Jak wspominaliśmy w artykule: „Dyrektywa NIS 2 w Polsce – kogo dotyczy i jakie wymogi nakłada dyrektywa?” Polska znalazła się w gronie krajów unijnych, które nie wdrożyły dyrektywy NIS2 na czas. Na dzień pisania artykułu stan prawny wygląda tak, że 23 stycznia 2026 roku sejm uchwalił ustawę o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, natomiast wciąż nie wiemy, jakie będę jej dalsze losy. Wszystkie uwagi odnoszą się więc do rzeczywistości projektowanej. Z drugiej jednak strony ustawa wchodzi w życie po upływie miesiąca od dnia ogłoszenia, zatem z wyprzedzeniem warto śledzić jej losy i przygotować swoje przedsiębiorstwo na planowane zmiany.
Ustawa o krajowym systemie cyberbezpieczeństwa – czego dotyczy?
Ustawa o krajowym systemie cyberbezpieczeństwa dotyczy organizacji krajowego systemu cyberbezpieczeństwa oraz zadań i obowiązków podmiotów wchodzących w skład tego systemu. Określa także sposób sprawowania nadzoru i kontroli w zakresie stosowania jej przepisów.
Zmiany uchwalone w kilka dni temu odnoszą się także Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Innymi słowy, nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma na celu wdrożenie i dostosowanie krajowego systemu tak, żeby był odporny na współczesne cyberzagrożenia.
Skontaktuj się z nami!
KontaktZmiany w ustawie o krajowym systemie cyberbezpieczeństwa w roku 2026
Najważniejszą zmianą strukturalną nowelizacji o krajowym systemie cyberbezpieczeństwa jest odejście od dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych na rzecz podmiotów kluczowych oraz podmiotów ważnych.
Obowiązkami zostaną objęte nowe obszary, takie jak: gospodarowanie odpadami, ścieki, zarządzanie usługami ICT, przestrzeń kosmiczna, poczta, produkcja chemikaliów oraz produkcja i dystrybucja żywności.
Co istotne – wprowadzono generalny obowiązek samodzielnego zgłoszenia się podmiotu do wykazu podmiotów kluczowych i ważnych w terminie 3 miesięcy od dnia spełnienia przesłanek, a zatem przedsiębiorcy działający we wspomnianych wyżej sektorach gospodarki powinni zachować czujność.
Kogo obejmuje krajowy system cyberbezpieczeństwa?
Fundamentem systemu są przedsiębiorstwa o strategicznym znaczeniu dla Państwa. Krajowy system cyberbezpieczeństwa wyróżnia podmioty kluczowe i podmioty ważne.
Podmioty kluczowe obejmują duże przedsiębiorstwa z sektorów strategicznych jak energia (w tym energetyka jądrowa i wydobycie kopalin), transport, ochrona zdrowia, bankowość, infrastruktura rynków finansowych, woda pitna, ścieki oraz infrastruktura cyfrowa. Do tej kategorii, niezależnie od wielkości, należą także dostawcy usług DNS, rejestry nazw domen TLD, kwalifikowani dostawcy usług zaufania oraz podmioty uznane za krytyczne na podstawie dyrektywy CER.
Z kolei podmioty ważne to zazwyczaj średnie przedsiębiorstwa z sektorów wymienionych powyżej oraz podmioty (średnie i duże) z sektorów: usługi pocztowe, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, produkcja wyrobów (np. elektroniki, maszyn, pojazdów) oraz badania naukowe.
Jakie są obowiązki podmiotów w systemie?
Pierwszym i najważniejszym obowiązkiem w krajowym systemie cyberbezpieczeństwa jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), który musi obejmować systematyczne identyfikowanie i analizowanie zagrożeń oraz zarządzanie tym ryzykiem.
Przedsiębiorcy odpowiedzialni będą także za stosowanie adekwatnych zabezpieczeń, takich jak polityki bezpieczeństwa, zarządzanie aktywami, kontrola dostępu oraz stosowanie kryptografii i szyfrowania.
