Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa: co oznacza dla firm i sektora publicznego?

  • Home
  • Bez kategorii
  • Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa: co oznacza dla firm i sektora publicznego?

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa: co oznacza dla firm i sektora publicznego?

Polski rząd uczynił kolejny krok w kierunku wzmocnienia odporności cyfrowej państwa. 21 października 2025 r. Rada Ministrów przyjęła projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Zgodnie z zapowiedzią wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego projekt ma zostać uchwalony jeszcze w tym roku. Uchwała przekazano do Sejmu i Senatu, a premier Donald Tusk podkreślił, że cyberbezpieczeństwo jest kluczowe dla bezpieczeństwa wewnętrznego i zewnętrznego kraju.

Aktualne informacje

Adoptowany projekt wynika z pilnej potrzeby dostosowania polskiego prawa do dyrektywy UE 2022/2555 (NIS 2) oraz narastającej skali zagrożeń w sieci. Według statystyk CSIRT NASK w 2022 r. zgłoszono ponad 39 tys. incydentów cyberbezpieczeństwa, a w 2023 r. ponad 75 tys. – wzrost o ponad 90 %. W 2024 r. do CERT Polska trafiło już ponad 600 tys. zgłoszeń incydentów (62 % więcej niż rok wcześniej). Jednocześnie tylko około 17 % polskich firm deklaruje, że nie doświadczyło incydentu cyfrowego; eksperci oceniają, że realnie odsetek ten wynosi około 5 %. Skala problemu rośnie, a niezaktualizowana od 2018 r. ustawa o KSC nie implementuje obowiązków wynikających z NIS 2.

W trakcie jawnej części posiedzenia rządu premier Donald Tusk powiedział wprost, że „kto przegrywa konfrontację w cyberprzestrzeni, przegrywa na wszystkich innych polach”. Zaznaczył, że konieczna jest pełna kontrola sprzętu wykorzystywanego przez instytucje państwowe i systematyczna wymiana urządzeń, jeżeli występuje ryzyko związane z krajem pochodzenia lub brakiem wsparcia producenta. Wiceminister cyfryzacji Paweł Olszewski poinformował, że projekt nowelizacji został przyjęty podczas posiedzenia rządu i przewiduje utworzenie sektorowych zespołów CSIRT, rozszerzenie katalogu podmiotów objętych ustawą oraz możliwość zgłaszania incydentów za pośrednictwem systemu teleinformatycznego.

Dlaczego powstała nowelizacja?

Głównym celem nowelizacji jest wdrożenie dyrektywy NIS 2 oraz tzw. Toolboxa 5G. Dyrektywa ta zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych, wprowadzając kategorie „podmioty kluczowe” i „podmioty ważne”. Oznacza to, że w Polsce rozszerzony zostanie katalog sektorów uznawanych za krytyczne – obejmie m.in. sektor energetyczny, gazowy, wodociągi, transport, zdrowie, gospodarkę ściekową, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz żywności. Dodatkowo projekt wzmacnia kompetencje ministra właściwego do spraw informatyzacji, umożliwiając mu wyznaczanie dostawców wysokiego ryzyka i wydawanie poleceń zabezpieczających dla podmiotów objętych ustawą.

Rząd wskazuje, że nowe przepisy są odpowiedzią na szybki wzrost liczby usług publicznych świadczonych online i na dynamicznie zmieniającą się sytuację międzynarodową. Projekt ustawy zakłada m.in.: nałożenie obowiązków z zakresu zarządzania ryzykiem na podmioty kluczowe i ważne, wprowadzenie systemu zgłaszania incydentów, utworzenie sektorowych zespołów CSIRT oraz opracowanie krajowego planu reagowania na sytuacje kryzysowe. Ustawa wdroży również zalecenia dotyczące bezpieczeństwa sieci 5G oraz zapewni spójność z unijnymi przepisami w obszarze bezpieczeństwa łańcucha dostaw.

