Prawo
Redakcja 13 sierpnia 2025

Ustawa o krajowym systemie cyberbezpieczeństwa – co się zmienia i dlaczego warto to śledzić?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) właśnie przechodzi ostatnie etapy prac w Senacie. Przyjęta pod koniec czerwca przez Sejm, ma stać się jednym z kluczowych filarów cyfrowej odporności Polski. Co się zmienia, dlaczego teraz i jak nowe przepisy wpłyną na instytucje, firmy i użytkowników sieci?

Czym jest ustawa o krajowym systemie cyberbezpieczeństwa?

Obowiązująca od 2018 roku ustawa o krajowym systemie cyberbezpieczeństwa stanowi fundament krajowej strategii reagowania na zagrożenia cyfrowe. Jej głównym celem jest zapewnienie ciągłości działania usług kluczowych dla funkcjonowania państwa – takich jak energetyka, transport, opieka zdrowotna czy finanse.

Ustawa określa m.in.:

  • strukturę systemu, w tym rolę CSIRT-ów (zespołów reagowania na incydenty), operatorów usług kluczowych (OUK) i operatorów usług istotnych (OUI),
  • obowiązki związane ze zgłaszaniem incydentów i wdrażaniem procedur bezpieczeństwa,
  • zasady współpracy publiczno-prywatnej w zakresie cyberochrony,
  • zgodność z przepisami Unii Europejskiej, w tym z dyrektywą NIS.

Więcej szczegółów dotyczących obecnej wersji ustawy można znaleźć w serwisie ISAP (ustawa o krajowym systemie cyberbezpieczeństwa ISAP).

Dlaczego potrzebna jest nowelizacja?

Środowisko cyfrowe zmieniło się znacząco od 2018 roku – zarówno pod względem technologicznym, jak i prawnym. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa:

  • wdraża dyrektywę NIS2 – przyjętą przez Unię Europejską w 2022 roku,
  • znacząco poszerza katalog podmiotów objętych przepisami – z kilkuset do nawet kilkudziesięciu tysięcy firm i instytucji, zarówno publicznych, jak i prywatnych,
  • wprowadza nową procedurę „polecenia zabezpieczającego”, umożliwiającą Ministrowi Cyfryzacji szybkie działanie w przypadku wykrycia podatności lub zagrożenia,
  • reguluje zasady dotyczące dostawców wysokiego ryzyka, w szczególności w kontekście infrastruktury 5G oraz krytycznych komponentów cyfrowych,
  • upraszcza system zgłaszania incydentów – wprowadzając m.in. wymóg zgłoszenia wstępnego w ciągu 12 godzin i pełnego w ciągu 72 godzin,
  • zobowiązuje nowe sektory – takie jak ochrona środowiska, edukacja, przemysł spożywczy, sektor kosmiczny czy ICT – do wdrożenia systemów zarządzania bezpieczeństwem informacji (ISMS),
  • rozszerza współpracę publiczno-prywatną, umożliwiając lepszą wymianę informacji, wspólne ćwiczenia i konsultacje z administracją publiczną.

Nowelizacja wprowadza także nową kategorię podmiotów – operatorów usług istotnych (OUI) – które choć nie świadczą usług kluczowych, mają istotne znaczenie dla gospodarki lub porządku publicznego.

Na jakim etapie są prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa?

Ministerstwo Cyfryzacji od wielu miesięcy prowadziło intensywne prace przygotowawcze, które objęły liczne konsultacje społeczne i formalne działania legislacyjne. Projekt nowej ustawy – będący kluczowym elementem wdrożenia dyrektywy – został ułożony w sejmowym serwisie Interpelacji jako druk nr 1238, a do czerwca 2024 r. odbyło się około czternastu aktualizacji projektu, z których większość uwzględniała sugestie ponad 200 zainteresowanych podmiotów (ok. 70 % z 1567 zgłoszonych uwag).

