KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Nowelizacja UKSC oczekuje na podpis Prezydenta RP

W dniu 28 stycznia 2026 r. Senat przyjął bez poprawek ustawę o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Ustawa w dniu 29 stycznia 2026 r. została przekazana do podpisu Prezydenta RP

29 stycznia 2026

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi najistotniejszy krok w dostosowywaniu polskiego porządku prawnego do wymogów Dyrektywy 2022/2555 (NIS 2). Jej celem jest nie tylko formalna implementacja prawa unijnego, lecz także zasadnicza przebudowa krajowego modelu regulacyjnego w obszarze cyberbezpieczeństwa.

Na wcześniejszym etapie prac nad projektem ustawy Sejm skierował projekt do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Komisja dokonała selekcji zgłoszonych wniosków i poprawek, wyraźnie opowiadając się za stabilizacją regulacyjną i wydłużeniem okresów dostosowawczych dla podmiotów objętych nowymi obowiązkami.

Do najważniejszych przyjętych poprawek należy zaliczyć przede wszystkim doprecyzowanie definicji „kierownika podmiotu kluczowego lub ważnego”, poprzez jednoznaczne odesłanie do przepisów ustawy o rachunkowości oraz – w przypadku sektora publicznego – do ustawy o finansach publicznych. Ma to istotne znaczenie praktyczne z perspektywy odpowiedzialności zarządczej i nadzorczej za system cyberbezpieczeństwa w organizacji.

Komisja opowiedziała się również za wydłużeniem terminów związanych z obowiązkami rejestrowymi i sprawozdawczymi – w szczególności w zakresie wpisu do wykazu podmiotów kluczowych i ważnych oraz uzupełniania danych.

Istotne znaczenie ma także przyjęcie przepisów czasowo odraczających możliwość nakładania kar pieniężnych – pierwsze będą mogły być stosowane dopiero po upływie 2 lat od wejścia w życie ustawy. Rozwiązanie to ma charakter ochronny i ma umożliwić realne wdrożenie wymaganych środków organizacyjnych i technicznych, bez natychmiastowego ryzyka związanego z odpowiedzialnością finansową podmiotów, które nie zdążą z dostosowaniem się do nowych przepisów.

Nowelizacja UKSC wprowadza szereg zmian związanych z podejściem do cyberbezpieczeństwa w Polsce. Najbardziej fundamentalną zmianą wprowadzaną przez nowelizację UKSC jest odejście od dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych, na rzecz nowej kategorii podmiotów kluczowych oraz podmiotów ważnych. Jednocześnie znacząco rozszerzono katalog sektorów objętych regulacją – nowymi obowiązkami objęto m.in. sektor ICT, przestrzeń kosmiczną, pocztę, produkcję (w tym chemiczną i spożywczą) oraz gospodarkę ściekową. Oznacza to objęcie reżimem KSC znacznie szerszego kręgu przedsiębiorców i instytucji niż dotychczas.

Nowelizacja wprowadza rozbudowany system zarządzania ryzykiem ICT, obejmujący obowiązek wdrożenia środków technicznych, organizacyjnych i operacyjnych, a także systemów zarządzania bezpieczeństwem informacji. Podmioty kluczowe będą dodatkowo zobowiązane do przeprowadzania cyklicznych audytów bezpieczeństwa (co do zasady co trzy lata), z możliwością zlecenia audytu doraźnego.

Istotnym novum są również zmiany w zakresie raportowania incydentów. Ustawa wprowadza dwuetapowy model zgłoszeń: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia incydentu poważnego oraz właściwe zgłoszenie w terminie 72 godzin. Przewidziano także obowiązek składania sprawozdań okresowych i końcowych, co w praktyce wymusi sformalizowanie procedur reagowania na incydenty.

Znacznemu wzmocnieniu ulegają kompetencje organów nadzorczych. Nowe przepisy umożliwiają m.in. wydawanie ostrzeżeń, nakazów, decyzji administracyjnych, wyznaczanie urzędnika monitorującego oraz nakładanie dotkliwych kar pieniężnych. Szczególnie doniosłe są uprawnienia ministra właściwego ds. informatyzacji do uznania dostawcy ICT za dostawcę wysokiego ryzyka oraz do wydawania poleceń zabezpieczających w przypadku incydentów krytycznych.

Z perspektywy praktyki stosowania prawa nowa ustawa oznacza istotne zwiększenie obciążeń regulacyjnych dla podmiotów objętych KSC, ale jednocześnie tworzy bardziej spójne i przewidywalne ramy zarządzania cyberbezpieczeństwem. Kluczowym wyzwaniem pozostanie właściwe wdrożenie nowych obowiązków oraz zapewnienie proporcjonalności działań nadzorczych w realiach szybko zmieniającego się krajobrazu zagrożeń cyfrowych.

Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie dyrektywy NIS 2, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

Alternatywne spółki inwestycyjne - inwestowanie z ograniczeniami

5 lutego 2026

Jak sprzedać tytuły uczestnictwa w Alternatywnej Spółce Inwestycyjnej?

Rocznica DORA – jak nowe przepisy wpłynęły na cyberodporność sektora finansowego?

30 stycznia 2026

Rocznica DORA – jak nowe przepisy wpłynęły na cyberodporność sektora finansowego?

Kolejne zwycięstwo procesowe – Sąd podzielił argumentację Kancelarii

27 stycznia 2026

Z przyjemnością informujemy, że Zespół Procesowy Kancelarii uzyskał w dniu 18 grudnia 2025 r. w I instancji kolejny korzystny wyrok dla Klienta Kancelarii – jednego z wiodących na rynku towarzystw funduszy inwestycyjnych.

Budowa parku handlowego: najważniejsze ryzyka prawne z perspektywy inwestora

27 stycznia 2026

Budowa retail parku stała się atrakcyjną formą inwestycji zarówno dla podmiotów działających na rynku budowlanym, np. deweloperskim, posiadających w swoim portfolio od kilku do nawet kilkudziesięciu funkcjonujących parków handlowych, ale również dla inwestorów decydujących się na realizację pojedynczych, mniejszych obiektów.

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.