Polska wzmacnia swoje mechanizmy ochrony cyfrowej. Sejm uchwalił nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającej unijną dyrektywę NIS2. Ma być bezpieczniej w obszarze usług i systemów. Działania mają wspierać obywatelki i obywateli, ale też instytucje publiczne i przedsiębiorców.
– Ustawa o krajowym systemie cyberbezpieczeństwa to kompleksowa regulacja, która ma wzmocnić ochronę obywateli i instytucji przed cyberzagrożeniami. Rozszerzamy system na kolejne, wrażliwe sektory gospodarki, wzmacniamy instytucje odpowiedzialne za reagowanie na incydenty i wprowadzamy jasne zasady odpowiedzialności. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – powiedział Krzysztof Gawkowski, wicepremier i minister cyfryzacji.
Nowe sektory pod szczególnym nadzorem
W katalogu podmiotów krajowego systemu cyberbezpieczeństwa (KSC) znajdą się nowe sektory takie jak:
– odprowadzanie ścieków;
– usługi pocztowe;
– przestrzeń kosmiczna;
– produkcja i dystrybucja chemikaliów:
– produkcja i dystrybucja żywności.
Dzięki temu zwiększy się bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną też nowe zespołu CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) – CSIRT-y sektorowe. Będą one wspierać obsługę incydentów w określonych sektorach gospodarki
– Nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe. Przepisy wzmocnią bezpieczeństwo usług używanych przez obywateli, zapewnią lepszą ochronę danych i zwiększą odporność systemów cyfrowych. Celem jest stabilna i bezpieczna cyberprzestrzeń dla wszystkich Polaków i gospodarki – stwierdził Paweł Olszewski, wiceminister cyfryzacji.
Nowe kompetencje organów odpowiadających za cyberbezpieczeństwo
Organy, które odpowiadają za cyberbezpieczeństwo Polski, zyskają nowe kompetencje. Pozwoli im to na sprawniejsze i skuteczniejsze działanie. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów takie jak ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE będą mogły:
– wydawać ostrzeżenia;
– wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy;
– nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Natomiast Minister Cyfryzacji będzie mógł wydawać polecenia zabezpieczające. Ograniczą one skutki trwającego incydentu krytycznego. Będzie on również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.
Nowe uprawnienia uzyska Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa. Będzie to:
– wydawanie rekomendacji – dla wzmocnienia poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
– żądanie informacji od organów administracji rządowej;
– zlecanie wykonania badań związanych z jego zadaniami;
– zakup oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
Zespoły CSIRT poziomu krajowego – także CSIRT NASK – zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Także funkcjonujące już Połączone Centrum Operacyjne Cyberbezpieczeństwa zostaje włączone do ustawy jako organ odpowiedzialny za cyberbezpieczeństwo.
Podmioty kluczowe i ważne – większa odpowiedzialność to większe bezpieczeństwo
Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne. Są to podmioty działające w strategicznych sektorach państwa:
– energetyka;
– transport;
– bankowość;
– wodociągi.
Zgodnie z nowymi przepisami mają one obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych. Dotyczy ich także odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa.
Dla ich lepszych możliwości działania zostanie usprawnione zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.
Nowe obowiązki dla przedsiębiorców
Jeśli przedsiębiorstwo zostanie uznane za podmiot kluczowy lub ważny, będzie musiało wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa. Ma to chronić ich infrastrukturę.
Rozwiązania będą dostosowywane do wielkości podmiotu oraz charakteru świadczonych usług. Podmioty będą musiały:
– przeanalizować swoje zasoby;
– zidentyfikować cyberzagrożenia właściwe dla ich działalności;
– dokonać przeglądu obowiązujących procedur;
– przeszkolić pracowników.
Przedsiębiorców wspierać będą nowe sektorowe zespoły CSIRT. Pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia.
Dostawcy wysokiego ryzyka – procedura
To wciąż najbardziej kontrowersyjna kwestia w całym zamieszaniu z KSC. Jednak odpowiednie podejście do tematu pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka będzie decyzją Ministra Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa. Odbywać się będzie w ramach transparentnego, wieloetapowego postępowania administracyjnego.
Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka. Jeśli takie już posiadają mają czas na ich wycofanie w ciągu siedmiu lat.
Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.
Także sama Unia Europejska zajmuje się tym tematem, co pokazuje, jak kwestie „dostawcy wysokiego ryzyka” ważne są w całej Europie:
W pracach sejmowych przyjęto poprawki
Podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii 22 stycznia 2026 r., Sejm przyjął także poprawki doprecyzowujące wybrane rozwiązania projektu, o czym pisaliśmy już wcześniej:
Przyjęte poprawki są dwie:
– obowiązek udziału przedstawiciela Prezydenta RP w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
– administracyjne kary pieniężne za brak realizacji obowiązków wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa – będą mogły być nakładane dopiero po upływie dwóch lat od dnia wejścia w życie ustawy.
Źródło: gov.pl
Czytaj także:
