- Projekt ustawy wdraża do polskiego porządku prawnego dyrektywę 2022/2555/UE, ustanawiając nowe ramy funkcjonowania krajowego systemu cyberbezpieczeństwa.
- Nowelizacja znacząco rozszerza katalog sektorów i podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa, w tym o podmioty z obszaru produkcji, żywności, chemikaliów, poczty, przestrzeni kosmicznej oraz zarządzania usługami ICT.
- Projekt wprowadza nowe obowiązki organizacyjne, sprawozdawcze i nadzorcze, w tym obowiązek zgłaszania incydentów, tworzenia zespołów reagowania oraz zwiększoną odpowiedzialność osób zarządzających.
Cel projektu ustawy
Celem projektu ustawy jest zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Rzeczypospolitej Polskiej poprzez dostosowanie krajowych regulacji do standardów wynikających z dyrektywy 2022/2555/UE. Projekt zmierza do zwiększenia odporności państwa, gospodarki i społeczeństwa na zagrożenia cybernetyczne, a także do wzmocnienia zdolności zapobiegania incydentom, ich wykrywania, reagowania oraz minimalizowania ich skutków.
Projektodawca zakłada, że realizacja tych celów wymaga odejścia od selektywnego modelu ochrony cyberbezpieczeństwa na rzecz podejścia systemowego, obejmującego szeroki krąg podmiotów kluczowych i ważnych, których działalność ma istotne znaczenie dla ciągłości funkcjonowania państwa, bezpieczeństwa obywateli oraz stabilności rynku wewnętrznego.
Zakres projektowanych zmian
Projekt ustawy obejmuje zmiany w ustawie z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r. poz. 1077) oraz w szeregu ustaw powiązanych. Proponowane regulacje dotyczą w szczególności:
- rozszerzenia katalogu sektorów i podmiotów objętych krajowym systemem cyberbezpieczeństwa;
- wprowadzenia nowej klasyfikacji podmiotów jako podmiotów kluczowych i podmiotów ważnych;
- określenia nowych obowiązków w zakresie zarządzania ryzykiem cyberbezpieczeństwa;
- wzmocnienia systemu zgłaszania i obsługi incydentów;
- rozbudowy struktur reagowania na incydenty, w tym zespołów CSIRT;
- zwiększenia odpowiedzialności kadry kierowniczej;
- dostosowania przepisów krajowych do regulacji unijnych, w tym zapewnienia spójności z innymi aktami prawa UE.
Szczegółowy opis projektowanych zmian
1. Rozszerzenie katalogu sektorów i podmiotów objętych regulacją.
Projekt ustawy znacząco rozszerza zakres podmiotowy krajowego systemu cyberbezpieczeństwa. Oprócz dotychczasowych sektorów objętych regulacją, do systemu włączone zostają nowe sektory gospodarki i administracji, w tym w szczególności: sektor zbiorowego odprowadzania ścieków, zarządzanie usługami ICT, przestrzeń kosmiczna, usługi pocztowe i kurierskie, produkcja przemysłowa, produkcja i dystrybucja chemikaliów oraz produkcja i dystrybucja żywności.
Rozszerzenie to wynika z uznania, że zakłócenia w funkcjonowaniu tych sektorów mogą mieć poważne skutki społeczne, gospodarcze i środowiskowe, a ich odporność cybernetyczna ma kluczowe znaczenie dla bezpieczeństwa państwa.
2. Nowa klasyfikacja podmiotów – podmioty kluczowe i podmioty ważne.
Projekt wprowadza rozróżnienie pomiędzy podmiotami kluczowymi oraz podmiotami ważnymi, zgodnie z terminologią dyrektywy 2022/2555/UE. Kryteria kwalifikacji do poszczególnych kategorii uwzględniają m.in. wielkość podmiotu, charakter prowadzonej działalności oraz znaczenie świadczonych usług dla interesu publicznego.
Zróżnicowanie to znajduje odzwierciedlenie w zakresie obowiązków oraz intensywności nadzoru sprawowanego przez właściwe organy.
3. Obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa.
Projekt ustawy nakłada na podmioty objęte regulacją obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych służących zarządzaniu ryzykiem cyberbezpieczeństwa. Obejmuje to w szczególności:
- analizę i ocenę ryzyka;
- wdrażanie polityk bezpieczeństwa informacji;
- zapewnienie ciągłości działania;
- bezpieczeństwo łańcucha dostaw;
- szkolenia personelu;
- stosowanie środków kryptograficznych i zabezpieczeń technicznych.
4. Obowiązek zgłaszania incydentów cyberbezpieczeństwa.
Projekt precyzuje obowiązek zgłaszania incydentów cyberbezpieczeństwa właściwym zespołom CSIRT. Wprowadzono wieloetapowy model raportowania, obejmujący zgłoszenie wstępne, zgłoszenie szczegółowe oraz raport końcowy, co ma zapewnić szybkie reagowanie oraz skuteczną analizę zdarzeń.
5. Wzmocnienie struktur reagowania – zespoły CSIRT.
Projekt przewiduje rozwój i wzmocnienie krajowych i sektorowych zespołów reagowania na incydenty cyberbezpieczeństwa. Zakłada się zarówno doposażenie techniczne tych zespołów, jak i rozwój kompetencji kadrowych, co ma zwiększyć zdolność państwa do reagowania na zagrożenia o dużej skali.
6. Odpowiedzialność kadry zarządzającej.
Jednym z kluczowych elementów projektu jest zwiększenie odpowiedzialności osób zarządzających podmiotami objętymi krajowym systemem cyberbezpieczeństwa. Kadra kierownicza będzie zobowiązana do zatwierdzania i nadzorowania wdrażania środków zarządzania ryzykiem cyberbezpieczeństwa oraz do odbywania szkoleń w tym zakresie.
7. Sankcje i środki nadzorcze.
Projekt przewiduje rozbudowany katalog sankcji administracyjnych za naruszenie obowiązków wynikających z ustawy, w tym kary pieniężne, środki naprawcze oraz uprawnienia kontrolne właściwych organów.
Skutki projektowanych zmian
Projektowane regulacje będą miały istotne skutki organizacyjne i finansowe dla podmiotów objętych nowymi obowiązkami, w szczególności w zakresie konieczności inwestycji w infrastrukturę teleinformatyczną, systemy bezpieczeństwa oraz kompetencje kadrowe. Jednocześnie projektodawca wskazuje na długofalowe korzyści w postaci zwiększenia odporności systemów oraz ograniczenia ryzyk związanych z incydentami cybernetycznymi.
Etap legislacyjny
Projekt ustawy był przedmiotem pierwszego czytania na posiedzeniu Sejmu 5.12.2025 r. i został skierowany do dalszych prac w Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
