Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wdrażający dyrektywę NIS 2. Mówimy o najbardziej znaczącej reformie bezpieczeństwa cyfrowego w Polsce od 2018 r. i kluczowym kamieniu milowym Krajowego Planu Odbudowy (C3.1 KPO).
Nowe przepisy mają wzmocnić odporność instytucji publicznych i przedsiębiorstw na zagrożenia w cyberprzestrzeni oraz dostosować krajowy porządek prawny do europejskich standardów bezpieczeństwa. W praktyce to początek zupełnie nowej rzeczywistości regulacyjnej, w której cyberbezpieczeństwo staje się obowiązkiem zarządczym — a nie wyłącznie technologicznym.
Czego dotyczy projekt?
21 października 2025 r. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (nr UC32). Dokument opracowany przez Ministerstwo Cyfryzacji implementuje dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS 2) i ma na celu:
- podniesienie poziomu ochrony sieci i systemów informacyjnych,
- wzmocnienie odporności organizacji publicznych i prywatnych na incydenty,
- doprowadzenie do pełnego dostosowania polskich regulacji do europejskich standardów.
Co ważne — według deklaracji rządowych projekt ma być procedowany w trybie przyspieszonym, tak aby ustawa została uchwalona i weszła w życie jeszcze w 2025 r.
Kogo obejmą nowe obowiązki?
Zakres podmiotowy ustawy będzie bardzo szeroki. Nowe wymogi obejmą:
- instytucje publiczne,
- jednostki samorządu terytorialnego i spółki komunalne,
- podmioty kluczowe (m.in. energia, zdrowie, transport, administracja, infrastruktura cyfrowa),
- podmioty ważne (m.in. usługi cyfrowe, pocztowe, żywność, odpady, przemysł chemiczny i farmaceutyczny, sektor finansowy).
W praktyce, wiele organizacji, które dotychczas były poza systemem KSC, będzie musiało przygotować się do zupełnie nowych obowiązków prawnych.
Najważniejsze obowiązki organizacji
Po wejściu w życie ustawy podmioty kluczowe i ważne będą zobowiązane m.in. do:
- wdrożenia i udokumentowania systemu zarządzania bezpieczeństwem informacji,
- stworzenia procedur reagowania na incydenty oraz planów ciągłości działania,
- monitorowania zagrożeń i raportowania poważnych incydentów,
- regularnej analizy ryzyka i stosowania odpowiednich środków technicznych,
- przeprowadzenia szkoleń personelu i kierownictwa,
- oraz zapewnienia nadzoru nad cyberbezpieczeństwem dostawców i łańcucha dostaw.
To przejście z podejścia „best effort” do twardego obowiązku prawnego i odpowiedzialności zarządczej.
Terminy i harmonogram
Zgodnie z projektem:
- ustawa wejdzie w życie 30 dni od ogłoszenia,
- od tego momentu organizacje będą miały 6 miesięcy na wdrożenie kluczowych obowiązków,
- pierwszy audyt bezpieczeństwa trzeba będzie przeprowadzić w terminie 24 miesięcy,
- w ciągu 6 miesięcy od wejścia ustawy w życie zostanie opracowany Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe w Cyberbezpieczeństwie.
To bardzo ambitny harmonogram — zwłaszcza dla podmiotów, które dopiero zaczynają budować formalne systemy bezpieczeństwa.
Cyberbezpieczeństwo to nie projekt IT — to projekt zarządczy
NIS 2 nie sprowadza się do zakupu systemów antywirusowych czy dodatkowych firewalli. Sedno zmian tkwi w zarządzaniu:
- odpowiedzialności kierownictwa,
- systemowym podejściu do ryzyka,
- dokumentacji i audytowalności,
- kulturze bezpieczeństwa w organizacji.
Technologia jest narzędziem.
Liderzy, procesy, procedury i świadomość — to podstawa.
Co dalej?
Przyjęcie projektu przez Radę Ministrów oznacza, że czas przygotowań zaczyna się teraz. Niezależnie od ostatecznych dat wejścia w życie ustawy, organizacje powinny ocenić ryzyko, zaplanować działania i rozpocząć wdrożenia.
W najbliższych tygodniach będziemy publikować kolejne materiały dotyczące NIS 2 i nowej ustawy o krajowym systemie cyberbezpieczeństwa — w tym praktyczne omówienia obowiązków, terminów wdrożeniowych oraz najważniejszych wymogów organizacyjnych i technicznych.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!