Czym jest nowelizacja UKSC i po co została uchwalona?

Nowelizacja Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) implementuje do polskiego prawa dyrektywę NIS2, rozszerzając zakres podmiotów objętych obowiązkami cyberbezpieczeństwa i zaostrzając wymogi dotyczące zarządzania ryzykiem, raportowania incydentów i odpowiedzialności zarządów.

Kiedy weszły w życie przepisy nowelizacji UKSC?

Dyrektywa NIS2 powinna być stosowana przez państwa członkowskie od 17 stycznia 2025 roku. Polska uchwalona nowelizacja UKSC weszła w życie w 2025 roku, z pełnym wdrożeniem wymogów dla podmiotów kluczowych i ważnych w 2026 roku.

Kto jest uznawany za podmiot kluczowy lub ważny w świetle nowelizacji UKSC?

Podmioty kluczowe i ważne są klasyfikowane na podstawie sektora działalności i rozmiaru organizacji. Obejmują m.in. energetykę, transport, bankowość, infrastrukturę cyfrową, wodociągi oraz dostawców usług cyfrowych. Organizacje powinny samodzielnie zweryfikować swoją klasyfikację.

Co grozi firmie za brak dostosowania się do wymogów UKSC?

Sankcje obejmują kary finansowe sięgające do 10 milionów euro lub 2% globalnego obrotu. W przypadku podmiotów kluczowych możliwe jest też zawieszenie działalności lub cofnięcie zezwolenia na prowadzenie działalności w danym sektorze.

Nowelizacja UKSC 2026 — od projektu do ustawy krok po kroku

Aktualizacja 2026: Aktualny stan prac legislacyjnych

Status na luty 2026: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa przeszła przez proces legislacyjny i została uchwalona. Poniższy artykuł został zaktualizowany, aby odzwierciedlić najnowszy stan prawny.

Ustawa implementująca dyrektywę NIS2 do polskiego porządku prawnego weszła w życie. Kluczowe daty, które powinieneś znać:

17 stycznia 2025 - data, od której dyrektywa NIS2 powinna być stosowana w państwach członkowskich UE
2025 - przyjęcie nowelizacji UKSC przez Sejm i Senat
2026 - pełne wdrożenie wymogów dla podmiotów kluczowych i ważnych

Jeśli Twoja organizacja jeszcze nie rozpoczęła procesu dostosowania do nowych wymogów, czas jest krytyczny. Sprawdź nasz przewodnik po wdrożeniu NIS2 lub skontaktuj się z nami w sprawie audytu zgodności z NIS2.

📚 Przeczytaj kompletny przewodnik: Cyberbezpieczeństwo: Kompletny przewodnik po cyberbezpieczeństwie dla zarządów i menedżerów

Jakie kluczowe zmiany wprowadza nowelizacja UKSC?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi kluczowy krok w kierunku pełnej implementacji dyrektywy NIS2 do polskiego porządku prawnego. Głównym celem zmian jest wzmocnienie odporności cyfrowej kluczowych sektorów gospodarki w odpowiedzi na rosnącą skalę i złożoność cyberzagrożeń. Projekt ten kontynuuje ewolucję podejścia regulacyjnego, przechodząc od statycznej listy podmiotów do bardziej dynamicznego i szerokiego modelu objęcia regulacjami, co ma fundamentalne znaczenie dla strategii bezpieczeństwa wielu polskich przedsiębiorstw.

Najważniejszą zmianą jest znaczące rozszerzenie zakresu podmiotowego ustawy. Nowe przepisy obejmą znacznie więcej sektorów i firm niż dotychczasowa ustawa, która implementowała pierwszą dyrektywę NIS. Projekt wprowadza klarowny podział na “podmioty kluczowe” oraz “podmioty ważne”, co determinuje zakres obowiązków i poziom nadzoru. Ta modyfikacja wymusza na organizacjach, które dotychczas nie podlegały regulacjom UKSC, dogłębną analizę swojej działalności pod kątem nowych kryteriów kwalifikacyjnych, co stanowi wyzwanie dla dyrektorów IT i zarządów.

Kolejnym filarem nowelizacji jest wprowadzenie mechanizmów oceny ryzyka w łańcuchu dostaw, ze szczególnym uwzględnieniem strategicznych dostawców sprzętu i oprogramowania. Ta zmiana jest bezpośrednią odpowiedzią na globalne trendy w cyberatakach, które coraz częściej celują w słabiej zabezpieczonych partnerów technologicznych. Dla dyrektorów ds. bezpieczeństwa (CISO) oznacza to konieczność wdrożenia formalnych procesów weryfikacji dostawców, które wykraczają poza standardowe analizy techniczne i obejmują również czynniki nietechniczne, takie jak struktura własnościowa czy jurysdykcja prawna dostawcy.

