9 godzin temu
- Nowelizacja zmienia zakres podmiotowy krajowego systemu cyberbezpieczeństwa poprzez objęcie nim nowych sektorów gospodarki uznanych za istotne lub ważne z punktu widzenia odporności państwa na zagrożenia cyfrowe.
- Projekt kształtuje na nowo obowiązki organizacyjne, techniczne i raportowe podmiotów objętych systemem, ze szczególnym uwzględnieniem zarządzania ryzykiem i reagowania na incydenty.
- Regulacja wzmacnia odpowiedzialność osób kierujących podmiotami objętymi systemem cyberbezpieczeństwa oraz rozszerza kompetencje organów nadzorczych i zespołów reagowania na incydenty.
Cel projektowanych zmian
Celem projektowanych rozwiązań pozostaje zapewnienie wysokiego, wspólnego poziomu cyberbezpieczeństwa na terytorium Polski poprzez pełne i systemowe wdrożenie standardów wynikających z dyrektywy 2022/2555/UE. Projektodawca akcentuje konieczność dostosowania krajowych ram prawnych do zmieniającego się charakteru zagrożeń cyfrowych, których skutki mogą oddziaływać na bezpieczeństwo państwa, ciągłość działania usług publicznych oraz stabilność kluczowych sektorów gospodarki.
Projekt uwzględnia również potrzebę zwiększenia odporności infrastruktury cyfrowej państwa oraz podmiotów prywatnych świadczących usługi o znaczeniu systemowym. Szczególne znaczenie przypisuje się zapobieganiu incydentom cyberbezpieczeństwa, ich wczesnemu wykrywaniu oraz skutecznemu reagowaniu.
Zakres projektowanych zmian
Zakres nowelizacji obejmuje w szczególności:
- rozszerzenie katalogu podmiotów objętych krajowym systemem cyberbezpieczeństwa o nowe sektory, w tym m.in. gospodarkę wodno-ściekową, zarządzanie usługami ICT, sektor kosmiczny, usługi pocztowe, produkcję przemysłową oraz produkcję i dystrybucję żywności i chemikaliów;
- wprowadzenie jednolitych obowiązków w zakresie zarządzania ryzykiem cyberbezpieczeństwa, obejmujących środki organizacyjne, techniczne i operacyjne;
- rozbudowanie systemu zgłaszania incydentów cyberbezpieczeństwa oraz określenie terminów i trybu przekazywania informacji adekwatnym organom;
- wzmocnienie roli krajowych i sektorowych zespołów reagowania na incydenty cyberbezpieczeństwa;
- doprecyzowanie zasad nadzoru, kontroli oraz odpowiedzialności administracyjnej podmiotów objętych systemem.
Opis projektowanych rozwiązań
Rozszerzenie zakresu podmiotowego krajowego systemu cyberbezpieczeństwa
Projektowana nowelizacja istotnie poszerza katalog podmiotów objętych krajowym systemem cyberbezpieczeństwa, dostosowując go do struktury sektorowej określonej w dyrektywie 2022/2555/UE. Regulacją objęto nie tylko podmioty dotychczas zaliczane do operatorów usług kluczowych oraz dostawców usług cyfrowych, ale także nowe sektory i podsektory gospodarki, które z perspektywy państwa uznaje się za istotne dla ciągłości funkcjonowania usług społecznie i gospodarczo niezbędnych.
Zakres ten obejmuje w szczególności podmioty działające w obszarze gospodarki wodno-ściekowej, produkcji i dystrybucji żywności, wytwarzania i obrotu chemikaliami, usług pocztowych, zarządzania usługami ICT, sektora produkcyjnego oraz podmioty związane z działalnością w przestrzeni kosmicznej. Rozszerzenie katalogu podmiotów skutkuje objęciem nowych kategorii przedsiębiorców i instytucji obowiązkami z zakresu zarządzania ryzykiem cyberbezpieczeństwa oraz reagowania na incydenty.
Nowe obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa
Projektowane przepisy szczegółowo określają obowiązki podmiotów kluczowych i podmiotów ważnych w zakresie wdrażania środków technicznych i organizacyjnych służących zarządzaniu ryzykiem cyberbezpieczeństwa. Regulacja obejmuje obowiązek identyfikacji i analizy ryzyk, stosowania adekwatnych zabezpieczeń technicznych, zapewnienia ciągłości działania systemów informacyjnych oraz ochrony łańcuchów dostaw, w tym relacji z dostawcami usług ICT.
