19 lutego 2026 roku prezydent Karol Nawrocki podpisał ustawę z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Jednocześnie podjął decyzję o skierowaniu aktu do kontroli następczej przez Trybunał Konstytucyjny.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa wdraża unijną dyrektywę NIS 2 w sprawie cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowe przepisy mają na celu zwiększenie bezpieczeństwa usług i systemów, z których codziennie korzystają obywatele, przedsiębiorcy oraz instytucje.
Cele regulacji
Ustawa dostosowuje krajowy system cyberbezpieczeństwa do zmienionego otoczenia cyfrowego i rosnącej skali zagrożeń w cyberprzestrzeni. Zmiany obejmują m.in. rozszerzenie katalogu podmiotów objętych obowiązkami, zastąpienie dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów kluczowych i podmiotów ważnych, wzmocnienie systemu reagowania na incydenty oraz doprecyzowanie ról organów odpowiedzialnych za cyberbezpieczeństwo.
Regulacja wprowadza ponadto nową strukturę krajowego systemu cyberbezpieczeństwa, rozszerza obowiązki podmiotów publicznych i prywatnych w obszarze cyberbezpieczeństwa, określa na nowo kompetencje organów państwowych oraz wprowadza mechanizmy prewencyjne i kontrolne w odniesieniu do podmiotów kluczowych i ważnych.
W ustawie wprowadzono też definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali działania nadal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać incydenty i stosować podstawowe procedury ochrony systemów informacyjnych.
Podpis jest, ale wypowie się jeszcze Trybunał Konstytucyjny
Podpisując ustawę, prezydent podjął jednocześnie decyzję o skierowaniu jej do kontroli następczej przez Trybunał Konstytucyjny. Wątpliwości głowy państwa wzbudziło objęcie przepisami aż 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. „ Rozszerzenie to nie wynika z przepisów europejskich, a jest samodzielną inicjatywą rządu” – czytamy w uzasadnieniu decyzji. W ocenie Prezydenta RP zasadne jest również zgłoszenie zastrzeżeń wobec przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. poleceń zabezpieczających.
„Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel. Ponadto wadliwy jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Przewidziany ustawą system kar administracyjnych jest restrykcyjny, a wysokość możliwych do nałożenia kar ma wręcz charakter samodzielnych środków karnych. Prezydent zdecydował zatem o przekazaniu ustawy do Trybunału Konstytucyjnego celem weryfikacji podniesionych zarzutów dotyczących naruszenia przepisów Konstytucji RP” – głosi uzasadnienie.
Ubezpieczeniowa perspektywa
Tomasz Domalewski, prezes zarządu Ecofinance Group, wskazywał na łamach „GU”, że implementacja NIS2 dla tysięcy firm w Polsce to przede wszystkim nowe obowiązki w zakresie odporności cybernetycznej. Z jednej strony mają one na celu praktyczne zwiększenie bezpieczeństwa prowadzenia działalności przez audyt systemów IT i procedur oraz dostosowanie ich do aktualnych wyzwań, z drugiej strony wpływają na wyższą świadomość ryzyka i odpowiedzialności w tym obszarze w obrocie gospodarczym poprzez m.in. obowiązkowe szkolenia pracowników, inwestycje w infrastrukturę informatyczną, na karach pieniężnych dla kadry kierowniczej kończąc.
Zdaniem eksperta wszystko to powinno przełożyć się również na szerszy dostęp do oferty cyberubezpieczeń, gdyż do tej pory większość firm miało problemy ze spełnieniem podstawowych warunków zabezpieczeń wymaganych przez ubezpieczycieli, a wprowadzenie kar pieniężnych może „zmusić” top management do szukania dodatkowej ochrony w formule stosowanej w polisach D&O.
Z kolei Maciej Strużek, prawnik, broker ubezpieczeniowy Equinum Broker, wskazywał, że w kontekście ubezpieczeń od ryzyk cybernetycznych dyrektywa NIS2 może mieć kilka istotnych powiązań.
- Obowiązki raportowania: Przedsiębiorstwa objęte dyrektywą NIS2 będą zobowiązane do zgłaszania incydentów związanych z bezpieczeństwem cyfrowym. Ubezpieczenie od ryzyk cybernetycznych może obejmować pokrycie kosztów związanych z takim raportowaniem oraz działań naprawczych.
- Zarządzanie ryzykiem: Dyrektywa NIS2 nakłada obowiązek na organizacje, by wdrażały odpowiednie środki bezpieczeństwa oraz zarządzania ryzykiem cybernetycznym. Polisa może pomóc w całościowym zabezpieczeniu organizacji przed skutkami finansowymi incydentów cybernetycznych, na wypadek gdyby posiadane systemy i procedury zawiodły.
- Odpowiedzialność prawna: W przypadku incydentów bezpieczeństwa organizacje mogą ponosić odpowiedzialność cywilną. Polisy ubezpieczeniowe mogą obejmować ochronę przed roszczeniami wynikającymi z tych incydentów.
- Podnoszenie świadomości: Z perspektywy ubezpieczycieli dyrektywa NIS2 może skłonić przedsiębiorstwa do większej dbałości o bezpieczeństwo cyfrowe, co w rezultacie może wpłynąć na warunki ubezpieczenia i stawki.
AM, news@gu.com.pl
(źródło: prezydent.pl, gu.com.pl)
