Najważniejsze
|
Newsy
11 lutego 2026
Opinie: 0
Prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, jednocześnie zapowiadając skierowanie do Trybunału Konstytucyjnego wniosku o kontrolę następczą w zakresie przepisów nakładających obowiązki na przedsiębiorców.
Oświadczenie Nawrockiego:
Podpisałem ustawę o krajowym systemie cyberbezpieczeństwa. Żyjemy w epoce, w której wojna nie zawsze zaczyna się od wystrzału. Czasem zaczyna się od kliknięcia. Liczba cyberataków rośnie dramatycznie. Bezpieczeństwo cyfrowe jest dziś elementem bezpieczeństwa państwa. Ta ustawa wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka. Bezpieczeństwo nie ma barw partyjnych. Dlatego tę ustawę podpisałem, choć muszę także zareagować na głos przedsiębiorców, którzy uważają, że ustawowe obowiązki stosowane wobec nich są nadmiarowe i nieproporcjonalne. Aspekt ten powinien zbadać Trybunał Konstytucyjny, dlatego w tej sprawie skieruję wniosek o kontrolę następczą.
Komunikat prasowy kancelarii Nawrockiego:
(...)
Uchwalona ustawa dostosowuje krajowy system cyberbezpieczeństwa do zmienionego
otoczenia cyfrowego i rosnącej skali zagrożeń w cyberprzestr zeni. Zmiany obejmują m.in.
rozszerzenie katalogu podmiotów objętych obowiązkami, zastąpienie dotychczas owego
podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią
podmiotów kluczowych i podmiotów ważnych, wzmocnienie systemu reagowania na
incydenty oraz do -precyzowanie ról organów odpowiedzialnych za cyberbezpieczeństwo.
Ustaw a wprowadza nową strukturę krajowego systemu cyberbezpieczeństwa, rozszerza
obowiązki podmiotów publicznych i prywatnych w obszarze cyberbezpieczeństwa, określa na
nowo kompetencje organów państwowych oraz wprowad za mechanizmy prewencyjne i
kontrolne w odn iesieniu do podmiotów kluczowych i ważnych. W ustawie wprowadzono też
definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla
funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali
działania n adal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać
incydenty i stosować podstawowe procedury ochrony systemów informacyjnych.
Najważniejsze zmiany zawarte w ustawie polegają na:
1) rozszerzeniu katalogu podmiotów krajowego syste mu cyberbezpieczeństwa o nowe
sektory gospodarki tj. zarządzania technologią informacyjno -komunikacyjną
(ICT), przestrzeni kosmicznej, poczty, produkcji, w tym produkcji i dystrybucji
chemikaliów, żywności oraz gospodarowania ściekami;
2) nałożeniu obowiąz ków z zakresu środków zarządzania ryzykiem na podmioty
kluczowe oraz podmioty ważne w cyberbezpieczeństwie, dotyczących stosowania
odpowiednich i proporcjonalnych środków technicznych, operacyjnych i
organizacyjnych służących zarządzaniu ryzykiem dla bezpi eczeństwa sieci i
systemów informatycznych;
3) uregulowaniu zasad odpowiedzialności kierownika podmiotu kluczowego lub
podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa – kierownik
takiego podmiotu będzie odpowiedzialny za realizację zadań przez dany podmiot,
a w przypadku niewywiązania się z obowiązków na kierownika będą mogły być
nałożone kary; kierownik będzie również obowiązany do odbycia stosownego
szkolenia z zakresu cyberbezpieczeństwa;
4) wprowadzeniu możliwości zgłaszania incydentó w przez podmioty kluczowe i
podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do
spraw in formatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT
poziomu krajowego;
5) utworzeniu zespołów CSIRT sektorowych w poszczegó lnych sektorach gospodarki,
