Nowe zasady ochrony kluczowych usług i ważnej infrastruktury w Polsce.

Ustawa wprowadza istotne zmiany do sposobu zarządzania kryzysowego w Polsce, koncentrując się na wzmocnieniu odporności infrastruktury krytycznej i kluczowych usług.

Co zmienia ustawa w praktyce?

1. Nowe definicje i rozszerzony zakres: Ustawa precyzuje, czym są „podmioty krytyczne”, „usługi kluczowe”, „incydenty istotne” i „odporność podmiotu krytycznego”. Rozszerza definicję infrastruktury krytycznej o obiekty, urządzenia i usługi niezbędne do utrzymania kluczowych funkcji społecznych, gospodarczych, zdrowia i bezpieczeństwa. Wprowadza również pojęcie „potencjalnej infrastruktury krytycznej”, czyli obiektów dopiero projektowanych lub budowanych, które w przyszłości mogą stać się krytyczne.
2. Nowy system planowania i zarządzania ryzykiem: Wprowadza Krajową Ocenę Ryzyka (KOR) oraz Krajową Strategię Odporności Podmiotów Krytycznych (KSOPK), które będą opracowywane przez Rządowe Centrum Bezpieczeństwa (RCB). Powstaną również szczegółowe plany zarządzania ryzykiem i reagowania kryzysowego na wszystkich szczeblach administracji (krajowym, ministerialnym, wojewódzkim, powiatowym i gminnym).
3. Obowiązki operatorów infrastruktury krytycznej: Podmioty odpowiedzialne za infrastrukturę krytyczną będą musiały regularnie (co najmniej raz na 6 miesięcy) analizować zagrożenia, wdrażać rozwiązania ochronne (fizyczne, techniczne, osobowe, cyberbezpieczeństwo), opracowywać i aktualizować dokumentację systemów zarządzania bezpieczeństwem, a także zgłaszać istotne incydenty w ciągu 24 godzin. Wprowadzony zostanie obowiązek wyznaczenia pełnomocnika ds. bezpieczeństwa usługi kluczowej i przeprowadzania audytów bezpieczeństwa.
4. Kontrola dronów i morskich farm wiatrowych: Policja, Straż Graniczna, Służba Ochrony Państwa oraz inne służby uzyskują uprawnienia do niszczenia, unieruchamiania lub przejmowania kontroli nad bezzałogowymi obiektami (dronami naziemnymi, wodnymi, powietrznymi) w sytuacjach zagrożenia. Wzmocniona zostanie ochrona morskich farm wiatrowych, które mogą być uznane za infrastrukturę krytyczną, również poza granicami Polski.
5. Pojedynczy Punkt Kontaktowy (SPOC): Dyrektor RCB będzie odpowiedzialny za SPOC, który będzie koordynował międzynarodową współpracę w zakresie odporności podmiotów krytycznych.
6. Kary pieniężne: Ustawa przewiduje kary finansowe dla podmiotów krytycznych, które nie wywiązują się ze swoich obowiązków, np. nie przeprowadzają oceny ryzyka, nie wdrażają rozwiązań ochronnych czy nie zgłaszają incydentów.

Kogo dotyczy?

Ustawa dotyczy operatorów infrastruktury krytycznej zarówno publicznych, jak i prywatnych, działających w kluczowych sektorach, takich jak: energia, transport, bankowość i rynki finansowe, ochrona zdrowia, zaopatrzenie w wodę, infrastruktura cyfrowa, administracja publiczna, produkcja i dystrybucja żywności, chemikalia, usługi pocztowe i gospodarka odpadami. Ma również wpływ na organy administracji publicznej na wszystkich szczeblach, które będą musiały dostosować swoje plany i procedury zarządzania kryzysowego.

Jakie prawa lub obowiązki wprowadza?

• Dla obywateli: Ustawa ma na celu zapewnienie większego bezpieczeństwa i ciągłości świadczenia podstawowych usług. W sytuacjach kryzysowych mogą jednak pojawić się tymczasowe ograniczenia (np. w ruchu drogowym czy telekomunikacji) w celu ochrony ważnych obiektów.
• Dla operatorów: Operatorzy zyskują klarowne wytyczne dotyczące budowania odporności, ale nakłada się na nich szereg nowych obowiązków w zakresie bezpieczeństwa fizycznego, technicznego, osobowego i cyberbezpieczeństwa. Będą musieli inwestować w odpowiednie systemy i szkolenia.
• Dla administracji: Organy publiczne będą miały za zadanie identyfikować podmioty krytyczne, nadzorować ich działalność, koordynować plany kryzysowe i współpracować zarówno na poziomie krajowym, jak i międzynarodowym.

Od kiedy obowiązuje?

Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia (czyli od 19 czerwca 2026 r.). Niektóre z przepisów, takie jak opracowanie Krajowej Oceny Ryzyka i Krajowej Strategii Odporności Podmiotów Krytycznych, mają swoje własne terminy (odpowiednio 6 i 12 miesięcy od wejścia ustawy w życie). Pierwszy raport o stanie ochrony infrastruktury krytycznej będzie składany za rok 2027.

Praktyczne konsekwencje dla zwykłych ludzi

Dla przeciętnego obywatela ustawa oznacza przede wszystkim zwiększenie pewności, że podstawowe usługi będą działały nieprzerwanie lub zostaną szybko przywrócone w przypadku awarii czy zagrożenia. To dotyczy dostępu do energii, wody, internetu, transportu czy usług bankowych. Zwiększone bezpieczeństwo infrastruktury oznacza mniejsze ryzyko poważnych zakłóceń w codziennym życiu wynikających z katastrof naturalnych, ataków terrorystycznych czy hybrydowych. Z drugiej strony, możliwe są tymczasowe niedogodności, takie jak utrudnienia w ruchu drogowym czy zakłócenia telekomunikacji, jeśli sytuacja kryzysowa tego wymaga, ale mają one służyć zapewnieniu ogólnego bezpieczeństwa.