Aktualny przebieg prac:

  • Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa został oficjalnie przyjęty przez Radę Ministrów 29 kwietnia 2025 r. (z autopoprawką) 
  • Dokument trafił następnie do Sejmu jako druk nr 1238, gdzie wszedł w procedurę parlamentarną: 3 czerwca odbyło się I czytanie, po którym przeszedł dalszą ścieżkę legislacyjną 
  • W dniu 26 czerwca 2025 r. Sejm uchwalił nowelizację – głosami 406 „za” – uznając ją za kluczową realizację polityki cyberbezpieczeństwa państwa 
  • Obecnie ustawa o krajowym systemie cyberbezpieczeństwa znajduje się na etapie prac w Senacie – rozpoczęto już posiedzenia komisji senackich, które analizują zgłoszone poprawki.
  • Po zatwierdzeniu przez Senat, dokument zostanie skierowany do podpisu Prezydenta, a następnie – zgodnie z procedurą – opublikowany w Dzienniku Ustaw, co formalnie uruchomi jego wejście w życie.

Równolegle procedowana jest również ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa (lex) – stanowiąca uzupełnienie nowelizacji KSC i rozwijająca ramy certyfikacji produktów ICT zgodnie z przepisami unijnymi.

Co to oznacza w praktyce?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa niesie ze sobą szereg praktycznych skutków dla obywateli, przedsiębiorstw oraz instytucji publicznych. Zmiany te dotyczą zarówno poziomu bezpieczeństwa usług, jak i konkretnych obowiązków organizacyjnych, które obejmą tysiące nowych podmiotów – także tych, które dotąd nie były objęte ustawą. Oto najważniejsze konsekwencje:

  • Większe bezpieczeństwo usług kluczowych
    Szpitale, banki, urzędy, sieci energetyczne i inne elementy infrastruktury krytycznej będą musiały spełniać bardziej przejrzyste, jednolite i skuteczne wymogi z zakresu cyberochrony.
  • Jasne obowiązki i szybsza reakcja
    System reagowania na incydenty stanie się bardziej efektywny dzięki obowiązkowi zgłaszania incydentów w określonych terminach, lepszej koordynacji cyfrowej i nowym uprawnieniom nadzorczym.
  • Zgodność z przepisami unijnymi (NIS2)
    Ustawa pozwala na pełne wdrożenie dyrektywy NIS2, co umożliwi uniknięcie kar ze strony Komisji Europejskiej i zapewni jednolite standardy ochrony w całej UE.
  • Przejrzystość rynku ICT i większe zaufanie konsumentów
    Nowe przepisy regulujące dostawców wysokiego ryzyka oraz system certyfikacji produktów cyfrowych mają na celu poprawę bezpieczeństwa łańcucha dostaw i umożliwienie użytkownikom wyboru rozwiązań zgodnych z europejskimi normami.
  • Nowe obowiązki dla MŚP i instytucji spoza sektora krytycznego
    Do grona zobowiązanych podmiotów dołączą m.in. uczelnie, szkoły, firmy z branży spożywczej, środowiskowej czy technologicznej – będą one musiały wdrożyć polityki bezpieczeństwa, przeszkolić personel i zgłaszać incydenty.
  • Silniejsze mechanizmy nadzoru i sankcji
    Nowelizacja przewiduje konkretne instrumenty nadzoru oraz kary finansowe za nieprzestrzeganie przepisów – w skrajnych przypadkach możliwy będzie również zakaz działalności w sektorach krytycznych.

Podsumowując, nowa ustawa o krajowym systemie cyberbezpieczeństwa to nie tylko zmiany formalne, ale realne wzmocnienie bezpieczeństwa cyfrowego w Polsce. Dla wielu podmiotów oznacza to konieczność dostosowania procesów i infrastruktury, ale w dłuższej perspektywie – to krok w stronę stabilniejszego, bezpieczniejszego środowiska cyfrowego zgodnego z europejskimi standardami.