W styczniu 2026 r. Sejm uchwalił długo oczekiwaną nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Choć prace nad ustawą trwały miesiącami, a potrzeba jej nowej wersji wynikała m.in. z obowiązku implementacji unijnej dyrektywy NIS2, efekt końcowy to znacznie więcej niż zwykła adaptacja prawa polskiego do wymogów Brukseli. To przegląd zasad, jakie będą obowiązywać firmy działające w przestrzeni cyfrowej — od dużych operatorów infrastruktury po mniejsze przedsiębiorstwa, które do tej pory były poza zasięgiem formalnych obowiązków cyberbezpieczeństwa.
Nowela rozszerza katalog podmiotów objętych KSC o kolejne sektory, w tym sektor wodno‑kanalizacyjny, usługi pocztowe, produkcję żywności, przemysł chemiczny czy sektor kosmiczny. W praktyce oznacza to, że znacznie większa liczba firm musi przygotować się na nowe wymogi: nie tylko organizacyjne, ale i technologiczne, proceduralne oraz raportowe — w odniesieniu do incydentów cybernetycznych i ryzyka operacyjnego. Dla wielu przedsiębiorstw to moment przewartościowania dotychczasowego podejścia do bezpieczeństwa, które często ograniczało się do działań wewnętrznych działów informatyki lub compliance.
Zwiększenie zakresu odpowiedzialności i nowe obowiązki
Nowela wprowadza także podział na podmioty kluczowe i ważne — zgodny z NIS2 — co jest nie tylko formalnym rozróżnieniem, ale od razu przekłada się na zakres obowiązków. Podmioty kluczowe będą musiały wdrożyć bardziej zaawansowane mechanizmy zarządzania ryzykiem i raportowania incydentów; podmioty ważne — uproszczone, ale i tak wyraźnie nowe względem dotychczasowego stanu prawnego. Oznacza to, że wiele firm, które do tej pory nie było objętych żadnym formalnym nadzorem, dziś musi wdrożyć systematyczne procesy bezpieczeństwa IT, np. klasyfikację zasobów, procedury reagowania na incydenty, audyty zewnętrzne oraz przeglądy dostawców.
Ustawa wprowadza również mechanizm identyfikacji dostawców wysokiego ryzyka w łańcuchach dostaw, który ma zmniejszać zależność od produktów i usług mogących stanowić zagrożenie dla bezpieczeństwa systemów. W praktyce oznacza to, że przedsiębiorstwa będą musiały nie tylko dbać o własne procedury, ale i aktywnie monitorować oraz weryfikować bezpieczeństwo rozwiązań używanych w swoich środowiskach — co z kolei może oznaczać przegląd kontraktów, audyty dostawców i planowanie migracji narzędzi.
Reagowanie na incydenty: centralizacja i wsparcie państwa
Jednym z filarów nowelizacji jest także ujęcie reagowania na incydenty w bardziej skoordynowany system. Wzmocniona zostaje rola instytucji państwowych, w tym CSIRT‑ów oraz utworzonego Połączonego Centrum Operacyjnego Cyberbezpieczeństwa. Dla firm oznacza to większą współpracę z organami państwowymi — w zamian za to przedsiębiorstwa mogą liczyć na bardziej spójne wsparcie w przypadku poważnych incydentów i lepsze kierunkowanie działań naprawczych.
W nowej ustawie przewidziano również okres karencji dwóch lat przed możliwością nakładania administracyjnych kar pieniężnych. To ważna informacja praktyczna: przedsiębiorstwa mają czas na dostosowanie się do nowych wymogów, analizę systemów i opracowanie planów działań. Okres ten nie oznacza jednak komfortu odkładania decyzji — prace nad zgodnością z nowymi zasadami powinny rozpocząć się już teraz.
Pakiet cyberbezpieczeństwa Komisji Europejskiej – co dalej w UE?
