Wzmacnianie cyberbezpieczeństwa w Polsce, nowe obowiązki dla firm i instytucji

Niniejsza ustawa wprowadza istotne zmiany w zakresie cyberbezpieczeństwa w Polsce, dostosowując krajowe przepisy do unijnej dyrektywy NIS 2. Ma to na celu zwiększenie odporności na cyberataki w wielu kluczowych sektorach gospodarki i administracji publicznej.

Co zmienia ustawa w praktyce?

Najważniejszą zmianą jest rozszerzenie katalogu podmiotów objętych przepisami ustawy. Dotychczasowe „operatorzy usług kluczowych” zostały zastąpione przez znacznie szersze kategorie: „podmioty kluczowe” i „podmioty ważne”. Obejmują one teraz nie tylko tradycyjne sektory (energetyka, transport, bankowość, ochrona zdrowia), ale także szereg dostawców usług cyfrowych, takich jak dostawcy chmury obliczeniowej, dostawcy usług DNS, internetowe platformy handlowe, platformy mediów społecznościowych, czy wyszukiwarki internetowe. Włączone zostały również niektóre jednostki sektora publicznego, organizacje badawcze, podmioty zajmujące się gospodarką odpadami, produkcją chemikaliów, wyrobów medycznych i żywności.

Nowe podmioty, które znajdą się na liście kluczowych lub ważnych, będą musiały wdrożyć kompleksowy system zarządzania bezpieczeństwem informacji. Obejmuje to m.in. systematyczną ocenę ryzyka, stosowanie odpowiednich środków technicznych i organizacyjnych (np. plany ciągłości działania, monitorowanie), szkolenia z cyberbezpieczeństwa dla pracowników i kierownictwa oraz zarządzanie bezpieczeństwem łańcucha dostaw ICT.

Ustawa wprowadza szczegółowe zasady zgłaszania incydentów. Podmioty kluczowe i ważne będą musiały zgłaszać poważne incydenty do odpowiednich CSIRT-ów (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w krótszych terminach: wstępne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie w ciągu 72 godzin, a raport końcowy w ciągu miesiąca. Wzmocniona zostanie również wymiana informacji o cyberzagrożeniach i podatnościach między sektorem publicznym a prywatnym.

Kogo dotyczy?

Ustawa dotyczy bardzo szerokiej gamy podmiotów. Oprócz tradycyjnych kluczowych operatorów w sektorach takich jak energetyka (w tym jądrowa), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastruktura rynków finansowych, ochrona zdrowia (szpitale, laboratoria, publiczne służby krwi), obejmie także:

• Dostawców usług cyfrowych: np. dostawcy chmury, platformy handlowe, media społecznościowe, wyszukiwarki, usługi DNS.
• Podmioty publiczne: urzędy gmin, samorządowe jednostki budżetowe, instytucje kultury, niektóre agencje rządowe i fundusze.
• Sektor nauki i badań: w tym organizacje badawcze i jednostki szkolnictwa wyższego.
• Gospodarka odpadami: firmy zajmujące się zbieraniem, transportem i przetwarzaniem odpadów.
• Produkcja i dystrybucja: przedsiębiorstwa z branży chemicznej, wyrobów medycznych oraz sektora spożywczego (produkcja i hurtowa dystrybucja żywności).
• Dostawców usług zarządzanych w zakresie ICT i cyberbezpieczeństwa.

Jakie prawa lub obowiązki wprowadza?

Główne obowiązki dla podmiotów kluczowych i ważnych to:

• Wdrożenie i utrzymanie systemu zarządzania bezpieczeństwem informacji.
• Systematyczne szacowanie ryzyka i zarządzanie nim.
• Raportowanie incydentów cybernetycznych.
• Przeprowadzanie audytów bezpieczeństwa (dla podmiotów kluczowych co najmniej raz na 3 lata).
• Wyznaczenie osób odpowiedzialnych za kontakty z krajowym systemem cyberbezpieczeństwa.
• Zapewnienie świadomości i szkoleń z cyberbezpieczeństwa dla personelu i kierownictwa.

Ustawa wprowadza również nowe mechanizmy nadzoru i sankcji. Organy właściwe do spraw cyberbezpieczeństwa będą miały szersze uprawnienia kontrolne i będą mogły nakładać wysokie kary pieniężne za niewypełnianie obowiązków (do 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych, do 7 mln EUR lub 1,4% dla podmiotów ważnych, a w skrajnych przypadkach nawet do 100 mln zł za zagrożenie bezpieczeństwa państwa).

Istotnym novum jest także możliwość uznawania dostawców sprzętu lub oprogramowania za dostawców wysokiego ryzyka, co może skutkować zakazem ich użytkowania w kluczowych systemach. Minister właściwy do spraw informatyzacji będzie publikować listę takich produktów.

Dla obywateli ustawa przewiduje praktyczne korzyści, m.in. stworzenie przez CSIRT NASK usługi online umożliwiającej sprawdzenie, czy dane osobowe zostały ujawnione w wyniku cyberataku.

Od kiedy obowiązuje?

Ustawa wchodzi w życie po upływie miesiąca od dnia ogłoszenia, czyli 2 kwietnia 2026 r., jako że data ogłoszenia to 2 marca 2026 r. Jednakże, wiele nowych obowiązków ma odroczone terminy wdrożenia, np. do 12 lub 24 miesięcy od wejścia w życie ustawy, a wycofanie produktów od dostawców wysokiego ryzyka może trwać nawet 4 lub 7 lat.

Praktyczne konsekwencje dla zwykłych ludzi

Dla przeciętnego obywatela, ustawa ma przede wszystkim zwiększyć bezpieczeństwo i niezawodność usług, z których korzysta na co dzień. Mniej awarii, lepsza ochrona danych i większa odporność na cyberataki w sektorach takich jak bankowość, telekomunikacja, energia, transport czy ochrona zdrowia, to bezpośrednie korzyści. Nowa usługa CSIRT NASK, pozwalająca sprawdzić wyciek danych osobowych, to konkretne narzędzie chroniące prywatność. Należy jednak liczyć się z tym, że zwiększone koszty dla przedsiębiorstw i instytucji w związku z dostosowaniem do nowych wymagań mogą w dłuższej perspektywie wpłynąć na ceny usług.