Opinie ekspertów

Politycy i urzędnicy

Wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie podkreślał, że KSC jest jednym z głównych elementów budowania odporności państwa. W rozmowie z portalem WNP powiedział, że przeciwnicy nowelizacji „dopuszczają się cyfrowej zdrady stanu”. Jego zdaniem projekt wymaga od podmiotów krytycznych i ważnych lepszego przygotowania, ale jest konieczny, aby Polska mogła szybko reagować na zagrożenia. Gawkowski przyznał też, że kontrowersje wywołuje kwestia dostawców wysokiego ryzyka; jednak uznał, że wprowadzenie mechanizmu ich identyfikacji i wycofywania ze sprzętu krytycznego to gwarancja bezpieczeństwa kraju.

Premier Donald Tusk podczas posiedzenia rządu podkreślił, że cyberbezpieczeństwo jest kluczowe dla bezpieczeństwa państwa. Wskazał na konieczność pełnej kontroli sprzętu i wymiany urządzeń pochodzących z krajów niebudzących zaufania. Jego słowa podsumowują istotę nowelizacji: kto przegrywa w cyberprzestrzeni, przegrywa na wszystkich innych polach.

Eksperci branżowi

Eksperci z sektora prywatnego zwracają uwagę na praktyczne wyzwania związane z nowelizacją. Aleksander Kostuch, inżynier firmy Stormshield, podkreśla, że projekt KSC rozdziela jednostki publiczne na kategorie „kluczowe” i „ważne”, co przekłada się na odmienne wymagania w zakresie wdrożenia systemu zarządzania bezpieczeństwem informacji. Jego zdaniem po jednomiesięcznym vacatio legis podmioty kluczowe i ważne będą miały jedynie sześć miesięcy na pełne dostosowanie się do nowych przepisów Kostuch ostrzega, że tak krótki okres wymaga rozpoczęcia przygotowań jeszcze przed formalnym przyjęciem ustawy – należy przeprowadzić inwentaryzację sprzętu i oprogramowania, zaktualizować polityki bezpieczeństwa, wdrożyć mechanizmy zarządzania podatnościami oraz przeszkolić pracowników.

Michał Kanownik, prezes Związku Cyfrowa Polska, wskazuje, że nowelizacja jest „konieczna na wczoraj”. W rozmowie z Forsal.pl zwraca uwagę na drastyczny wzrost liczby incydentów – w 2024 r. do CERT Polska zgłoszono ponad 600 tys. incydentów, co oznacza wzrost o 62 % rok do roku. Zdaniem Kanownika tylko ok. 5 % firm faktycznie nie doświadcza cyberataków. Ekspert podkreśla, że budowanie odporności wymaga szerokiego porozumienia administracji centralnej i samorządowej, biznesu, nauki oraz przedsiębiorców. Według niego brak przyjęcia nowelizacji jest wielkim błędem klasy politycznej; jednocześnie rośnie znaczenie walki z dezinformacją, która podważa zaufanie społeczeństwa do instytucji publicznych.

Pilne działania dla organizacji

Projekt przewiduje, że podmioty kluczowe i ważne będą musiały wprowadzić odpowiednie, proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem cyberbezpieczeństwa. Organy właściwe będą mogły nakładać kary finansowe za niewykonanie obowiązków – nawet do 10 mln euro dla podmiotów kluczowych i 7 mln euro dla podmiotów ważnych.

Organizacje powinny rozpocząć przygotowania jeszcze przed uchwaleniem ustawy. Po jednomiesięcznym vacatio legis będą miały zaledwie pół roku na dostosowanie procedur. Do kluczowych działań należą m.in.:

  1. Ustalenie statusu organizacji – należy zweryfikować, czy firma kwalifikuje się jako podmiot kluczowy lub ważny w świetle nowelizacji oraz jak nowe przepisy wpływają na łańcuch dostaw.
  2. Przeprowadzenie analizy ryzyka i inwentaryzacja zasobów – potrzebna jest szczegółowa ewidencja systemów, urządzeń i oprogramowania oraz ocena podatności, aby określić luki i priorytety inwestycji.
  3. Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo – podmioty kluczowe i ważne muszą wyznaczyć kierownika odpowiadającego za realizację zadań z zakresu cyberbezpieczeństwa, a niewywiązanie się z tych zadań może skutkować karami.
  4. Wdrożenie procedur zgłaszania incydentów – projekt wprowadza obowiązek zgłaszania incydentów za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji do właściwych zespołów CSIRT sektorowych i krajowych. Zgodnie z wymaganiami NIS 2, poważne incydenty należy zgłosić w ciągu 24 godzin w formie wczesnego ostrzeżenia, a pełny raport w ciągu 72 godzin.
  5. Aktualizacja polityk bezpieczeństwa i szkolenia – organizacje powinny uaktualnić polityki bezpieczeństwa w zakresie zarządzania ryzykiem, ciągłości działania, kryptografii i kontroli dostępu, a także przeprowadzać regularne szkolenia pracowników i kadry zarządzającej.
  6. Zapewnienie zgodności w łańcuchu dostaw – nowelizacja nakłada obowiązek uwzględnienia bezpieczeństwa w relacjach z dostawcami i usługodawcami. Firmy powinny weryfikować dostawców pod kątem ryzyka, a w razie konieczności wdrożyć plan wymiany sprzętu pochodzącego od dostawców wysokiego ryzyka.

Najlepsze praktyki cyberbezpieczeństwa

Zgodnie z wytycznymi NIS 2 każda organizacja powinna przejść przez zestaw kroków przygotowawczych. Po pierwsze, należy ustalić, czy firma jest objęta dyrektywą; po drugie – podnieść świadomość członków zarządu na temat odpowiedzialności i potencjalnych kar. Warto zaplanować wzrost budżetu na cyberbezpieczeństwo oraz przeanalizować proces szkolenia kadry zarządzającej.

W ramach zarządzania ryzykiem przedsiębiorstwa powinny:

  • Prowadzić analizę ryzyka i tworzyć polityki bezpieczeństwa systemów informatycznych. Te dokumenty powinny uwzględniać ocenę prawdopodobieństwa wystąpienia incydentów oraz ich potencjalne skutki.
  • Zarządzać incydentami i ciągłością działania – organizacje muszą mieć procedury obsługi incydentów, kopii zapasowych i przywracania działania, a także plany zarządzania kryzysowego.
  • Zabezpieczać łańcuch dostaw – dyrektywa wymaga oceny bezpieczeństwa dostawców i usługodawców oraz uwzględniania w umowach wymogów dotyczących cyberbezpieczeństwa.
  • Zadbać o bezpieczeństwo podczas nabywania, rozwoju i utrzymania systemów – obejmuje to proces zarządzania podatnościami, bezpieczne praktyki programistyczne i politykę ujawniania luk (vulnerability disclosure policy).
  • Regularnie testować i audytować zabezpieczenia – firmy powinny przeprowadzać testy penetracyjne i audytować istniejące systemy, aby ocenić skuteczność wprowadzonych środków.
  • Wprowadzać cyberhigienę i szkolenia – podstawowa cyberhigiena, szkolenia z zakresu bezpiecznego korzystania z systemów, kryptografia oraz wieloskładnikowe uwierzytelnianie są niezbędne dla podniesienia odporności.

Jak możemy pomóc

Nowelizacja ustawy o KSC i dyrektywa NIS 2 nakładają na przedsiębiorstwa liczne obowiązki, ale jednocześnie otwierają możliwość poprawy cyberodporności. Nasza firma specjalizuje się w usługach cyberbezpieczeństwa – od analizy ryzyka i audytu, poprzez wdrażanie polityk i procesów zgodnych z NIS 2, po szkolenia i budowanie świadomości w organizacji. Pomagamy również w monitorowaniu sieci, wykrywaniu i obsłudze incydentów oraz w bezpiecznym zarządzaniu łańcuchem dostaw. 

Write to us

Jeżeli chcesz przygotować swoją organizację na nadchodzące zmiany, zapraszamy do kontaktu. Wspólnie opracujemy plan dostosowania do nowych wymogów, przeprowadzimy audyt bezpieczeństwa i pomożemy w wypracowaniu najlepszych praktyk. Skontaktuj się z nami już dziś, aby wzmocnić cyberodporność swojej firmy i spełnić wymagania NIS 2.

Our knowledge, your security – a shield in the digital reality.

  • Email us
  • Niemczanska 33/6, 50-561 Wroclaw, Poland
  • Mon-Fri, 9 AM – 6 PM (UTC)

Navigation

Services

karacena.eu
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.