Na firmy spadną nowe obowiązki. Za niedopełnienie ich grożą milionowe kary

• Rząd przyjął nowelizację ustawy o krajowym systemie bezpieczeństwa (KSC). Projekt trafił do Sejmu.
• Nowe przepisy mogą objąć nawet 80 tys. podmiotów. Dotychczasowy katalog sektorów rozszerzono bowiem o kolejne obszary: odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczną, produkcję i dystrybucję chemikaliów oraz żywności.
• Podmioty objęte tymi przepisami będą musiały wdrożyć szereg kosztownych i pracochłonnych rozwiązań.
• Za naruszanie przepisów grozić będą bardzo surowe kary. Dla podmiotów kluczowych mogą one sięgać do 10 mln euro lub 2 proc. rocznego obrotu (w zależności od tego, która kwota jest wyższa), z minimum 20 tys. zł.

Rewolucja w obszarze cyberbezpieczeństwa w Polsce nabiera tempa. 21 października 2025 roku Rada Ministrów przyjęła nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, implementującą unijną dyrektywę NIS2.

Projekt, który trafi teraz do prac parlamentarnych, wprowadza zmiany o bezprecedensowej skali, które dotkną dziesiątki tysięcy firm, samorządów i instytucji publicznych.

Nowe przepisy dotkną nawet 80 tys. podmiotów

Najważniejsza zmiana to drastyczne rozszerzenie katalogu podmiotów objętych regulacją.

Nowelizacja zastępuje dotychczasowe nazewnictwo operatorów usług kluczowych oraz dostawców usług cyfrowych dwoma nowymi kategoriami: podmiotami kluczowymi oraz podmiotami ważnymi. Szacuje się, że nowe przepisy obejmą swoim zakresem od 40 do nawet 80 tysięcy podmiotów w Polsce – to wzrost o dwa rzędy wielkości w porównaniu do obecnego stanu.

Do kategorii podmiotów kluczowych zaliczone zostały największe firmy z sektorów o fundamentalnym znaczeniu dla gospodarki i społeczeństwa, takich jak energetyka, transport, finanse, zdrowie czy infrastruktura cyfrowa.

Katalog sektorów rozszerzono o nowe obszary: odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczną, produkcję i dystrybucję chemikaliów oraz żywności.

Szczególnie kontrowersyjne jest objęcie całego sektora administracji publicznej, w tym samorządów lokalnych wraz z ich jednostkami organizacyjnymi.

Oznacza to, że wymogi KSC będą musiały spełniać nawet szkoły, ośrodki pomocy społecznej czy instytucje kultury prowadzone przez gminy. Dla wielu małych samorządów, zmagających się z niedoborami budżetowymi i brakami kadrowymi, to ogromne wyzwanie.

Podstawową zasadą jest, że dyrektywa NIS2 znajduje zastosowanie do podmiotów kwalifikujących się co najmniej jako średnie przedsiębiorstwa – czyli zatrudniających minimum 50 osób i osiągających roczny obrót przekraczający 10 milionów euro.

Mikro i małe przedsiębiorstwa generalnie nie będą podlegały wymogom, chyba że nadano im charakter podmiotów krytycznych lub świadczą specyficzne usługi, jak rejestracja nazw domen.

Systemy zarządzania ryzykami, trzystopniowy model zgłaszania incydentów

Nowelizacja wprowadza szereg konkretnych obowiązków. Fundamentem jest wdrożenie w organizacji kompleksowego systemu zarządzania ryzykiem, opartego na analizie ryzyk ICT, które uwzględniają nie tylko zagrożenia cyfrowe, ale również fizyczne, ludzkie i środowiskowe.

Organizacje będą zobowiązane do przeprowadzania regularnych analiz ryzyka i na podstawie wyników, wdrażania adekwatnych środków technicznych i organizacyjnych.

