przejdź
przejdź
  2. Serwis Prawny
  3. Ochrona danych
  4. Które podmioty obejmuje nowa ustawa o krajowym systemie cyberbezpieczeństwa?

Które podmioty obejmuje nowa ustawa o krajowym systemie cyberbezpieczeństwa?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Fundamentalne zmiany w polskim porządku prawnym wprowadza nowa ustawa o krajowym systemie cyberbezpieczeństwa, która implementuje unijną dyrektywę NIS 2. Dotychczasowe przepisy, mimo wielokrotnych modyfikacji, nie odpowiadały w pełni na dynamiczny rozwój cyberzagrożeń. Obecna nowelizacja to rewolucja, która znacząco rozszerza katalog podmiotów objętych nowymi obowiązkami w zakresie ochrony cyfrowej, co ma kluczowe znaczenie dla tysięcy polskich firm.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa

Dotychczasowe przepisy ustawy o ksc obejmowały relatywnie węższy katalog tzw. operatorów usług kluczowych, głównie z sektorów infrastrukturalnych. Projektowana nowelizacja ma na celu wykonanie obowiązku Polski, jako państwa członkowskiego UE, do implementacji dyrektywy NIS 2 do krajowego porządku prawnego. Jej celem jest przede wszystkim rozszerzenie zakresu podmiotów krajowego systemu cyberbezpieczeństwa oraz wzmocnienie mechanizmów zarządzania cyberzagrożeniami.

Wprowadzone zmiany obejmują nowe sektory gospodarki, nowe kategorie podmiotów oraz mechanizmy nadzoru i reagowania na incydenty cybernetyczne przez organy państwowe i ich zespoły reagowania (Computer Security Incident Response Team – CSIRT).

Dyrektywa NIS 2 wyróżnia dwie główne grupy podmiotów, które podlegają regulacjom: podmioty kluczowe oraz podmioty ważne.

Projekt nowelizacji ustawy o ksc odwzorowuje tę konstrukcję w polskim prawie krajowym i rozszerza zakres podmiotowy ustawy o wiele nowych sektorów, co w praktyce oznacza, że system ochrony cyberbezpieczeństwa obejmie dziesiątki tysięcy organizacji w całej gospodarce.

Ogólne zasady identyfikacji podmiotów objętych ustawą o ksc

Nowe przepisy przewidują, że podmiot zostanie objęty obowiązkami ustawy o ksc, jeśli spełnia określone kryteria dotyczące sektora działalności oraz wielkości przedsiębiorstwa, a jego działalność ma istotne znaczenie dla funkcjonowania społeczeństwa, gospodarki lub usług publicznych. Aby określić, czy dana jednostka podlega pod ten akt prawny, uwzględnia się:

  • sektor, w jakim podmiot prowadzi działalność (np. energetyka, transport, zdrowie)
  • rodzaj świadczonych usług (np. usługi cyfrowe, infrastruktura informatyczna),
  • wielkość przedsiębiorstwa (np. mikro, małe, średnie, duże przedsiębiorstwo),
  • ewentualne decyzje administracyjne o uznaniu podmiotu za kluczowy lub ważny w ramach odrębnej procedury.

Na gruncie nowelizacji zakres ten jest znacznie szerszy niż dotychczasowa lista operatorów usług kluczowych: obejmuje zarówno jednostki sektora publicznego, jak i prywatne organizacje o kluczowym znaczeniu dla bezpieczeństwa cyfrowego kraju.

Podmioty kluczowe – najważniejsze jednostki a ustawa o krajowym systemie cyberbezpieczeństwa

Podmiotami kluczowymi są te jednostki, których awaria, incydent cybernetyczny lub problem techniczny może wywołać poważne skutki dla bezpieczeństwa państwa, społeczeństwa lub gospodarki. Ustawa nowelizowana wprowadza katalog sektorów, w których działalność może uzasadniać uznanie podmiotu za kluczowy. Wśród nich można wyróżnić:

  • energetykę – systemy wytwarzania, przesyłu i dystrybucji energii elektrycznej, gazu, ropy oraz wodoru,
  • transport – infrastrukturę i operatorów transportu lotniczego, kolejowego, morskiego i drogowego,
  • bankowość i infrastrukturę rynków finansowych,
  • ochronę zdrowia – podmioty świadczące usługi medyczne i diagnostyczne oraz systemy IT w służbie zdrowia,
  • zaopatrzenie w wodę pitną i systemy gospodarki ściekowej,
  • infrastrukturę cyfrową – centra danych, usługi chmurowe, rejestry DNS i operatorów sieci komunikacyjnych,
  • zarządzanie usługami ICT,
  • sektor przestrzeni kosmicznej,
  • administrację publiczną – istotne organy państwowe oraz jednostki świadczące usługi publiczne krytyczne dla funkcjonowania państwa.

W projekcie nowelizacji przewidziano również możliwość uznania za podmiot kluczowy jednostki na podstawie indywidualnej procedury administracyjnej, nawet jeśli nie spełnia ona katalogowych kryteriów sektorowych – to narzędzie elastyczne, mające umożliwić reagowanie na nowe okoliczności w cyberprzestrzeni.

Podmioty ważne – istotne, ale o mniejszym wpływie

Drugą istotną kategorią są podmioty ważne, które również podlegają regulacjom ustawy, jednak ich zakres obowiązków lub nadzór może być stosunkowo łagodniejszy niż w przypadku podmiotów kluczowych.

