Sejm uchwalił dziś nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażającą unijną dyrektywę NIS2. Wprowadza ona m.in. procedurę dostawcy wysokiego ryzyka (DWR). Za uchwaleniem noweli było 407 posłów, przeciwko 10, a 17 posłów wstrzymało się od głosu. Wcześniej Sejm odrzucił wniosek o odrzucenie projektu noweli w całości.
Satysfakcji nie kryje Krzysztof Gawkowski, wicepremier minister cyfryzacji.
– Ustawa o Krajowym Systemie Cyberbezpieczeństwa to kompleksowa regulacja, która ma wzmocnić ochronę obywateli i instytucji przed cyberzagrożeniami. Rozszerzamy system na kolejne, wrażliwe sektory gospodarki, wzmacniamy instytucje odpowiedzialne za reagowanie na incydenty i wprowadzamy jasne zasady odpowiedzialności. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – podkreśla Krzysztof Gawkowski.
Nowelizacja ustawy o KSC ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej, w ustawie dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.
Jak wskazuje resort cyfryzacji pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia i pozwolą zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.
Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje, Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły:
- wydawać ostrzeżenia,
- wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
- nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Zgodnie z nowymi przepisami Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.
Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:
- wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
- żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
- kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Do ustawy zostanie wprowadzone już funkcjonujące Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.
Nowela przewiduje, że firmy z sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę), będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT oraz regularne ocenianie ryzyka wystąpienia incydentów.
Za nieprzestrzeganie przepisów na przedsiębiorców z tych sektorów będą nakładane kary: co do zasady na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł); a na podmioty ważne – min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Kara może też wynieść 2 proc. przychodów firmy – w przypadku podmiotów kluczowych; a w przypadku podmiotów ważnych – 1,4 proc. przychodów.
Niezależnie od limitów, za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Resort cyfryzacji przekonuje, że postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.
Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.
Podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii 22 stycznia 2026 r., Sejm przyjął także poprawki doprecyzowujące wybrane rozwiązania projektu. Jedna z nich wprowadza obowiązek udziału przedstawiciela Prezydenta RP w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Dokument ten określi cele oraz tryb zarządzania incydentami i sytuacjami kryzysowymi w cyberprzestrzeni.
Druga poprawka przewiduje, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie ustawy. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.
