23 stycznia 2026 roku Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającej unijną dyrektywę NIS 2 w sprawie cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowe przepisy mają zwiększyć bezpieczeństwo usług i systemów, z których codziennie korzystają obywatele, przedsiębiorcy oraz instytucje publiczne.
– Ustawa o Krajowym Systemie Cyberbezpieczeństwa to kompleksowa regulacja, która ma wzmocnić ochronę obywateli i instytucji przed cyberzagrożeniami. Rozszerzamy system na kolejne, wrażliwe sektory gospodarki, wzmacniamy instytucje odpowiedzialne za reagowanie na incydenty i wprowadzamy jasne zasady odpowiedzialności – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Nowe sektory w centrum cyberbezpieczeństwa
Na mocy ustawy katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki.
Szybsza reakcja na zagrożenia
Ustawa przewiduje, że organy, które odpowiadają za cyberbezpieczeństwo Polski, zyskają nowe kompetencje. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (np. Komisja Nadzoru Finansowego) będą mogły:
- wydawać ostrzeżenia,
- wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
- nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Większa odpowiedzialność i bezpieczeństwo
Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa, takich jak energetyka, transport, bankowość czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.
Nowe obowiązki dla przedsiębiorców
Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług. W ramach adaptacji wspomniane podmioty będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.
Procedura uznania za dostawcę wysokiego ryzyka
Postępowanie w sprawie uznania za dostawcę wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował minister cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego. Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.
Ostre sankcje finansowe
Za nieprzestrzeganie przepisów będą nakładane kary: co do zasady na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł), a na podmioty ważne min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Kara może też wynieść 2% przychodów firmy w przypadku podmiotów kluczowych, a w przypadku podmiotów ważnych – 1,4% przychodów.
Niezależnie od limitów, za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka sankcja grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi, albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Ubezpieczeniowa perspektywa
Tomasz Domalewski, prezes zarządu Ecofinance Group, wskazywał na łamach „Gazety Ubezpieczeniowej”, że implementacja NIS2 dla tysięcy firm w Polsce to przede wszystkim nowe obowiązki w zakresie odporności cybernetycznej. Z jednej strony mają one na celu praktyczne zwiększenie bezpieczeństwa prowadzenia działalności przez audyt systemów IT i procedur oraz dostosowanie ich do aktualnych wyzwań, z drugiej strony wpływają na wyższą świadomość ryzyka i odpowiedzialności w tym obszarze w obrocie gospodarczym poprzez m.in. obowiązkowe szkolenia pracowników, inwestycje w infrastrukturę informatyczną, a na karach pieniężnych dla kadry kierowniczej kończąc.
Zdaniem eksperta wszystko to powinno przełożyć się również na szerszy dostęp do oferty cyberubezpieczeń, gdzie do tej pory większość firm miało problemy ze spełnieniem podstawowych warunków zabezpieczeń wymaganych przez ubezpieczycieli, a wprowadzenie kar pieniężnych może „zmusić” top management do szukania dodatkowej ochrony w formule stosowanej w polisach D&O.
Z kolei Maciej Strużek prawnik, broker ubezpieczeniowy Equinum Broker, zwracał uwagę na łamach „GU”, że w kontekście ubezpieczeń od ryzyk cybernetycznych dyrektywa NIS2 może mieć kilka istotnych powiązań.
- Obowiązki raportowania: Przedsiębiorstwa objęte dyrektywą NIS2 będą zobowiązane do zgłaszania incydentów związanych z bezpieczeństwem cyfrowym. Ubezpieczenie od ryzyk cybernetycznych może obejmować pokrycie kosztów związanych z takim raportowaniem oraz działań naprawczych.
- Zarządzanie ryzykiem: Dyrektywa NIS2 nakłada obowiązek na organizacje, by wdrażały odpowiednie środki bezpieczeństwa oraz zarządzania ryzykiem cybernetycznym. Polisa może pomóc w całościowym zabezpieczeniu organizacji przed skutkami finansowymi incydentów cybernetycznych, na wypadek gdyby posiadane systemy i procedury zawiodły.
- Odpowiedzialność prawna: W przypadku incydentów bezpieczeństwa organizacje mogą ponosić odpowiedzialność cywilną. Polisy ubezpieczeniowe mogą obejmować ochronę przed roszczeniami wynikającymi z tych incydentów.
- Podnoszenie świadomości: Z perspektywy ubezpieczycieli dyrektywa NIS2 może skłonić przedsiębiorstwa do większej dbałości o bezpieczeństwo cyfrowe, co w rezultacie może wpłynąć na warunki ubezpieczenia i stawki.
(AM, źródło: Ministerstwo Cyfryzacji, gu.com.pl)