Kolejnym z obowiązków jest opracowanie i testowanie dokumentów na wypadek sytuacji kryzysowych planów ciągłości działania (BCP). Plany te mają zapewnić ciągłe i niezakłócone świadczenie usługi oraz zapewniających poufność, integralność, dostępność i autentyczność informacji w systemie. Dodatkowo powstać mają plany awaryjne oraz plany odtworzenia systemów po katastrofie (DRP). Te z kolei mają umożliwić odtworzenie działalności po zdarzeniu, które spowodowało straty przekraczające zdolności podmiotu do odbudowy za pomocą własnych środków.
Niezależnie od powyższego stosowane będą też środki związane z zespołem zobowiązanych podmiotów, który szkolony będzie zarówno zakresie cyberbezpieczeństwa, jak i podstawowych zasad cyberhigieny.
Systemy informatyczne wykorzystywane do świadczenia usług będą musiały być systemowo ciągle monitorowane.
Systemy będą kontrolowane w audytach, które będą odbywać się co najmniej raz na 3 lata, a także doraźnie – w razie incydentu.
Powyższe zmiany mają istotne znaczenie z perspektywy kadry zarządzającej – Zarząd podmiotu ponosi bezpośrednią odpowiedzialność za realizację zadań SZBI. Do jego obowiązków należy zatwierdzanie środków zarządzania ryzykiem i planowanie budżetu na cyberbezpieczeństwo, coroczne przechodzenie obowiązkowych szkoleń oraz weryfikacja niekaralności personelu realizującego zadania z zakresu bezpieczeństwa.
Do kiedy konieczne jest wdrożenie i praktyczne zastosowanie ustawy
Podmioty krajowego systemu cyberbezpieczeństwa muszą samodzielnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych w systemie S46 w terminie 3 miesięcy od spełnienia przesłanek.
Oczywiście zgłoszenie się do systemu nie wyczerpuje obowiązków z nim związanych – podmioty zobowiązane są do przekazywania jednostkom certyfikującym informacji o wykrytych podatnościach w certyfikowanych produktach, a także – co wydaje się oczywiste – do wdrażania działań zaradczych w przypadku stwierdzenia niezgodności produktu z wymogami certyfikacji.
Ustawa o krajowym systemie cyberbezpieczeństwa wchodzi w życie po upływie miesiąca od dnia jej ogłoszenia. Minister właściwy do spraw informatyzacji ma miesiąc od wejścia w życie ustawy na uruchomienie elektronicznego wykazu podmiotów kluczowych i ważnych.
Podmioty objęte systemem nie muszą spełniać wszystkich wymogów od razu. Przewidziano 3 miesiące od momentu spełnienia przesłanek (np. osiągnięcia odpowiedniej wielkości firmy) na złożenie wniosku o wpis do wykazu.
Z kolei realizacja głównych obowiązków w zakresie zarządzania ryzykiem i bezpieczeństwem (w tym podłączenie się do systemu S46) musi nastąpić w ciągu 6 miesięcy od dnia spełnienia przesłanek.
Nowe zasady współpracy i nadzoru nad cyberbezpieczeństwem w Polsce
Projekt nowelizacji o krajowym systemie cyberbezpieczeństwa zasadniczo jest oceniany jako krok w dobrą stronę. Po serii głośnych cyberataków na administrację i infrastrukturę krytyczną stało się jasne, że dotychczasowe standardy bezpieczeństwa nie wystarczają. Realne wdrożenie ustawowych obowiązków ma być odpowiedzią na prawdziwe zagrożenia typu ataki ransomware. Wiele z krajów unijnych zaliczyło w ostatnich latach kompromitację polegającą na paraliżu instytucje publicznych i dużych firm przez cyberzagrożenia. Z całą pewnością nowe obowiązki będą wiązały się kolejnymi kosztami po stronie przedsiębiorców, a niekoniecznie będzie to wiązało się z realną gwarancją, zatem trzeba dołożyć tym większych starań, żeby wydane środki zostały spożytkowane mądrze.
Podsumowując, lekko spóźniona nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jest potrzebna i stanowi odpowiedź na zagrożenia, które już dawno przestały być tylko teoretyczne, a przedsiębiorcy objęci tą regulacją powinni śledzić losy ustawy uchwalonej przez Sejm i już wstępnie zarysować w swojej firmie plan wdrożenia regulacji.
Więcej na: https://kkplegal.pl/uslugi/prawo-nowych-technologii/.
Katarzyna Klonowska
radca prawny