Projekt zaostrza również dotychczasowe ramy sprawozdawczości i system kar. Skrócone zostaną terminy na zgłaszanie incydentów, a sankcje finansowe za nieprzestrzeganie przepisów będą znacznie dotkliwsze, co ma na celu zdyscyplinowanie podmiotów do traktowania cyberbezpieczeństwa jako priorytetu strategicznego. Zmiany te wymuszają na organizacjach przegląd i optymalizację wewnętrznych procedur reagowania na incydenty oraz alokację odpowiednich zasobów do ich obsługi, aby sprostać nowym, bardziej rygorystycznym wymogom czasowym.

Kogo obejmą nowe przepisy i jakie obowiązki zostaną nałożone?

Nowelizacja ustawy o KSC wprowadza nowy, dwustopniowy podział podmiotów objętych regulacjami: podmioty kluczowe i podmioty ważne. Klasyfikacja ta opiera się na wielkości organizacji oraz krytyczności sektora, w którym działa. Do kategorii podmiotów kluczowych zaliczone zostaną największe firmy z sektorów o fundamentalnym znaczeniu dla gospodarki i społeczeństwa, takich jak energetyka, transport, finanse, zdrowie czy infrastruktura cyfrowa. Podmioty ważne to z kolei firmy z tych samych lub innych określonych sektorów (np. usługi pocztowe, gospodarka odpadami, produkcja żywności), które spełniają kryteria wielkości, ale których zakłócenie działalności miałoby mniejsze, choć wciąż istotne, konsekwencje.

Nowe przepisy nakładają na wszystkie objęte nimi podmioty szereg konkretnych obowiązków. Fundamentem jest wdrożenie kompleksowego systemu zarządzania ryzykiem, opartego na podejściu “all-hazards”, które uwzględnia nie tylko zagrożenia cyfrowe, ale również fizyczne, ludzkie i środowiskowe. Organizacje będą zobowiązane do przeprowadzania regularnych analiz ryzyka i wdrażania adekwatnych środków technicznych i organizacyjnych w celu jego mitygacji. Lista minimalnych środków bezpieczeństwa obejmuje między innymi polityki kontroli dostępu, szyfrowanie, zarządzanie incydentami, zapewnienie ciągłości działania oraz bezpieczeństwo łańcucha dostaw.

Szczególny nacisk położono na obowiązki związane z raportowaniem incydentów. Podmioty kluczowe i ważne będą musiały zgłaszać znaczące incydenty do właściwego CSIRT (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego) w znacznie krótszych ramach czasowych niż dotychczas. Projekt przewiduje wieloetapowy proces raportowania: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia incydentu, a następnie szczegółowy raport w ciągu 72 godzin. Wymaga to posiadania nie tylko sprawnych narzędzi do detekcji, ale także dobrze przećwiczonych procedur reagowania i komunikacji kryzysowej.

Na czym polega nowa procedura oceny bezpieczeństwa dostawców?

Jednym z najbardziej innowacyjnych i jednocześnie wymagających elementów projektu jest wprowadzenie procedury oceny bezpieczeństwa dostawców, szczegółowo opisanej w kontekście artykułu 36d. Mechanizm ten daje organom państwa narzędzie do weryfikacji dostawców sprzętu i oprogramowania, którzy mają strategiczne znaczenie dla funkcjonowania krajowego systemu cyberbezpieczeństwa. Celem jest ograniczenie ryzyka związanego z wykorzystywaniem technologii pochodzących od podmiotów, które mogą stanowić zagrożenie dla bezpieczeństwa narodowego, na przykład ze względu na powiązania z obcymi państwami.

Proces oceny ma być prowadzony przez Kolegium do Spraw Cyberbezpieczeństwa na wniosek uprawnionych podmiotów. Analiza wykroczy daleko poza czysto techniczne aspekty produktu. Ocenie podlegać będą również czynniki nietechniczne, takie jak struktura korporacyjna i własnościowa dostawcy, zdolność państwa trzeciego do wywierania na niego wpływu, a także transparentność jego działań. Takie holistyczne podejście ma na celu identyfikację potencjalnych wektorów nacisku, które mogłyby zostać wykorzystane do kompromitacji technologii na etapie produkcji lub utrzymania.

Konsekwencje negatywnej oceny mogą być bardzo poważne. Dostawca może zostać uznany za “dostawcę wysokiego ryzyka”, co będzie skutkowało wydaniem polecenia zabezpieczającego. Takie polecenie może nakładać na podmioty kluczowe i ważne obowiązek zaprzestania korzystania z określonego sprzętu lub oprogramowania w wyznaczonym terminie. Dla firm oznacza to konieczność przeprowadzenia dogłębnego audytu swojego stosu technologicznego i dywersyfikacji portfela dostawców, aby uniknąć paraliżu operacyjnego w przypadku wykluczenia kluczowego partnera technologicznego.

