Zaktualizowane zasady bezpieczeństwa cyfrowego w Polsce

Wprowadzenie do zaktualizowanej ustawy o cyberbezpieczeństwie

Przedstawione obwieszczenie dotyczy jednolitego tekstu ustawy o krajowym systemie cyberbezpieczeństwa, co oznacza, że zintegrowano w nim wszystkie zmiany, które wprowadzono do oryginalnej ustawy z 2018 roku. Jest to kluczowe, ponieważ cyberzagrożenia stale ewoluują, a przepisy muszą za nimi nadążać. Ten dokument zbiera w całość dotychczasowe regulacje, w tym te dotyczące prawa komunikacji elektronicznej, certyfikacji cyberbezpieczeństwa oraz odporności cyfrowej sektora finansowego.

Kogo dotyczy i co zmienia w praktyce?

Ustawa ma szeroki zasięg i dotyka wielu podmiotów, które świadczą kluczowe usługi dla społeczeństwa i gospodarki:

• Operatorzy usług kluczowych: To podmioty z sektorów takich jak energetyka, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę, czy infrastruktura cyfrowa. Muszą oni wdrażać zaawansowane systemy zarządzania bezpieczeństwem informacyjnym, które pozwolą na systematyczne szacowanie i zarządzanie ryzykiem. Mają obowiązek zgłaszania poważnych incydentów cyberbezpieczeństwa (czyli takich, które mogą znacząco zakłócić ich działanie) do właściwych zespołów reagowania (CSIRT MON, CSIRT NASK, CSIRT GOV) w ciągu 24 godzin od wykrycia. Są również zobowiązani do powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub do podpisania umowy z zewnętrznym ekspertem, a także do przeprowadzania regularnych audytów bezpieczeństwa (co najmniej raz na 2 lata).

• Dostawcy usług cyfrowych: Dotyczy to firm oferujących internetowe platformy handlowe, usługi przetwarzania w chmurze oraz wyszukiwarki internetowe. Obowiązki dotyczą przedsiębiorców większych niż mikro i małe firmy. Muszą oni podejmować właściwe i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem cyberbezpieczeństwa oraz zgłaszać incydenty istotne (mające znaczący wpływ na świadczone usługi) do właściwych CSIRT-ów. Te środki mają zapewnić ciągłość działania usług.

• Podmioty publiczne: Wszelkie jednostki sektora finansów publicznych, instytuty badawcze, NBP, Bank Gospodarstwa Krajowego i inne podmioty realizujące zadania publiczne, które zależą od systemów informacyjnych. Muszą one zarządzać incydentami, zgłaszać je do CSIRT-ów oraz informować osoby, na rzecz których realizują zadania, o zagrożeniach i sposobach zabezpieczania się.

Wpływ na przeciętnego obywatela

Chociaż ustawa skupia się na obowiązkach instytucji, jej praktyczne konsekwencje bezpośrednio przekładają się na życie zwykłych ludzi:

• Większe bezpieczeństwo usług: Dzięki nałożonym obowiązkom na dostawców kluczowych usług (energia, woda, transport, bankowość, medycyna) oraz usług cyfrowych (np. sklepy internetowe), wzrasta poziom ich odporności na cyberataki. Oznacza to mniejsze ryzyko awarii tych usług, co przekłada się na naszą codzienną wygodę i bezpieczeństwo.
• Lepsza ochrona danych osobowych: Wymogi dotyczące zarządzania ryzykiem i wdrażania środków bezpieczeństwa w systemach informacyjnych, w których przetwarzane są dane, wzmacniają ochronę naszych informacji. Co prawda ustawa dotyczy głównie organizacyjnych aspektów cyberbezpieczeństwa, ale integracja z przepisami o ochronie danych osobowych (RODO) jest wyraźnie wskazana przy przetwarzaniu danych przez zespoły CSIRT.
• Możliwość zgłaszania incydentów: Zwykli obywatele, a także inne podmioty, mogą zgłaszać incydenty cyberbezpieczeństwa do CSIRT NASK. Chociaż te zgłoszenia mają niższy priorytet niż te od operatorów kluczowych czy dostawców usług cyfrowych, wciąż stanowią cenne źródło informacji i przyczyniają się do walki z cyberprzestępczością.

Kary i konsekwencje

Ustawa przewiduje kary pieniężne za niewypełnienie określonych obowiązków. Operatorzy usług kluczowych i dostawcy usług cyfrowych mogą być obciążeni karami sięgającymi nawet 1 000 000 zł. Dodatkowo, kierownicy operatorów usług kluczowych mogą zostać ukarani grzywną do 200% miesięcznego wynagrodzenia za brak należytej staranności. Ma to zapewnić, że podmioty objęte ustawą poważnie traktują kwestie cyberbezpieczeństwa.

Od kiedy obowiązuje

Jednolity tekst ustawy został ogłoszony 9 stycznia 2026 r., co oznacza, że od tej daty stanowi on aktualne i wiążące brzmienie przepisów regulujących krajowy system cyberbezpieczeństwa.