Nowelizacja akcentuje również konieczność systematycznego testowania, audytowania oraz aktualizowania stosowanych środków bezpieczeństwa, przy uwzględnieniu zmieniającego się krajobrazu zagrożeń cybernetycznych. Zakres obowiązków obejmuje zarówno zabezpieczenia infrastruktury teleinformatycznej, jak i procedury organizacyjne oraz szkoleniowe.
Obowiązki kadry zarządzającej i odpowiedzialność kierownictwa
Istotnym elementem projektowanych rozwiązań pozostaje wzmocnienie odpowiedzialności osób pełniących funkcje kierownicze w podmiotach objętych krajowym systemem cyberbezpieczeństwa. Projekt przypisuje kadrze zarządzającej obowiązek zatwierdzania środków zarządzania ryzykiem cyberbezpieczeństwa oraz nadzoru nad ich wdrażaniem i funkcjonowaniem.
Regulacja zakłada, że osoby zarządzające ponoszą odpowiedzialność za niewywiązywanie się z obowiązków ustawowych, w tym za brak zapewnienia odpowiedniego poziomu ochrony systemów informacyjnych. Rozwiązanie to służy wzmocnieniu kultury bezpieczeństwa cybernetycznego na poziomie decyzyjnym podmiotów publicznych i prywatnych.
System zgłaszania incydentów cyberbezpieczeństwa
Projekt ustawy wprowadza rozbudowany i wieloetapowy system zgłaszania incydentów cyberbezpieczeństwa, obejmujący zarówno wstępne powiadomienia, jak i raporty uzupełniające oraz końcowe. Obowiązek zgłoszeniowy dotyczy incydentów, które wywierają istotny wpływ na świadczenie usług lub bezpieczeństwo systemów informacyjnych.
Przepisy precyzują terminy, zakres informacji przekazywanych adekwatnym organom oraz rolę zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Regulacja zmierza do zapewnienia szybkiego przepływu informacji o zagrożeniach oraz skutecznej koordynacji działań naprawczych na poziomie krajowym i unijnym.
Wzmocnienie struktur instytucjonalnych i infrastrukturalnych
Projektowane rozwiązania przewidują rozwój i wzmocnienie krajowych struktur odpowiedzialnych za reagowanie na incydenty cyberbezpieczeństwa, w tym zespołów CSIRT oraz zaplecza analitycznego i technicznego. Regulacja obejmuje również możliwość finansowania zakupu sprzętu, modernizacji infrastruktury teleinformatycznej oraz podnoszenia kompetencji personelu.
Rozwiązania instytucjonalne mają zapewnić skuteczne wykonywanie zadań państwa w obszarze zapobiegania incydentom cyberbezpieczeństwa, reagowania na nie oraz minimalizowania ich skutków, przy jednoczesnym zachowaniu spójności z mechanizmami współpracy unijnej.
Zaproponowane poprawki i ich rozstrzygnięcie w toku prac sejmowych
W toku prac sejmowych nad rządowym projektem ustawy zgłoszono poprawki podczas drugiego czytania, w tym wniosek o odrzucenie projektu w całości oraz poprawki o charakterze merytorycznym i doprecyzowującym.
Część zgłoszonych poprawek dotyczyła zakresu obowiązków nakładanych na podmioty objęte systemem cyberbezpieczeństwa oraz zasad odpowiedzialności osób pełniących funkcje kierownicze. Zgłoszone propozycje obejmowały również kwestie organizacyjne związane z funkcjonowaniem zespołów reagowania na incydenty oraz trybem raportowania zdarzeń.
Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, po ponownym skierowaniu projektu do prac po drugim czytaniu, przyjęła część poprawek. Przyjęte zmiany miały charakter doprecyzowujący i porządkujący, bez ingerencji w zasadnicze założenia projektu oraz bez zmiany jego celu implementacyjnego.
Pozostałe poprawki, w tym wniosek o odrzucenie projektu ustawy, nie uzyskały akceptacji komisji. Wyniki prac znalazły odzwierciedlenie w sprawozdaniu komisji z 22.1.2026 r. (druk nr 2139-A).
Etap legislacyjny
Projekt ustawy wpłynął do Sejmu w dniu 7.11.2025 r. i otrzymał numer druku 1955. Po przeprowadzeniu pierwszego czytania został skierowany do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Po drugim czytaniu Sejm zdecydował o ponownym skierowaniu projektu do Komisji, która przedstawiła dodatkowe sprawozdanie obejmujące część przyjętych poprawek. Prace legislacyjne nad projektem pozostają w toku.