Ocena Bezpieczeństwa Dostawców (Art. 36d) – Kluczowe Aspekty	Cel	Kto ocenia	Kryteria	Skutek

Jakie są praktyczne wnioski dla dyrektorów IT i CISO?

Ustawa została uchwalona, a czas na dostosowanie się do nowych wymogów biegnie. Proaktywni liderzy IT i bezpieczeństwa powinni natychmiast podjąć konkretne działania wdrożeniowe. Pierwszym i najważniejszym krokiem jest przeprowadzenie wstępnej samooceny, aby ustalić, czy organizacja podpada pod definicję podmiotu kluczowego lub ważnego. Analiza kryteriów sektorowych i wielkościowych zawartych w projekcie pozwoli na wczesne zidentyfikowanie potencjalnych obowiązków i rozpoczęcie planowania.

Drugim kluczowym działaniem jest przegląd i mapowanie łańcucha dostaw. Dyrektorzy ds. bezpieczeństwa powinni zidentyfikować wszystkich strategicznych dostawców sprzętu, oprogramowania i usług, a następnie ocenić ich profil ryzyka w kontekście nowych przepisów. Warto zadać pytania o jurysdykcję prawną dostawcy, transparentność jego działania oraz możliwość przeprowadzenia niezależnego audytu bezpieczeństwa. Inicjowanie tych rozmów już teraz pozwoli na płynniejsze dostosowanie się do przyszłych wymogów i ewentualną, zaplanowaną zmianę dostawcy.

Trzecim obszarem jest planowanie budżetowe i zasobowe. Implementacja nowych wymogów, takich jak zaawansowane systemy zarządzania ryzykiem, całodobowe monitorowanie bezpieczeństwa (SOC) czy regularne testy penetracyjne, będzie wymagała znaczących inwestycji. CTO i CISO powinni przygotować szczegółowe estymacje kosztów i przedstawić je zarządom, argumentując potrzebę inwestycji nie tylko zgodnością z prawem, ale przede wszystkim budową długoterminowej odporności biznesu. Traktowanie nowelizacji UKSC jako strategicznej inicjatywy, a nie jedynie obciążenia regulacyjnego, pozwoli przekuć obowiązek w realną przewagę konkurencyjną opartą na zaufaniu i bezpieczeństwie.

Zobacz też

Powiązane artykuły o regulacjach cyberbezpieczeństwa:

Rząd przyjął projekt nowelizacji ustawy o KSC (NIS2) - szczegóły przyjętego projektu
Czym jest dyrektywa NIS2? Definicja, cele, obowiązki - kompleksowy przewodnik po NIS2
Cyberbezpieczeństwo w administracji publicznej: KRI i NIS2 - wymagania dla sektora publicznego

Powiązane pojęcia

Poznaj kluczowe terminy związane z tym artykułem w naszym słowniku cyberbezpieczeństwa:

Cyberbezpieczeństwo — Cyberbezpieczeństwo to zbiór technik, procesów i praktyk ochrony systemów IT,…
Analiza zagrożeń — Analiza zagrożeń to proces identyfikacji, oceny i priorytetyzacji potencjalnych…
Anty-DDoS — Anty-DDoS to zestaw technologii i strategii zaprojektowanych w celu ochrony…
Blue Team — Blue Team to zespół specjalistów odpowiedzialny za obronę systemów…
Hacking — Hacking to działanie polegające na wykorzystywaniu luk w zabezpieczeniach…

Dowiedz się więcej

Zapoznaj się z powiązanymi artykułami w naszej bazie wiedzy:

Sprawdź nasze usługi

Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź:

Audyty bezpieczeństwa - kompleksowa ocena stanu zabezpieczeń
Testy penetracyjne - identyfikacja podatności w infrastrukturze
SOC as a Service - całodobowy monitoring bezpieczeństwa

Tematy powiązane

Zobacz również:

Nowelizacja UKSC 2025/2026: Kluczowe zmiany i wnioski — od projektu do ustawy

Aktualizacja 2026: Aktualny stan prac legislacyjnych

Jakie kluczowe zmiany wprowadza nowelizacja UKSC?

Kogo obejmą nowe przepisy i jakie obowiązki zostaną nałożone?

Na czym polega nowa procedura oceny bezpieczeństwa dostawców?

Jakie są praktyczne wnioski dla dyrektorów IT i CISO?

Zobacz też

Powiązane pojęcia

Dowiedz się więcej

Sprawdź nasze usługi

Tematy powiązane

Tagi:

Udostępnij:

Porozmawiaj z ekspertem

Grzegorz Gnych

Chcesz obniżyć ryzyko i koszty IT?