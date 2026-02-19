Prezydent ocenił w nagraniu opublikowanym w serwisie X, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka. Dodał, że podpisał nowelę, ponieważ „bezpieczeństwo nie ma barw partyjnych”. Zwrócił jednak uwagę, że musiał zareagować na głos przedsiębiorców, którzy postrzegają zawarte w noweli obowiązki, „jako nadmiarowe i nieproporcjonalne”. Poinformował, że w związku z tym skierował wniosek do Trybunału Konstytucyjnego o kontrolę następczą przepisów.

KSC: co kluczowe, a co tylko ważne?

„Sukces rządu Donalda Tuska w cyberbezpieczeństwie!” - skomentował decyzję prezydenta w serwisie X wiceminister cyfryzacji Paweł Olszewski, który był odpowiedzialny za przygotowanie nowelizacji. „Mimo kolejnej zagrywki z Trybunałem Konstytucyjnym, po 6 latach Polska ma nowoczesny Krajowy System Cyberbezpieczeństwa” - dodał, odnosząc się do czasu procedowania noweli. Według Olszewskiego, Polska staje się znacznie trudniejszym celem w cyberprzestrzeni. „Nie możemy pozwolić sobie na półśrodki” - podkreślił.

W nowelizacji ustawy o KSC, wśród sektorów kluczowych znalazły się: energia, transport, ochrona zdrowia, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa, a także niewystępujące do tej pory w KSC: ścieki, zarządzanie ICT (infrastrukturą teleinformatyczną) i przestrzeń kosmiczna. Do sektorów kluczowych zaliczono też podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale i instytuty badawcze.

Natomiast do sektorów ważnych, według noweli, należą: usługi pocztowe; gospodarowanie odpadami; dostawcy usług cyfrowych; produkcja i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, w tym m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych, pojazdów samochodowych, przyczep i naczep.

Zgodnie z nowelizacją, firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna – będą zobowiązane zarejestrować się w wykazie podmiotów KSC i będą mieć na to 6 miesięcy od samoidentyfikacji. Niezgłoszenie się do systemu rodzi ryzyko nałożenia kar.

Krajowy System Cyberbezpieczeństwa: co jeszcze jest w ustawie?

Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, w tym wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkowe będzie też zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania, czy niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.

Podmioty objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowela wymienia polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe czy szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT. Mają też zapewnić ciągłość działania podmiotu i możliwość świadczenia usług w przypadku wystąpienia incydentu.

Nowela zakłada, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46. Ponadto podmioty kluczowe będą miały obowiązek przeprowadzenia na własny koszt, co najmniej raz na 3 lata, audytu bezpieczeństwa.

Podmioty kluczowe i ważne będą mieć 12 miesięcy na dostosowanie się do przepisów – od dnia wejścia w życie ustawy nowelizacji. Nowela przewiduje również utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty objęte KSC w obsłudze incydentów cyberbezpieczeństwa. Zgodnie z ustawą zostanie wprowadzony również Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Ma go uchwalić Rada Ministrów w ciągu 6 miesięcy od dnia wejścia w życie noweli. Minister cyfryzacji będzie mógł natomiast wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego. W jego ramach może np. nakazać podmiotowi przeprowadzenie analizy ryzyka czy zabezpieczenie określonych informacji.

Nowela wprowadza termin „incydent poważny”, czyli taki, który powoduje lub może spowodować: poważne obniżenie jakości; przerwanie ciągłości świadczenia usługi; straty finansowe; lub też taki, który wpływa na inne osoby i jednostki przez wywołanie poważnej szkody. Podmioty kluczowe i ważne będą musiały zgłaszać tego typu incydenty do odpowiedniego CSIRT-u, w ciągu 72 godzin od wykrycia. Natomiast w ciągu 24 godzin będą musiały zgłosić do CSIRT-u sektorowego „wczesne ostrzeżenie”. Podmioty KSC zostały też zobowiązane do powiadomienia o incydencie poważnym użytkowników usług - jeśli ten incydent ma negatywny wpływ na świadczenie usług.

KSC: będą kary za nieprzestrzeganie przepisów

Za nieprzestrzeganie przepisów na przedsiębiorców objętych KSC będą nakładane kary pieniężne. Kara na podmioty kluczowe może wynieść 2 proc. przychodów firmy; minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł). Natomiast kary na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy; min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.

Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

W trakcie prac sejmowych nad ustawą przyjęto zmiany, które doprecyzowały wybrane rozwiązania. Jedna z nich wprowadziła obowiązek udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Kolejna przewidywała, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z nowelizacji ustawy o KSC będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie noweli. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.

Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 roku. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wejść w życie po upływie miesiąca od dnia ogłoszenia.