Lista minimalnych środków bezpieczeństwa obejmuje polityki kontroli dostępu, szyfrowanie, zarządzanie incydentami, zapewnienie ciągłości działania (plany ciągłości działania i odtwarzania po awarii) oraz bezpieczeństwo łańcucha dostaw.

Podmioty muszą także ustanowić procedury reagowania na incydenty oraz zapewnić regularne szkolenia dla pracowników, w tym kadry zarządzającej.

Szczególnie wymagający jest trzystopniowy model zgłaszania incydentów. Wczesne ostrzeżenie należy złożyć w ciągu 24 godzin od wykrycia incydentu poważnego, zgłoszenie szczegółowe – w ciągu 72 godzin, a raport końcowy – nie później niż miesiąc po zgłoszeniu. To wymóg, który wymusza na organizacjach posiadanie sprawnego systemu wykrywania i klasyfikacji incydentów.

Już nie tylko dział IT. Odpowiedzialność na najwyższych szczeblach organizacji

Istotną nowością jest bezpośrednia odpowiedzialność kierownictwa za cyberbezpieczeństwo. Nowelizacja nakłada na zarządy i kadry kierownicze obowiązek podejmowania decyzji strategicznych w zakresie bezpieczeństwa informacji, planowania finansowego oraz nadzorowania realizacji obowiązków.

To zmiana paradygmatu – cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT, a staje się strategicznym priorytetem na poziomie zarządu.

Członkowie kadry zarządzającej będą ponosić osobistą odpowiedzialność finansową i prawną za naruszenia przepisów. To znacząco podnosi stawkę dla osób podejmujących decyzje na najwyższych szczeblach organizacji.

Drakońskie sankcje: kary mogą iść w dziesiątki milionów złotych

Ustawa przewiduje system kar pieniężnych o charakterze odstraszającym. Dla podmiotów kluczowych kary mogą sięgać do 10 milionów euro lub 2 procent rocznego obrotu (w zależności od tego, która kwota jest wyższa), z minimum 20 tysięcy złotych. Dla podmiotów ważnych – do 7 milionów euro lub 1,4 procent obrotu i kara minimum 15 tysięcy złotych.

Najsurowsze sankcje dotyczą niewykonania obowiązków związanych z dostawcami wysokiego ryzyka oraz sytuacji, gdy naruszenie powoduje poważne zagrożenie dla bezpieczeństwa państwa lub porządku publicznego. Kary za każdy dzień opóźnienia w realizacji postanowienia mogą wynosić od 50 do 100 tysięcy złotych.

Nowe obowiązki to koszty idące w setki tysięcy złotych

Implementacja wymogów ustawy wiąże się z istotnymi nakładami finansowymi. Według szacunków dla średniej wielkości firmy produkcyjnej koszty pierwszej fazy wdrożenia (audyt, analiza ryzyka, dokumentacja) wynoszą kilkadziesiąt do kilkuset tysięcy złotych.

Kolejna faza z implementacją technologii to 150-300 tysięcy złotych, a zaawansowany monitoring (SIEM/SOC) to kolejne 200-500 tysięcy złotych lub więcej.

Równie poważnym wyzwaniem jest niedobór specjalistów. Według Polskiej Izby Informatyki i Telekomunikacji, w Polsce brakuje obecnie ponad 10 tysięcy ekspertów z zakresu cyberbezpieczeństwa. Luka kompetencyjna nasiliła się po agresji Rosji na Ukrainę, a zapotrzebowanie będzie gwałtownie rosnąć wraz z wdrożeniem dyrektywy NIS2.

W odpowiedzi na te wyzwania Ministerstwo Cyfryzacji wraz z Ministerstwem Obrony Narodowej zainicjowało programy szkoleniowe dla podmiotów krajowego systemu cyberbezpieczeństwa, które ruszyły jesienią 2025 roku. Szkolenia zostały podzielone na trzy kategorie: dla wszystkich pracowników (cyberhigiena), dla kadry zarządzającej i działów IT oraz warsztaty specjalistyczne.

