MC: Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (komunikat)
23.01.2026, 18:27aktualizacja: 26.01.2026, 10:21
Pobierz materiał i Publikuj za darmo
– Ministerstwo Cyfryzacji informuje:
W odpowiedzi na rosnące zagrożenia w cyberprzestrzeni Polska wzmacnia swoje mechanizmy ochrony cyfrowej. Uchwalenie przez Sejm nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającej unijną dyrektywę NIS2, ma zwiększyć bezpieczeństwo usług i systemów, z których codziennie korzystają obywatele, przedsiębiorcy oraz instytucje publiczne.
– Ustawa o Krajowym Systemie Cyberbezpieczeństwa to kompleksowa regulacja, która ma wzmocnić ochronę obywateli i instytucji przed cyberzagrożeniami. Rozszerzamy system na kolejne, wrażliwe sektory gospodarki, wzmacniamy instytucje odpowiedzialne za reagowanie na incydenty i wprowadzamy jasne zasady odpowiedzialności. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Nowe sektory w centrum cyberbezpieczeństwa
Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczną czy produkcję i dystrybucję chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia i pozwolą zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.
– Nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe. Przepisy wzmocnią bezpieczeństwo usług używanych przez obywateli, zapewnią lepszą ochronę danych i zwiększą odporność systemów cyfrowych. Celem jest stabilna i bezpieczna cyberprzestrzeń dla wszystkich Polaków i gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski.
Silniejsze instytucje – szybsza reakcja na zagrożenia
Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje, co pozwoli im działać sprawniej i skuteczniej. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego czy Prezes UKE) będą mogły:
– wydawać ostrzeżenia,
– wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
– nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Zgodnie z nowymi przepisami Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.
Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:
– wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
– żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
– kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Do ustawy zostanie wprowadzone już funkcjonujące Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.
Podmioty kluczowe i ważne – większa odpowiedzialność, większe bezpieczeństwo
Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne działające w strategicznych sektorach państwa, takich jak energetyka, transport, bankowość czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych zwiększających bezpieczeństwo systemów informatycznych oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.
Nowe obowiązki dla przedsiębiorców
Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług. W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.
Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach oraz zapewnią szkolenia.
Procedura uznania za dostawcę wysokiego ryzyka
Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.
Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.
Poprawki przyjęte w toku prac sejmowych
Podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii 22 stycznia 2026 r. Sejm przyjął także poprawki doprecyzowujące wybrane rozwiązania projektu. Jedna z nich wprowadza obowiązek udziału przedstawiciela Prezydenta RP w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Dokument ten określi cele oraz tryb zarządzania incydentami i sytuacjami kryzysowymi w cyberprzestrzeni.
Druga poprawka przewiduje, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie ustawy. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.
Dodatkowe informacje na ten temat znajdują się tutaj (https://www.gov.pl/web/cyfryzacja/nie-daj-sie-dezinformacji--sprawdz-fakty-o-dostawcach-wysokiego-ryzyka).
UWAGA: komunikaty publikowane są w serwisie PAP bez wprowadzania przez PAP SA jakichkolwiek zmian w ich treści, w formie dostarczonej przez nadawcę. Nadawca komunikatu ponosi odpowiedzialność za jego treść – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe. (PAP)
kom/ has/ mhr/
Pobierz materiał i Publikuj za darmo
bezpośredni link do materiału
| Data publikacji | 23.01.2026, 18:27 |
| Źródło informacji | MC |
| Zastrzeżenie | Za materiał opublikowany w serwisie PAP MediaRoom odpowiedzialność ponosi – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe – jego nadawca, wskazany każdorazowo jako „źródło informacji”. Informacje podpisane źródłem „PAP MediaRoom” są opracowywane przez dziennikarzy PAP we współpracy z firmami lub instytucjami – w ramach umów na obsługę medialną. Wszystkie materiały opublikowane w serwisie PAP MediaRoom mogą być bezpłatnie wykorzystywane przez media. |
