Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa
Polska wdraża dyrektywę NIS2
Polska wzmacnia ochronę przed cyberzagrożeniami poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, dostosowującą krajowe prawo do unijnej dyrektywy NIS2. Zmiany rozszerzają zakres regulacji na nowe sektory gospodarki, wzmacniają instytucje reagowania i nakładają większą odpowiedzialność na przedsiębiorstwa oraz organy publiczne. Wicepremier Krzysztof Gawkowski podkreślił, że to kompleksowa regulacja zwiększająca stabilność usług cyfrowych, ochronę danych i skuteczność reakcji na incydenty.
Rozszerzenie na nowe sektory i zespoły CSIRT
Katalog podmiotów Krajowego Systemu Cyberbezpieczeństwa (KSC) obejmie m.in. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczną, produkcję chemikaliów oraz żywności. Powstaną sektorowe zespoły CSIRT, budujące bazę wiedzy o zagrożeniach specyficznych dla branż. Wiceminister Paweł Olszewski zaznaczył, że nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP, wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe, zapewniając lepszą odporność systemów kluczowych dla obywateli i gospodarki.
Wzmocnione kompetencje instytucji
Organy sektorowe (ministrowie, KNF, Prezes UKE) zyskają nowe narzędzia: wydawanie ostrzeżeń, wyznaczanie monitorów, nakazywanie audytów czy ocen bezpieczeństwa. Minister Cyfryzacji będzie mógł wydawać polecenia zabezpieczające podczas incydentów krytycznych oraz prowadzić kampanie edukacyjne. Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska uprawnienia do rekomendacji, żądania informacji i zakupów oprogramowania dla Połączonego Centrum Operacyjnego Cyberbezpieczeństwa. CSIRT NASK i inne zespoły krajowe obsłużą zwiększoną liczbę podmiotów kluczowych i ważnych, usprawniając wymianę informacji o zagrożeniach.
Obowiązki podmiotów kluczowych i ważnych
Podział na podmioty kluczowe (energetyka, transport, bankowość, wodociągi) i ważne nakłada obowiązek wdrożenia środków technicznych i organizacyjnych dopasowanych do skali działalności. Kierownicy odpowiadają za cyberbezpieczeństwo, a incydenty zgłasza się bezpośrednio do CSIRT via system S46. Przedsiębiorcy muszą analizować ryzyka, przeglądać procedury i szkolić personel, z wsparciem sektorowych CSIRT w reagowaniu i szkoleniach.
Procedura dostawcy wysokiego ryzyka
Minister Cyfryzacji, przy Kolegium do Spraw Cyberbezpieczeństwa, przeprowadzi transparentne postępowanie administracyjne, by wyeliminować ryzykowne sprzęt i usługi z kluczowych systemów. Podmioty państwowe nie wprowadzą produktów od takich dostawców, a istniejące wycofają w ciągu 7 lat. Decyzja nie jest automatyczna dla firm spoza UE/NATO – opiera się na przesłankach technicznych, z prawem skargi do sądu.
Poprawki sejmowe i okres przejściowy
Sejm przyjął poprawki z 22 stycznia 2026 r.: udział przedstawiciela Prezydenta w pracach nad Krajowym planem reagowania oraz 2-letni okres karencji na pierwsze kary pieniężne, dający czas na dostosowanie.
Walka z dezinformacją – kluczowe fakty
Media szerzą mity o nowelizacji. Oto wyjaśnienia:
-
Mit: Dostawcy spoza UE/NATO to automatycznie wysoki ryzyko. Fakt: Status geograficzny nie decyduje; liczą się techniczne przesłanki. Żaden podmiot nie zaprzestanie działalności natychmiast.
-
Mit: Ogromne koszty i brak zastępstw z UE. Fakt: Decyzje dotyczą konkretnego sprzętu, nie całego dostawcy. Wymiana w 7-letnim cyklu życia urządzeń; alternatywy spoza UE/NATO dozwolone, o ile nie ryzykowne.
-
Mit: Brak odszkodowań i natychmiastowe obciążenia. Fakt: 7-letni okres minimalizuje skutki; procedura transparentna z udziałem ekspertów.
Znaczenie dla Podlasia i przedsiębiorców lokalnych
W regionie jak Białystok czy Łomża, z rozwijającymi się sektorami żywnościowymi i wodno-kanalizacyjnymi, nowelizacja chroni przed atakami na infrastrukturę krytyczną. Lokalne firmy zyskają wsparcie CSIRT, ale muszą przygotować się do audytów. To krok ku bezpiecznej cyberprzestrzeni – dostosuj systemy już dziś, by uniknąć kar i zwiększyć odporność.
źródło: gov.pl