które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów
cyberbezpieczeństwa. Utworzenie CSIRT -ów sektorowych ma nastąpić w ciągu 18
miesięcy od wejścia w życie ustawy;
6) wzmocnieniu kompetencji nadzorczych organów właściwych do spraw
cyberbezpieczeństwa; wzmocnienie kompetencji obejmuje umożliwienie
wydawania ostrzeżeń, wyznaczania urzędnika monitorującego wykonywanie
obowiązków przez dany pod -miot kluczowy, nakazywania przeprowadzenia oceny
bezpieczeństwa s ystemu informacyjnego lub audytu bezpieczeństwa;
7) wprowadzeniu kar pieniężnych za niewykonanie obowiązków ustawowych przez
podmioty kluczowe lub podmioty ważne, m.in. za niewdrożenie systemu
zarządzania bezpieczeństwem informacji czy niezarejestrowa nie s ię w wykazie
podmiotów klu czowych i podmiotów ważnych;
8) wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w
cyberbezpieczeństwie na dużą skalę;
9) rozszerzeniu kompetencji ministra ds. informatyzacji – organ ten będzie mógł
dokona ć, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka,
będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania,
które ograniczy skutki trwającego incydentu krytycznego;
10) wzmocnieniu pozycji Pełnomocnika Rządu do Spraw Cyb erbezpieczeństwa poprzez:
a. zapewnienie możliwości żądania od organów administracji rządowej
informacji niezbędnych do wykonywania jego zadań;
b. przyznanie uprawnienia do zlecania wykonan ia badań niezbędnych do
realiza cji zadań;
c. wprowadzenie możliwośc i dokonywania zakupu oprogramowania z
zakresu cyberbezpieczeństwa dla uczestników posi edzeń Połączonego
Centrum Opera cyjnego Cyberbezpieczeństwa;
d. utrzymanie w mocy rekomendacji mających na celu wzmocnienie poziomu
cyberbezpieczeństwa systemó w informacyjnych podmiotów krajowego
systemu cyberbezpieczeństwa, jak i uprawnienia do ich wydawania;
11) rozszerzeniu kompetencji zespołów CSIRT poziomu krajowego, w tym CSIRT
NASK, co jest związane ze zwiększoną liczbą podmiotów kluczowych i
podmiotów wa żnych, którym CSIRT NASK będzie udzielał wsparcia w
reagowaniu na incydenty;
12) rozwijaniu kompetencji ministra w zakresie edukacji cyberbezpieczeństwa –
przewidu je się środki na prowadzenie kampanii edukacyjnych i programów z
zakresu cyberbez pieczeństwa.
Ustawa wchodzi w życie po upływie miesiąca od dnia ogłoszenia.
Pomimo, iż Prezydent podpisał ustawę, to jednocześnie podjął decyzję o skierowaniu ustawy
do kontroli następczej przez Trybunał Konsty tucyjny z następujących powodów.
Wątpliwości budzi objęcie ustawą aż 18 branż gospodarki pogrupowanych w podmioty
kluczowe i ważne. Przy czym, rozszerzenie to nie wynika z przepisów europejskich , a jest
samodzielną inicjatywą rządu. Zasadne jest zgłoszenie zastrzeżeń również wobec przepisów
regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz
zasady wydawania t zw. „poleceń zabezpieczających”. Przepisy te ingerują w samodzielność
funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz
oprogramowa nia i to bez odszkodowania , i bez zabezpieczenia środków finansowych na ten
cel. Ponadto wadliwy jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych , z punktu widzenia gwarancji
proceduralnych oraz w z akresie ochrony sądowej.
Przewidziany ustawą system kar administracyjnych jest restrykcyjny , a wysokość możliwych
do nałożenia kar ma wręcz charakter samodzielnych środków karnych.
Prezydent zdecydował zatem o przekazaniu ustawy do Trybunał u Konstytucyjnego celem
weryfikacji podniesionych zarzutów dotyczących naru szenia przepisów Konstytucji RP.