Spółki działające w sektorach uznanych za ważne w NIS 2, choć niespełniające kryteriów dla podmiotów kluczowych, mogą zostać uznane za ważne, jeżeli działają jako średnie lub większe przedsiębiorstwa.

Do tej grupy mogą należeć przedsiębiorstwa działające w branżach, takich jak usługi pocztowe, produkcja i dystrybucja chemikaliów lub żywności, zarządzanie odpadami, wybrane usługi ICT czy inne usługi cyfrowe.

Podmioty ważne nadal będą zobowiązane do wdrożenia środków technicznych i organizacyjnych w ramach systemu zarządzania cyberbezpieczeństwem oraz do przestrzegania zasad raportowania incydentów, jednak ich obowiązki i nadzór mogą być bardziej proporcjonalne do skali działalności.

Kryterium wielkości przedsiębiorstwa

Nowelizacja ustawy o ksc implementuje również zasady wynikające z dyrektywy NIS 2 dotyczące kryteriów wielkości przedsiębiorstwa.

Duże przedsiębiorstwa działające w sektorach kluczowych zostaną automatycznie uznane za cele o najwyższym poziomie nadzoru w ramach kategorii podmiotów kluczowych.

Średnie przedsiębiorstwa działające w sektorach kluczowych lub ważnych mogą zostać uznane odpowiednio za podmioty kluczowe lub ważne, o ile spełniają kryteria określone w ustawie.

Mikro- i małe przedsiębiorstwa zwykle nie będą kwalifikowane jako podmioty kluczowe lub ważne z uwagi na mniejszy wpływ ich działalności na ciągłość usług krytycznych, chyba że zostały wskazane w załącznikach do ustawy z nazwy lub w drodze decyzji administracyjnej.

Podmioty w łańcuchu dostaw

Warto zauważyć, że ustawa o ksc oraz dyrektywa NIS 2 przewidują możliwość uwzględnienia podmiotów, które nie są bezpośrednio kluczowymi dostawcami usług, ale mają znaczenie w łańcuchu dostaw dla podmiotów objętych systemem. Oznacza to, że dostawcy usług ICT, usług chmurowych, podmioty realizujące serwisy DNS czy dostawcy infrastruktury mogą być objęci wymogami cyberbezpieczeństwa ze względu na swoją rolę w zapewnianiu bezpieczeństwa szerszej sieci usług.

Przykład 1.

Firma X sp. z o.o. jest średnim przedsiębiorstwem prowadzącym działalność w sektorze zdrowia – świadczy usługi diagnostyczne i medyczne oraz korzysta z kompleksowego systemu informatycznego łączącego pacjentów, placówki i serwery danych medycznych. Po wejściu w życie nowelizacji ustawy o ksc firma ta podlega identyfikacji w wykazie podmiotów kluczowych lub ważnych na podstawie rodzaju działalności, spełnia kryterium średniego przedsiębiorstwa oraz działalności w sektorze uznanym za kluczowy (ochrona zdrowia). Ponadto zostanie zakwalifikowana jako podmiot kluczowy, co oznacza konieczność wdrożenia procedur zarządzania ryzykiem w cyberbezpieczeństwie. W przypadku incydentu musi zgłosić to organom CSIRT w określonym terminie i podjąć odpowiednie środki zaradcze. Firma powinna także wprowadzić systemy monitorowania i raportowania bezpieczeństwa IT oraz audyty zgodności.

Znaczenie zmian dla praktyki gospodarczej

Nowelizacja ustawy o ksc oraz wdrożenie dyrektywy NIS 2 oznacza, że znacznie większa liczba podmiotów – zarówno publicznych, jak i prywatnych – będzie zobligowana do przestrzegania wymogów cyberbezpieczeństwa. Dzięki temu polski system cyberbezpieczeństwa stanie się bardziej odporny na incydenty, a instytucje państwowe zyskają narzędzia do koordynowania działań reagowania i monitorowania ryzyka cyfrowego w czasie rzeczywistym.

Planowana nowelizacja ustawy o ksc znacząco rozszerza katalog podmiotów, które podlegają krajowym regulacjom w zakresie cyberbezpieczeństwa, zgodnie z założeniami dyrektywy NIS 2. Podmioty te będą klasyfikowane jako kluczowe lub ważne na podstawie sektora działalności i kryteriów wielkości. Nowe zasady mają na celu zwiększenie odporności polskiej gospodarki na cyberzagrożenia oraz zapewnienie spójnej ochrony cyfrowej w strategicznych obszarach funkcjonowania państwa i społeczeństwa.

Oznaczanie treści generowanych przez AI – co mówią...
Marzec 2026
19
Czwartek
  • PIT 11
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wzór zgody na przetwarzanie danych osobowych - jak wygląda?
  4. Komu można udostępnić dane osobowe - prawne aspekty bezpiecznego udostępniania danych osobowych
  5. Zastrzeżenie PESEL – jakie niesie konsekwencje?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Oznaczanie treści generowanych przez AI – co mówią przepisy?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Energetyka – Społeczeństwo – Gospodarka. Przed nami 43. Konferencja Energetyczna EuroPOWER & OZE POWER
III Forum Efektywność w Produkcji: Ludzie i Procesy
AI HR Forum 2026 – HR jako lider zmiany. W centrum człowiek, w tle technologia!
I Love Marketing & Technology wraca na wiosnę z XXI edycją wydarzenia!
HR WEEK 2026: „HR x AI TEAMING - nowe pytania i scenariusze przyszłości” Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów