciąż nie wiadomo, co to miałoby być. Na forum UE trwają prace nad odpowiednią aplikacją, ale wciąż nie wiadomo, czy i kiedy ona powstanie.

11 organizacji przedsiębiorców przeciwnych nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa w kształcie przyjętym przez parlament prosi Karola Nawrockiego o zainicjowanie kontroli jej konstytucyjności, np. poprzez skierowanie jej do Trybunału Konstytucyjnego. Jak przekonują, przepisy prowadzą do wywłaszczenia bez odszkodowania przedsiębiorców ze sprzętu elektronicznego uznanego za stwarzający wysokie ryzyko.

Krajowy System e-Faktur został uruchomiony zgodnie z harmonogramem - poinformowało Ministerstwo Finansów w mediach społecznościowych. Również minister Andrzej Domański skomentował, że system ruszył sprawnie i bez zakłóceń. Na początku system obejmuje 4,2 tys. największych firm. MF zapewnia, że przeprowadzone testy potwierdziły założone wymagania funkcjonalne oraz techniczne, odporność na obciążenia oraz spełnienie wymogów bezpieczeństwa.

W 2024 r. do Urzędu Ochrony Danych Osobowych wniesiono 8 tys. skarg, w 2025 – już prawie 13 tys. Rośnie też liczba zgłoszonych naruszeń i zawiadomień do prokuratury, a przede wszystkim – wysokość nakładanych kar. Mirosław Wróblewski, prezes urzędu, na półmetku swojej kadencji zapowiada wzmożoną aktywność w obszarze cyfrowym, nadzór nad służbami i zapewnienie horyzontalnej ochrony w kontekście AI.

Znana ekspertka od wirusów i szczepień pochwaliła się powołaniem do eksperckiego zespołu ds. dezinformacji medycznej u Rzecznika Praw Pacjenta. Gratulacje z tej okazji złożyły jej branżowe portale medyczne i macierzysta uczelnia. Gdy ciekawska obywatelka zapytała po jakimś czasie o efekty pracy tego zespołu, urzędnicy RPP zaprzeczyli, aby został on w ogóle powołany.

Komisja Europejska, publikując 20 stycznia 2026 r. projekt rozporządzenia „Akt w sprawie cyberbezpieczeństwa 2” (CSA 2), zaproponowała istotne zmiany dla dotychczasowych ram cyberbezpieczeństwa ustanowionych rozporządzeniem 2019/881. Nowe przepisy mają zapewnić wyższy poziom odporności systemowej, większą harmonizację wymogów oraz realne wsparcie operacyjne dla państw członkowskich i przedsiębiorstw - pisze dr Bartosz Bacia, radca prawny.

Sejmowa komisja nie poparła rekomendacji o odrzucenie w całości ustawy o Krajowym Systemie Cyberbezpieczeństwa, która implementuje dyrektywę NIS 2. Zaproponowała natomiast wprowadzenie do ustawy kilkunastu poprawek. Business Centre Club ostrzega tymczasem przed legislacyjnym pośpiechem i nadregulacją.

Dyrektywa NIS 2 oraz wdrażająca ją nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa mają na celu podniesienie poziomu ochrony przed zagrożeniami cyfrowymi. Przewidują szereg nowych obowiązków dla podmiotów z wielu branż. Istotną nowością jest konieczność zgłaszania incydentów z zakresu cyberbezpieczeństwa w podobny sposób jak ma to już miejsce w przypadku RODO – piszą Alicja Szyrner i Michał Majnusz, radcowie prawni z kancelarii Rödl.

Niezgodny z prawem dostęp do systemów informatycznych oraz przechwytywanie danych będą skuteczniej w Polsce ścigane, jeśli dojdzie do uchwalenia proponowanych przez rząd zmian w kodeksie karnym. Zrealizowany w ten sposób zostanie cel unijnej dyrektywy, zobowiązującej państwa członkowskie do zagwarantowania, by umyślne i bezprawne uzyskiwanie dostępu do całości lub jakiejkolwiek części systemu informatycznego, było karalne jako przestępstwo.

Bezpieczeństwo danych osobowych przy stosowaniu monitoringu wizyjnego w podmiotach leczniczych - w tym szczególnie przetwarzanie danych dzieci - to jeden z priorytetów tegorocznych kontroli sektorowych, które będzie prowadził Urząd Ochrony Danych Osobowych. Przypominamy więc, na co nacisk kładli kontrolerzy UODO w podobnych sprawach dotyczących placówek ochrony zdrowia.

Absurdem jest, że nie możemy się w Polsce poskarżyć na tak rażące naruszenia prawa, jak to, że wielkie platformy wpuszczają nawet 10-latki, a algorytmy zoptymalizowane na klikalność serwują im treści drastyczne, pornografię i szkodliwe instruktaże – twierdzi prezeska Fundacji Panoptykon Katarzyna Szymielewicz. Podobne stanowisko przyjęła Rada Polskich Mediów: brak ustawy utrudni walkę z dezinformacją i skrajnie szkodliwymi treściami w sieci.

Rok, a nie tylko sześć miesięcy, będą mieli przedsiębiorcy zaliczani do tzw. kluczowych i ważnych na wdrożenie nowych obowiązków wnikających z dyrektywy NIS 2. Zakłada tak poprawka do nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Chociaż to na razie tylko propozycja sejmowej komisji, została przyjęta jednomyślnie przez reprezentantów wszystkich klubów.

TSUE wydał wyrok, który ma ogromne znaczenie dla wielu serwisów internetowych, w tym mediów społecznościowych. Uznał, że operator internetowej witryny handlowej ponosi odpowiedzialność za dane osobowe zawarte w ogłoszeniach publikowanych na jego platformie. Powinien identyfikować ogłoszenia, które zawierają dane szczególnych kategorii i weryfikować, czy użytkownik zamierzający zamieścić takie ogłoszenie, jest osobą, której dane dotyczą, a jeżeli nie jest, czy dysponuje zgodą osoby, której dane te dotyczą.