W odpowiedzi na rosnące zagrożenia w cyberprzestrzeni Polska wzmacnia swoje mechanizmy ochrony cyfrowej. Uchwalenie przez Sejm nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającej unijną dyrektywę NIS2, ma zwiększyć bezpieczeństwo usług i systemów, z których codziennie korzystają obywatele, przedsiębiorcy oraz instytucje publiczne.
– Ustawa o Krajowym Systemie Cyberbezpieczeństwa to kompleksowa regulacja, która ma wzmocnić ochronę obywateli i instytucji przed cyberzagrożeniami. Rozszerzamy system na kolejne, wrażliwe sektory gospodarki, wzmacniamy instytucje odpowiedzialne za reagowanie na incydenty i wprowadzamy jasne zasady odpowiedzialności. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Nowe sektory w centrum cyberbezpieczeństwa
Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia i pozwolą zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.
– Nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe. Przepisy wzmocnią bezpieczeństwo usług używanych przez obywateli, zapewnią lepszą ochronę danych i zwiększą odporność systemów cyfrowych. Celem jest stabilna i bezpieczna cyberprzestrzeń dla wszystkich Polaków i gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski.
Silniejsze instytucje – szybsza reakcja na zagrożenia
Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje, co pozwoli im działać sprawniej i skuteczniej. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły:
- wydawać ostrzeżenia,
- wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
- nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Zgodnie z nowymi przepisami Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.
Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:
- wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
- żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
- kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Do ustawy zostanie wprowadzone już funkcjonujące Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.
Podmioty kluczowe i ważne – większa odpowiedzialność, większe bezpieczeństwo
Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa, takich jak energetyka, transport, bankowość, czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych, oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.
Nowe obowiązki dla przedsiębiorców
Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług. W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.
Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia.
Procedura uznania za dostawcę wysokiego ryzyka
Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.
Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.
Poprawki przyjęte w toku prac sejmowych
Podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii 22 stycznia 2026 r., Sejm przyjął także poprawki doprecyzowujące wybrane rozwiązania projektu. Jedna z nich wprowadza obowiązek udziału przedstawiciela Prezydenta RP w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Dokument ten określi cele oraz tryb zarządzania incydentami i sytuacjami kryzysowymi w cyberprzestrzeni.
Druga poprawka przewiduje, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie ustawy. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.