Audyty KRI, KSC, NIS2, PKE

Wdrożenie dyrektywy NIS 2 w Polsce. Nowelizacja ustawy o KSC

Posted on 4 lutego 2026 by Audytor ISO 27001

Prace parlamentarne nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa zakończyły się przyjęciem przepisów wdrażających unijną dyrektywę NIS2.

Przedmiotem prac parlamentarnych jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która ma dostosować polskie prawo do wymogów unijnej dyrektywy NIS 2.

Regulacja wprowadza jednolite standardy ochrony cyberprzestrzeni w całej Unii Europejskiej i znacząco rozszerza zakres krajowego systemu cyberbezpieczeństwa.

Nowe przepisy odchodzą od dotychczasowego podziału funkcjonującego w ramach NIS 1. W jego miejsce wprowadzono kategorię podmiotów kluczowych oraz podmiotów ważnych. Klasyfikacja ta decyduje o zakresie obowiązków, poziomie nadzoru oraz możliwych sankcjach administracyjnych.

Ustawa obejmuje ochroną kolejne sektory gospodarki. Poza dotychczasowymi obszarami regulacją objęto m.in. zarządzanie technologią ICT, usługi pocztowe, sektor kosmiczny, produkcję – w tym żywności i chemikaliów – oraz gospodarkę wodno-ściekową. Ustawodawca wskazuje, że cyberincydenty w tych obszarach mogą wpływać na bezpieczeństwo dostaw, zdrowie publiczne oraz ciągłość podstawowych usług.

Istotnym elementem nowelizacji jest wprowadzenie obowiązków w zakresie zarządzania ryzykiem cyberbezpieczeństwa. Podmioty kluczowe i ważne będą zobowiązane do stosowania adekwatnych środków technicznych i organizacyjnych oraz do wdrażania systemów zarządzania bezpieczeństwem informacji. W przypadku podmiotów kluczowych przewidziano dodatkowo obowiązek regularnych audytów bezpieczeństwa.

Ustawa wzmacnia odpowiedzialność kadry zarządzającej. Kierownicy jednostek mają odpowiadać za realizację obowiązków z zakresu cyberbezpieczeństwa, a w razie zaniedbań mogą podlegać sankcjom. Nowe przepisy wprowadzają również obowiązek odbycia specjalistycznych szkoleń przez osoby pełniące funkcje zarządcze.

Zmiany obejmują także system zgłaszania incydentów. Wprowadzono dwuetapowy model raportowania: wczesne ostrzeżenie przekazywane krótko po wykryciu incydentu oraz zgłoszenie właściwe, uzupełniane raportami okresowymi i końcowymi. Celem jest szybsza reakcja i skuteczniejsze wsparcie techniczne.

Nowelizacja przewiduje utworzenie CSIRT-ów sektorowych, które mają odpowiadać za obsługę incydentów charakterystycznych dla poszczególnych branż. Rozwiązanie to ma zwiększyć efektywność reagowania oraz poprawić współpracę między administracją a sektorem prywatnym.

Wzmocniono również kompetencje organów nadzorczych. Otrzymają one prawo do wydawania ostrzeżeń i nakazów, zlecania audytów oraz nakładania kar, m.in. za brak rejestracji w wykazie podmiotów objętych ustawą lub niewdrożenie wymaganych procedur.

Nowym elementem systemu będzie Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Dokument ten ma określać zasady współpracy w sytuacjach kryzysowych oraz integrować działania z systemem zarządzania kryzysowego państwa.

Nowelizacja oznacza istotne rozszerzenie odpowiedzialności po stronie administracji i przedsiębiorstw oraz znaczące podniesienie wymagań w zakresie zarządzania cyberbezpieczeństwem.

Audyt ISO 27001