Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa podpisana przez Prezydenta!
W czwartek 19 lutego 2026 roku, Prezydent RP podpisał ustawę z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („ustawa”), która stanowi implementację unijnej dyrektywy NIS2 do polskiego porządku prawnego. Poniżej opisujemy zmiany związane z nowelizacją.
Najważniejsze zmiany związane z ustawą
Ustawa ma za zadanie dostosować krajowy system cyberbezpieczeństwa do współczesnych standardów, a przyjęte nią zmiany dotyczą m.in.:
- rozszerzenia katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki: ICT, kosmiczny, poczty, produkcji, żywności oraz gospodarowania ściekami,
- nałożenia na podmioty kluczowe oraz podmioty ważne w cyberbezpieczeństwie obowiązków z zakresu zarządzania ryzykiem dotyczących wdrażania proporcjonalnych środków technicznych, operacyjnych i organizacyjnych,
- uregulowania zasad odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa,
- wprowadzenia możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne za pomocą systemu teleinformatycznego,
- utworzenie zespołów CSIRT sektorowych wspierających obsługę incydentów w poszczególnych sektorach gospodarki, w ciągu 18 miesięcy od wejścia ustawy w życie.
- wzmocnienia kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa,
- wprowadzenia kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe lub podmioty ważne w tym m.in. za niewdrożenie systemu zarządzania bezpieczeństwem informacji czy niezarejestrowanie się w wykazie podmiotów kluczowych i podmiotów ważnych,
- wprowadzenia krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę,
- rozszerzenia kompetencji ministra ds. informatyzacji,
- wzmocnienia pozycji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa,
- rozszerzenia kompetencji zespołów CSIRT poziomu krajowego,
- rozwijania kompetencji ministra w zakresie edukacji cyberbezpieczeństwa.
Dalsze losy ustawy
Nowelizacja podpisana przez Prezydenta RP zostanie opublikowana w Dzienniku Ustaw i wejdzie w życie po upływie miesiąca od dnia jej ogłoszenia.
Niezależnie od podpisania ustawy, prezydent RP podjął decyzję o skierowaniu jej do kontroli następczej przez Trybunał Konstytucyjny, celem weryfikacji pod kątem naruszenia przepisów Konstytucji RP.
Jako powody przekazania ustawy do kontroli następczej wskazano:
- wątpliwości objęcia ustawą aż 18 branż gospodarki, podzielonych na podmioty kluczowe i ważne, albowiem rozszerzenie to nie wynika z przepisów UE i jest samodzielną inicjatywą rządu,
- zastrzeżenia co do zasad uznawania podmiotów za dostawców wysokiego ryzyka oraz wydawania „poleceń zabezpieczających”, które ingerują w samodzielność przedsiębiorców, m.in. przez obowiązek wymiany sprzętu i oprogramowania bez odszkodowania,
- wadliwość systemu podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych.
W związku z powyższym Trybunał Konstytucyjny ma za zadanie zbadać zgodność podpisanej już ustawy z Konstytucją.
Co to oznacza dla Państwa organizacji?
Podpisanie ustawy w obecnym brzmieniu to dobra wiadomość dla podmiotów zobowiązanych. Podczas prac legislacyjnych m.in. wydłużono terminy, które dają więcej czasu na przygotowanie i wdrożenie wymaganych rozwiązań, a dwuletnie odroczenie możliwości nakładania kar zmniejsza presję czasu. Należy jednak pamiętać, że przyjęte rozwiązania powinny w pełni funkcjonować, gdy upłynie 12 miesięczny okres na wdrożenie środków zarządzania ryzykiem, a to wymaga czasu, aby Państwa pracownicy nauczyli się funkcjonować w nowym systemie cyberbezpieczeństwa.
Dlatego warto już teraz rozpocząć działania przygotowawcze, tj.:
- Przeprowadzić analizę, czy Państwa organizacja podlega nowym przepisom i w jakim zakresie.
- Zaplanować ocenę wymogów przewidzianych w UKSC/NIS2, które muszą być wdrożone w organizacji.
- Rozpocząć budowanie systemu zarządzania ryzykiem zgodnego z wymogami UKSC.
- Przygotować kadry zarządzające do nowych obowiązków poprzez specjalistyczne szkolenia.
Podsumowanie
Podpisanie ustawy to ważny krok w procesie implementacji dyrektywy NIS2 w Polsce. Będziemy Państwa na bieżąco informować o obowiązkach związanych z ustawą.
Więcej informacji dot. nowelizacji mogą Państwo znaleźć w naszym poprzednim legal alercie
W razie pytań lub potrzeby wsparcia w przygotowaniu do wymogów UKSC (NIS2), pozostajemy do Państwa dyspozycji.
KONTAKT
E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419
