3 kwietnia 2026 r. wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. – Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Ustawa o krajowym systemie cyberbezpieczeństwa wdraża unijną dyrektywę NIS 2 w sprawie cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowe przepisy mają na celu zwiększenie bezpieczeństwa usług i systemów, z których codziennie korzystają obywatele, przedsiębiorcy oraz instytucje.
Ustawa dostosowuje krajowy system cyberbezpieczeństwa do zmienionego otoczenia cyfrowego i rosnącej skali zagrożeń w cyberprzestrzeni. Zmiany obejmują m.in. rozszerzenie katalogu podmiotów objętych obowiązkami, zastąpienie dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów kluczowych i podmiotów ważnych, wzmocnienie systemu reagowania na incydenty oraz doprecyzowanie ról organów odpowiedzialnych za cyberbezpieczeństwo.
W ustawie wprowadzono też definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali działania nadal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać incydenty i stosować podstawowe procedury ochrony systemów informacyjnych.
Do 3 października 2026 r. podmioty kluczowe i ważne mają czas, aby złożyć wniosek o wpis do wykazu. To pierwszy ważny termin wynikający z ustawy. W praktyce oznacza on sześć miesięcy na sprawdzenie, czy dany podmiot podlega nowym regulacjom, i na dopełnienie formalności. Z kolei do 3 kwietnia 2027 r. podmioty, które w dniu wejścia w życie noweli spełniają ustawowe kryteria, muszą wdrożyć obowiązki wynikające z nowych przepisów. Do 3 kwietnia 2028 r. podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.
W przypadku większości obowiązków administracyjne kary pieniężne będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie ustawy, czyli po 3 kwietnia 2028 r.
(AM, źródło: Ministerstwo Cyfryzacji, gu.com.pl)
