Zmiany w ustawie o krajowym systemie cyberbezpieczeństwa opublikowane

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw wdraża w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. 

Ministerstwo Cyfryzacji zaznacza, że Polska wprowadza tym samym nowe standardy ochrony cyfrowej.

Krajowy system cyberbezpieczeństwa zapewnia bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach, które odpowiadają za usługi dla obywateli. Nowelizacja ustawy rozszerza obowiązki z zakresu cyberbezpieczeństwa na nowe sektory gospodarki. Do dotychczas chronionych obszarów, takich jak np. bankowość czy energetyka, dołączają m.in. odprowadzanie ścieków, usługi pocztowe oraz produkcja i dystrybucja żywności i chemikaliów. Dzięki temu obszary kluczowe dla codziennego funkcjonowania każdego obywatela będą lepiej chronione.  

Ustawa wprowadza nową strukturę krajowego systemu cyberbezpieczeństwa, rozszerza obowiązki podmiotów publicznych i prywatnych w obszarze cyberbezpieczeństwa, określa na nowo kompetencje organów państwowych oraz wprowadza mechanizmy prewencyjne i kontrolne w odniesieniu do podmiotów kluczowych i ważnych. W ustawie wprowadzono też definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali działania nadal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać incydenty i stosować podstawowe procedury ochrony systemów informacyjnych.

Czy po wejściu w życie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa urząd gminy będzie wykonywał obowiązki dla podmiotu publicznego, czy też obowiązki podmiotu kluczowego? - sprawdź w LEX >

Podpis prezydenta, ale i weto

W lutym prezydent Karol Nawrocki poinformował, że zdecydował o podpisaniu nowelizacji, ale jednocześnie skierował wniosek do Trybunału Konstytucyjnego o zbadanie zgodności z Konstytucją przepisów o tzw. dostawcach wysokiego ryzyka. Ogłaszając podpisanie ustawy, powiedział:

Bezpieczeństwo nie ma barw partyjnych.

Kancelaria Prezydenta podała wówczas, że "wątpliwości Karola Nawrockiego budzi objęcie ustawą aż 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Przy czym, rozszerzenie to nie wynika z przepisów europejskich, a jest samodzielną inicjatywą rządu. Zasadne jest zgłoszenie zastrzeżeń również wobec przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. „poleceń zabezpieczających”. Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel. Ponadto wadliwy jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Przewidziany ustawą system kar administracyjnych jest restrykcyjny, a wysokość możliwych do nałożenia kar ma wręcz charakter samodzielnych środków karnych. Prezydent zdecydował zatem o przekazaniu ustawy do Trybunału Konstytucyjnego celem weryfikacji podniesionych zarzutów dotyczących naruszenia przepisów Konstytucji RP."

Ustawa zakłada m.in., że przedsiębiorcy zobligowani do stosowania ustawy będą musieli na swój koszt usunąć sprzęt, który zgodnie z decyzją ministra cyfryzacji stanowi "zagrożenie dla podstawowego interesu bezpieczeństwa państwa”. Przeciw takiemu rozwiązaniu opowiadali się niektórzy konstytucjonaliści i część środowisk biznesowych. Więcej w artykule:

Nowe sektory w centrum cyberbezpieczeństwa

Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia i pozwolą zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.

Czytaj też w LEX: Sztuczna inteligencja a cyberbezpieczeństwo: sojusznik czy koń trojański w świetle nowych regulacji? >

Silniejsze instytucje – szybsza reakcja na zagrożenia

Ustawa zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje, co pozwoli im działać sprawniej i skuteczniej. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły:

• wydawać ostrzeżenia,
• wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
• nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.

Zgodnie z nowymi przepisami Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.

Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:

• wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
• żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
• kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.

Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.

Do ustawy zostanie wprowadzone już funkcjonujące Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.

Podmioty kluczowe i ważne – większa odpowiedzialność, większe bezpieczeństwo

Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa, takich jak energetyka, transport, bankowość, czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych, oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.

Czytaj też: Kiedy zgłaszać incydent cyberbezpieczeństwa? NIS 2 zmienia definicję incydentu poważnego >

Nowe obowiązki dla przedsiębiorców

Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług.  W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.

Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia.

- Grupa podmiotów obowiązanych znacznie się powiększa w porównaniu do poprzedniej ustawy. Najważniejsza zmiana: członkowie zarządów ponoszą osobistą odpowiedzialność za naruszenia, z odpowiedzialnością karną włącznie - skomentował Adam Woźniak, partner i lider zespołu cyberbezpieczeństa w Grant Thornton Technology.

Procedura uznania za dostawcę wysokiego ryzyka

Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.

Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.

Czytaj też w LEX: 10 kluczowych zmian, jakie wprowadza nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa >

Surowe kary

Za nieprzestrzeganie przepisów na przedsiębiorców z wymienionych w ustawie sektorów będą nakładane kary: co do zasady

• na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł);
• na podmioty ważne - min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).

Kara może też wynieść 2 proc. przychodów firmy - w przypadku podmiotów kluczowych; a w przypadku podmiotów ważnych - 1,4 proc. przychodów.

Niezależnie od limitów, za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.

Czytaj też w LEX: Rola inspektora ochrony danych w obszarze cyberbezpieczeństwa >

Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Ustawa wejdzie w życie w dniu 3 kwietnia 2026 roku.