Czas na dostosowanie, to czas na działanie

Projekt nowelizacji przewiduje sześciomiesięczny okres dostosowawczy po uchwaleniu ustawy. Jeżeli wcześniej nie podejmiemy działań przygotowawczych, będzie to zbyt krótko na przygotowania.

Podmioty stają przed dylematem: rozpocząć już teraz, mimo braku ostatecznej pewności prawnej, czy czekać na publikację ustawy, ryzykując brak czasu na właściwe wdrożenie.

Jest pięć działań, które można wdrożyć niezależnie od ostatecznego kształtu przepisów:

1. zorganizowanie działu cyberbezpieczeństwa (wewnętrznego lub zewnętrznego),
2. wyznaczenie osób odpowiedzialnych za kontakty z organami nadzoru w tym CSIRT,
3. szczegółowa inwentaryzacja procesów, sprzętu i oprogramowania,
4. przeprowadzenie analizy ryzyka i określenie priorytetów,
5. opracowanie procesu zarządzania incydentami.

Samorządy w szczególnej sytuacji. Specjalny program

Dla sektora publicznego, a zwłaszcza samorządów, wyzwania są szczególne. Jednostki samorządu terytorialnego często zmagają się z niedoborami budżetowymi i brakiem lokalnych ekspertów ds. cyberbezpieczeństwa.

Skala obowiązków jest porównywalna do wdrożenia RODO, ale z większym naciskiem na elementy teleinformatyczne.

Żeby pomóc samorządom rząd uruchomił program "Cyberbezpieczny Samorząd", w ramach którego na jednostki samorządu terytorialnego czeka 1,5 miliarda złotych. Z czego 1,2 miliarda złotych przeznaczono na infrastrukturę sprzętową i oprogramowanie, 183 miliony złotych na opracowanie procedur, certyfikację i audyty, a 105 milionów złotych na szkolenie pracowników.

Środki należy wykorzystać do końca czerwca 2026 roku.

Gwałtowny wzrost ataków cybernetycznych. Polska w czołówce ofiar

Skala zagrożeń cybernetycznych w Polsce stale rośnie. W 2024 roku zgłoszono ponad 600 tys. incydentów naruszenia bezpieczeństwa – o 60 procent więcej niż rok wcześniej.

Potwierdzono ponad 100 tys. przypadków rzeczywistych naruszeń, co oznacza wzrost o 23 procent.

Szczególnie alarmujące są dane dotyczące ataków o poważnym charakterze, których liczba wzrosła o 57 procent, a naruszeń w sektorze publicznym – o 58 procent.

Polska jest trzecim w Europie krajem najczęściej atakowanym przez grupy APT sponsorowane przez obce państwa, głównie Rosję. Najczęściej atakowana jest infrastruktura krytyczna oraz usługi publiczne – transport, energetyka, wodociągi, służba zdrowia.

Przyszłość to Zero Trust i AI. Nie tylko obowiązek, ale i konieczność

Nowe przepisy wyznaczają kierunek rozwoju polskiego cyberbezpieczeństwa na najbliższe lata. Trendy, które będą dominować, to automatyzacja bezpieczeństwa z wykorzystaniem sztucznej inteligencji, rozwój systemów wykrywania i zapobiegania włamaniom w czasie rzeczywistym, upowszechnienie wieloskładnikowego uwierzytelniania oraz architektura Zero Trust – zakładająca, że nie należy ufać żadnemu użytkownikowi czy urządzeniu bez weryfikacji.

Ustawa o krajowym systemie cyberbezpieczeństwa to nie tylko obowiązek prawny, ale przede wszystkim inwestycja w odporność organizacji na zagrożenia XXI wieku.

W erze cyfrowej transformacji cyberbezpieczeństwo to konieczność biznesowa i strategiczny priorytet każdej organizacji, która chce funkcjonować w bezpieczny i odpowiedzialny sposób.