Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa trafiła do Sejmu, czy Ty także musisz ją stosować?

Rada Ministrów przyjęła Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który w dniu 7 listopada br. wpłynął do Sejmu – to ważny krok, który  docelowo istotnie  wzmocni ochronę cyfrową w Polsce stanowi implementację  unijnej dyrektywy NIS2. Nowe przepisy stawiają wyraźny podział na podmioty „kluczowe” oraz „ważne” i wprowadzają mechanizm samoidentyfikacji, dzięki któremu firmy i instytucje będą mogły same zgłosić się do krajowego wykazu podmiotów objętych cyberregulacjami.​

Nowa klasyfikacja podmiotów

Projekt ustawy odchodzi od dotychczasowej klasyfikacji „operatorów usług kluczowych” i „dostawców usług cyfrowych”. Od tej pory podstawowym podziałem będą pojęcia podmiotu kluczowego oraz podmiotu ważnego. Podmiotem kluczowym może być zarówno instytucja państwowa, jak i przedsiębiorstwo energetyczne, finansowego, zdrowotnego lub transportowego, jak i browary czy podmioty zajmujące się zbiorowym zaopatrzeniem w wodę i odbiorem ścieków. Podmioty ważne to organizacje mające znaczenie dla lokalnych społeczności lub realizujące istotne zadania publiczne, jak np. wybrane firmy telekomunikacyjne, portale cyfrowe czy instytucje kulturalne.​

Mechanizm samoidentyfikacji

Nowe regulacje  wprowadzają obowiązkowy, ale również wysoce użyteczny mechanizm: podmioty samodzielnie będą oceniać, czy spełniają kryteria zakwalifikowania jako podmiot kluczowy lub ważny. Następnie, samodzielnie zgłaszają się do wykazu prowadzonego przez ministra właściwego do spraw informatyzacji. Przepisy wprowadzają także możliwość wpisania podmiotu do rejestru w trybie decyzji administracyjnej z urzędu przez odpowiedni organ państwowy. W ten sposób państwo pragnie zagwarantować szczelność Krajowego Systemu Cyberbezpieczeństwa. Nowy mechanizm jest znacznie prostszy niż wcześniejsze procedury, które wymagały często skomplikowanych decyzji administracyjnych i długotrwałych procesów weryfikacyjnych.

Prawdopodobnie w związku z dużym opóźnieniem w implementacji dyrektywy NIS2 do naszego porządku prawnego, skróceniu uległ proponowany okres vactio legis który wynosi obecnie tylko miesiąc, ustawa jednak deleguje na Ministra Cyfryzacji określenie harmonogramu złożenia wniosków o wpis do wykazu podmiotów kluczowych i podmiotów ważnych przez podmioty kluczowe lub podmioty ważne, które w dniu wejścia w życie niniejszej ustawy spełniają przesłanki uznania ich za podmiot kluczowy albo podmiot ważny.

Za niezgłoszenie do rejestru nowe przepisy przewidują kary pieniężne, których wysokość zależy od kategorii podmiotu. Minimalna kara wynosi 20 000 zł dla podmiotu kluczowego oraz 15 000 zł dla podmiotu ważnego. Maksymalny wymiar kary za takie naruszenie w przypadku podmiotu kluczowego może wynosić nawet do 10 000 000 euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym.

Większy zakres ochrony

Projekt rozszerza katalog sektorów objętych obowiązkami cyberbezpieczeństwa – dotyczyć będzie nie tylko energetyki, bankowości i telekomunikacji, ale także branży spożywczej, usług pocztowych, energii, opieki zdrowotnej.  Różne szacunki przewidują, że do rejestru zostanie wpisanych około 40 tys. podmiotów w skali całego kraju. W praktyce oznaczać to będzie podwyższenie wymagań dotyczących zabezpieczeń informatycznych, przeprowadzenia szkolenia pracowników i podjęcia współpracy z odpowiednimi zespołami reagowania na incydenty (CSIRT).​

Objęcie podmiotu reżimem nowych przepisów skutkować będzie koniecznością opracowania i wdrożenia szeregu wewnętrznych regulacji, które mają zapewnić zgodność jego funkcjonowania z KSC. Zadanie te wymagać będzie przeprowadzenia audytu technicznego oraz prawnego odnośnie istniejących procedur w kontekście ich kompletności i spójności z KSC.

Bez względu na losy ustawy w Sejmie warto już teraz zweryfikować czy i w jakim zakresie zmiany dotkną Państwa podmioty.

Poniżej link do ujednoliconego tekstu Ustawy o Krajowym Systemie Cyberbezpieczeństwa w brzmieniu uwzględniającym projekt rządowy.

➡️ file:///C:/Users/czerw/Downloads/24.10.2025-ustawa-cyberbezpiecze%C5%84stwo-ujednolicona_C%20(1).pdf  ⬅️

Robert Ignatiuk – radca prawny, założyciel i partner zarządzający KPDI Ignatiuk i Partnerzy Radcy Prawni

Wykładowca ekspert Politechniki Gdańskiej oraz wykładowca Ośrodka Szkoleniowego Okręgowej Izby Radców Prawnych w Gdańsku. Stały Mediator przy Sądzie Okręgowym w Gdańsku. Członek organów spółek handlowych z branży budowalnej, oświatowej i wodnej. Specjalizuje się w doradztwie prawnym dla przedsiębiorców, prawie nowych technologii.