W tle polskich zmian legislacyjnych toczy się ważna debata na poziomie Unii Europejskiej. Komisja Europejska zaproponowała nowy pakiet dotyczący cyberbezpieczeństwa, który ma jeszcze bardziej wzmocnić odporność UE na rosnące cyberzagrożenia i dostosować unijne ramy regulacyjne do realiów cyfrowych.
Centralnym elementem tego pakietu jest propozycja rewizji Cybersecurity Act — czyli ramowego aktu UE dotyczącego certyfikacji cyberbezpieczeństwa produktów, usług i procesów. Proponowane regulacje mają na celu:
Wzmocnienie bezpieczeństwa łańcuchów dostaw ICT (Information and Communication Technologies), ograniczając ryzyka związane z dostawcami z państw trzecich, które mogą budzić obawy o cyberbezpieczeństwo.
Uproszczenie i ujednolicenie procesu certyfikacji produktów i usług, tak aby certyfikaty były bardziej zrozumiałe i efektywne w stosowaniu na całym jednolitym rynku unijnym.
Ułatwienie firmom przestrzegania reguł UE poprzez uproszczenie zasad jurysdykcji oraz usprawnienie raportowania i gromadzenia danych o atakach, np. ransomware.
Wzmocnienie roli ENISA (Europejska Agencja ds. Cyberbezpieczeństwa) jako kluczowego partnera w przygotowywaniu i koordynowaniu działań państw członkowskich w zakresie reagowania na zagrożenia.
Nowy pakiet ma też obejmować zmiany w dyrektywie NIS2, które mają ułatwić firmom realizację obowiązków i ograniczyć fragmentację zasad między państwami członkowskimi. Obie propozycje — rewizja Cybersecurity Act i modyfikacje NIS2 — trafią teraz do PE i Rady UE, które będą negocjować ich finalny kształt.
Dodatkowo część analiz i decyzji unijnych organów wskazuje, że polityka cyberbezpieczeństwa UE może zmierzać ku jeszcze szerszym inicjatywom, takim jak budowa systemów reagowania w sytuacjach kryzysowych na poziomie unijnym oraz certyfikacja usług zarządzanych bezpieczeństwem, co może mieć wpływ na sektor usług cyberbezpieczeństwa w całej Europie.
Dla firm oznacza to: konieczność przewidywania zmian, a nie tylko reagowania
Zarówno krajowe zmiany w ustawie o KSC, jak i planowane unijne projekty legislacyjne wskazują na jedno: cyberbezpieczeństwo to już nie opcja, lecz warunek konieczny prowadzenia działalności na rynku cyfrowym. Firmy działające w UE muszą dziś patrzeć szerzej — nie tylko przez pryzmat krajowych regulacji, ale także przyszłych unijnych rozwiązań, które mogą jeszcze mocniej ujednolicić wymagania dla przedsiębiorstw działających transgranicznie.
Podejście proaktywne — tj. wdrażanie rozwiązań bezpieczeństwa, które przewidują wymagania regulacyjne zanim staną się obowiązujące — będzie kluczem do budowania przewagi konkurencyjnej. W tym kontekście działania takie jak:
-
kompleksowe audyty cyberbezpieczeństwa,
-
zarządzanie ryzykiem dostawców,
-
inwestycje w technologie odporne na zagrożenia,
-
przygotowanie procedur reagowania na incydenty,
stają się nie tylko elementem zgodności z prawem, ale też strategicznym atutem biznesowym w świecie, który coraz mocniej łączy ryzyka cybernetyczne z ryzykiem operacyjnym i reputacyjnym.
Nowelizacja ustawy o KSC to ważny krok w polskim prawodawstwie, ale jest tylko jednym elementem szerszej układanki, którą tworzy Europa. Wraz z proponowanym pakietem Komisji Europejskiej rośnie presja na przedsiębiorstwa — zarówno w zakresie bezpieczeństwa, jak i zgodności z regulacjami. Firmy, które podejdą do tych zmian strategicznie, mają szansę nie tylko sprostać wymogom prawnym, ale też realnie podnieść odporność swoich operacji — co w dobie narastających zagrożeń jest coraz bardziej niezbędne.