17 listopada 2025 roku został skierowany do pierwszego czytania rządowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa1 („Projekt Ustawy”). To efekt osiemnastomiesięcznych prac nad wdrożeniem dyrektywy NIS2 do polskiego prawa.
Termin implementacji dyrektywy NIS2 upłynął 17 października 2024 roku. Polska nie zdążyła z transpozycją w wyznaczonym czasie. Projekt przewiduje jednak krótki okres vacatio legis – tylko miesiąc od publikacji w Dzienniku Ustaw. Oznacza to, że podmioty objęte nowelizacją będą miały jedynie trzy miesiące na rejestrację w wykazie oraz sześć miesięcy na wdrożenie systemu zarządzania bezpieczeństwem informacji, licząc od dnia wejścia w życie ustawy.
Jak wynika z uzasadnienia Projektu Ustawy, dane CSIRT NASK dobrze ilustrują skalę wyzwań w obszarze cyberbezpieczeństwa2. W 2022 roku zespół odnotował 39 tysięcy zgłoszonych incydentów, w 2023 roku liczba ta wzrosła do 75 tysięcy, a w 2024 roku osiągnęła 103 tysiące zgłoszeń. Oznacza to wzrost o 164% w ciągu zaledwie dwóch lat.
Rozszerzenie sektorów i nowe obszary
Nowelizacja dzieli przedsiębiorstwa na podmioty kluczowe i ważne w zależności od wielkości i znaczenia dla funkcjonowania państwa. Jednocześnie znacząco rozszerza katalog sektorów objętych regulacją – z dotychczasowych 6 do 14.
Do sektorów podmiotów kluczowych należą: energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i jej dystrybucja, infrastruktura cyfrowa, zarządzanie ICT, przestrzeń kosmiczna, zbiorowe odprowadzenie ścieków oraz podmioty publiczne.
Do sektorów podmiotów ważnych należą: usługi pocztowe, inwestycje energetyki jądrowej, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, badania naukowe oraz podmioty publiczne.
System zarządzania bezpieczeństwem informacji
Zarówno podmioty kluczowe, jak i podmioty ważne będą zobowiązane do wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, zgodnie z wymogami Artykułu 21 dyrektywy NIS2.
Zgodnie z projektem polskiej ustawy (Art. 8), podmioty muszą ustanowić system zarządzania bezpieczeństwem informacji („SZBI”), który obejmuje szereg elementów, w tym m.in.:
- Szacowanie ryzyka i zarządzanie ryzykiem
- Polityki bezpieczeństwa systemów informacyjnych
- Ciągłość działania i zarządzanie kryzysowe
- Bezpieczeństwo łańcucha dostaw
- Procedury oceny skuteczności wdrożonych środków
- Praktyki kryptograficzne i szyfrowanie
Projekt Ustawy szczegółowo określa te wymogi, obejmując również obsługę incydentów, zarządzanie podatnościami, ciągłe monitorowanie, szkolenia pracowników oraz kontrole dostępu.
Nowością jest wyraźne wskazanie odpowiedzialności zarządu. Kierownik podmiotu (w rozumieniu ustawy o rachunkowości) ponosi odpowiedzialność za wykonywanie obowiązków z zakresu SZBI przez podmiot.
Zgłaszanie incydentów
Podmioty kluczowe i ważne zgłaszają incydenty istotne do zespołu CSIRT w trzech etapach:
- Wczesne ostrzeżenie – niezwłocznie, maksymalnie w ciągu 24 godzin,
- Zgłoszenie incydentu – w ciągu 72 godzin,
- Raport końcowy – w ciągu miesiąca od zgłoszenia incydentu.
Nowelizacja przewiduje utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty w reagowaniu na incydenty z uwzględnieniem specyfiki danego sektora.
Co to oznacza w praktyce
Podmioty działające w objętych sektorach powinny przeprowadzić samoocenę, czy spełniają kryteria podmiotu kluczowego lub ważnego.
Podmioty, które w dniu wejścia w życie ustawy będą spełniać te kryteria, będą zobowiązane do:
- złożenia wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych prowadzonego przez ministra właściwego do spraw informatyzacji – w terminie określonym w harmonogramie, który zostanie ogłoszony w dzienniku urzędowym ministra (art. 33 ust. 3 w zw. z art. 34 ust. 3 pkt 1 Projektu Ustawy)
- wdrożenia SZBI - w terminie 6 miesięcy od wejścia w życie ustawy (art. 33 ust. 1 Projektu Ustawy)
Wdrożenie SZBI to proces wymagający czasu. Należy zaangażować zarząd, przeprowadzić audyt infrastruktury IT, zweryfikować łańcuch dostaw, wdrożyć procedury zarządzania incydentami i przeszkolić pracowników.
Zespół kancelarii BSJP bnt we współpracy ze specjalistami z zakresu cyberbezpieczeństwa zapewnia kompleksowe doradztwo w zakresie spełnienia wymogów określonych w nowelizacji ustawy i Dyrektywie NIS2. W razie jakichkolwiek pytań związanych ze zmianami zachęcamy do kontaktu z naszymi ekspertami Marcinem Krollem (marcin.kroll@bsjp.pl) oraz Rafałem Wieczerzakiem (rafal.wieczerzak@bsjp.pl).