Wdrożenie dyrektywy NIS 2 do prawa krajowego to jedno z kluczowych wyzwań, przed jakimi stoją państwa członkowskie Unii Europejskiej. Nowe przepisy mają na celu podniesienie poziomu odporności na cyberzagrożenia, które w ostatnich latach rosną nie tylko pod względem skali, ale i stopnia zaawansowania. Polska realizuje ten obowiązek poprzez przygotowanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Dlaczego zmiany w KSC są tak istotne?
Dyrektywa NIS 2 znacząco podnosi poprzeczkę w obszarze cyberbezpieczeństwa – zarówno dla państw, jak i dla przedsiębiorstw. Jej celem jest stworzenie jednolitego poziomu ochrony w całej Unii, tak aby sektor energetyczny, transportowy, zdrowotny, bankowy czy usługi cyfrowe były w stanie skutecznie odpierać ataki i minimalizować skutki incydentów.
Dla Polski nowelizacja KSC oznacza nie tylko formalne dostosowanie prawa, lecz także wzmocnienie praktycznych narzędzi nadzoru i kontroli. Wśród kluczowych obszarów znajdują się m.in.:
- poszerzenie katalogu podmiotów objętych ustawą,
- obowiązek wdrażania procedur zarządzania ryzykiem,
- nowe standardy w zakresie zgłaszania incydentów,
- rozszerzone kompetencje organów nadzorczych i bardziej dotkliwe sankcje.
Ewolucja projektów ustawy – od pierwszych propozycji do obecnych rozwiązań
Prace nad wdrożeniem NIS 2 do polskiego porządku prawnego trwają od kilku lat i mają charakter etapowy. Kolejne wersje projektu ustawy były prezentowane już od 2022 r., a każda z nich modyfikowała wcześniejsze rozwiązania.
Pierwsze propozycje – publikowane jeszcze w 2022 r. – wyznaczały ogólne kierunki zmian. W latach 2023–2024 pojawiały się kolejne wersje, często korygowane pod presją terminu implementacji wyznaczonego przez Unię Europejską (17 października 2024 r.). Ostatecznie jednak proces się przedłużył, co skutkowało wszczęciem przez Komisję Europejską procedury naruszeniowej wobec Polski.
W 2025 r. opublikowano dwie kolejne odsłony projektu:
- kwiecień–czerwiec 2025 – projekt z 16 kwietnia trafił do Stałego Komitetu Rady Ministrów w czerwcu,
- sierpień 2025 – opublikowano najnowszą, siódmą wersję ustawy uwzględniającą poprawki z posiedzenia Stałego Komitetu Rady Ministrów.
Najważniejsze zmiany w aktualnym projekcie
Najnowsza propozycja nowelizacji KSC doprecyzowuje wiele kwestii, które wcześniej budziły wątpliwości. Przewiduje m.in.:
- jasne kryteria kwalifikacji podmiotów ważnych na podstawie ich wielkości,
- wskazanie, że każdy organ właściwy prowadzi własny wykaz podmiotów, a Minister Cyfryzacji zarządza centralnym systemem gromadzącym te dane,
- określenie sytuacji, w których ocena bezpieczeństwa nie może być przeprowadzona,
- wprowadzenie możliwości zaskarżania decyzji dotyczących m.in. zakazu pełnienia funkcji zarządczych.
Projekt rozporządzenia do ustawy
Równolegle przedstawiono projekt rozporządzenia wykonawczego, które reguluje szczegółowe zasady prowadzenia oceny bezpieczeństwa systemów informacyjnych. Dokument precyzuje m.in.:
- jakie działania mogą być realizowane podczas oceny (od pasywnej analizy po testy aktywne),
- jak ma wyglądać proces uzgadniania zakresu oceny pomiędzy CSIRT a podmiotem kluczowym,
- sposób raportowania i niszczenia materiałów zebranych w trakcie oceny,
- wymagania wobec komisji odpowiedzialnej za prowadzenie procesu.
Rozporządzenie ma wejść w życie w krótkim terminie – 14 dni od ogłoszenia – i stanowi uzupełnienie ustawowych obowiązków wynikających z KSC.
Co dalej?
Choć proces legislacyjny wciąż trwa, nie ma wątpliwości, że obowiązki wynikające z NIS 2 wkrótce staną się codziennością dla szerokiego grona organizacji w Polsce. W praktyce oznacza to konieczność przygotowania polityk i procedur, wdrożenia narzędzi do zarządzania ryzykiem, a także budowania kultury bezpieczeństwa w całych instytucjach.
Organizacje – zarówno kluczowe, jak i ważne – nie powinny czekać na ostateczny tekst ustawy. Warto już teraz analizować wymagania NIS 2 i dostosowywać procesy do standardów, które wkrótce będą obowiązkowe.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!