KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Nowy projekt noweli u.k.s.c. – jakie względem poprzedniej wersji?

W dniu 20 sierpnia 2025 r. na stronie Rządowego Centrum Legislacji („RCL”) opublikowana została nowa wersja projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Projekt”).

22 sierpnia 2025

Zmieniana Projektem ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa została przyjęta celem wdrożenia do krajowego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli tzw. dyrektywy NIS. W związku z wejściem w życie z dniem 16 stycznia 2023 r. nowej Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2), zaszła potrzeba nowelizacji obecnie obowiązujących przepisów krajowych. Jednocześnie zaznaczyć należy, że Polska opóźnia się z transpozycją NIS 2, której termin wyznaczono na 17 października 2024 r.  

Najnowszy projekt ustawy datowany jest na dzień 12 sierpnia 2025 r. i względem wersji z 16 kwietnia 2025 r. wprowadza liczne zmiany i doprecyzowania, takie jak:

  • Uzupełnienie kryteriów kwalifikacji podmiotów ważnych o „osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej wskazane w załączniku nr 2 do ustawy, które spełniają wymogi dla średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I rozporządzenia 651/2014/UE lub przewyższają te wymogi oraz które nie są podmiotem kluczowym”. Powyższa zmiana pozwoli na uwzględnienie w definicji podmiotów ważnych również dużych przedsiębiorstw.
  • Wskazanie właściwości polskiego organu właściwego do spraw cyberbezpieczeństwa w przypadku podmiotów z sektora infrastruktury cyfrowej, nieposiadających jednostek organizacyjnych w państwie członkowskim UE, a które oferują swoje usługi w Polsce i wyznaczyły przedstawiciela posiadającego jednostkę organizacyjną w Polsce,
  • Doprecyzowanie zasad prowadzenia wykazu podmiotów kluczowych i podmiotów ważnych – zgodnie z aktualną wersja Projektu wykaz prowadzony jest przez każdy organ właściwy do spraw cyberbezpieczeństwa w zakresie nadzorowanego sektora i w tym zakresie dany organ ma być administratorem danych zawartych w wykazie. Poprzednia wersja zakładała natomiast, że to minister właściwy do spraw informatyzacji będzie zobowiązany do prowadzenia ww. wykazu. Aktualnie jego rola ma zostać ograniczona do zapewnia utrzymania i rozwoju systemu teleinformatycznego za pomocą którego wykaz ma być prowadzony.
  • Rozszerzenie katalogu podmiotów, które mają mieć możliwość wymiany między sobą informacji dotyczących cyberbezpieczeństwa – obok dotychczas wskazanych podmiotów kluczowych i ważnych, uwzględniono również CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowy, dostawców sprzętu lub oprogramowania dla tych podmiotów oraz organizacje społeczne zrzeszające podmioty kluczowe lub podmioty ważne.
  • Przyznanie uprawnień służbom specjalnym w zakresie stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do realizacji zadań. Służby specjalnie mają zyskać uprawnienie m.in. do podejmowania działań po dostrzeżeniu podatności lub cyberzagrożeń, dokonywania czasowego ograniczenia ruchu sieciowego przychodzącego do infrastruktury służb specjalnych, który może skutkować zakłóceniem realizacji zadań służb specjalnych.
  • Umożliwienie dokonywania zawiadomień o wpisie do wykazupodmiotów kluczowych i podmiotów ważnych oraz wezwań do uzupełnienie brakujących danych w wykazie z wykorzystaniem pism generowanych automatycznie i opatrzonych kwalifikowaną pieczęcią elektroniczną organu administracji publicznej, tj. w trybie art. 14 § 1b k.p.a.
  • Umożliwienie opatrywania kwalifikowaną pieczęcią elektroniczną pełnomocnictw elektronicznych udzielonych w postępowaniach o wpis, zmianę wpisu albo o wykreślenie z wykazu podmiotów kluczowych i podmiotów ważnych,
  • Uregulowanie katalogu przypadków, w których nie będzie można przeprowadzić oceny bezpieczeństwa, a w przypadku rozpoczętych już kontroli – w których konieczne będzie ich przerwanie. Jak wskazano w uzasadnieniu do Projektu, regulacja ta ma stanowić „ogólną zasadę dla osób przeprowadzających ocenę bezpieczeństwa i stanowi gwarancję dla podmiotu krajowego systemu cyberbezpieczeństwa, wobec którego prowadzona jest ocena bezpieczeństwa”. Określone zostały również obowiązki podmiotu krajowego systemu cyberbezpieczeństwa, którego system informacyjny podlega ocenie bezpieczeństwa, obejmujące m.in. obowiązek przekazanie CSIRT informacji technicznych i organizacyjnych niezbędnych do przeprowadzenia oceny.
  • Doprecyzowanie zasad udzielania wsparcia finansowego przez ministra właściwego do spraw informatyzacji na realizację projektów związanych z cyberbezpieczeństwem, w tym w odniesieniu do sposobu wykorzystania i zwrotu otrzymanego wsparcia.
  • Uregulowanie zasad doręczeń pism w postaci elektronicznej za pośrednictwem systemuS46.
  • Uregulowanie obowiązku organu odpowiedzialnego za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę do koordynowania działania organów państwa zgodnie z Krajowym Planem reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.
  • Ograniczenie kompetencji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa poprzez wykreślenie z zakresu jego obowiązków kompetencji do określenia w drodze zarządzenia szczegółowego zakresu działania Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
  • Doprecyzowanie zasad uiszczania i ściągania kar pieniężnych przez organ właściwy do spraw cyberbezpieczeństwa, a także przekazywania tych kar na rachunek Funduszu Cyberbezpieczeństwa,
  • Rozszerzenie zakresu nowelizacji o ustawę z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Ustawa ta definiuje zarówno pojęcie podmiotów finansowych będących podmiotami kluczowym, jak i podmiotów finansowych będących podmiotami ważnymi. Zgodnie z Projektem, definicje te mają zostać uchylone i zastąpione odesłaniem do UKSC.

Wspomnieć należy ponadto, że zmiany objęły również projekt załączników do ustawy – przede wszystkim załącznik nr 1, określający sektory, podsektory i podmioty kluczowe. W kolumnie III Załącznika nr 3 doprecyzowano wykaz podmiotów kluczowych - „podmioty prowadzące na terenie portu działalność wspomagającą transport morski” poprzez dodanie odesłania do klasyfikacji NACE, „podmioty świadczące usługę ITS” oraz wykreślono z zestawienia oddziały instytucji kredytowych.

Bez zmian pozostał planowany termin wejścia w życie nowych przepisów, tj. po upływie miesiąca od dnia ogłoszenia ustawy.

Z nową wersją projektu ustawy można zapoznać się pod linkiem.

Zapraszamy również do lektury pozostałych opracowań dostępnych na naszej stronie. Na temat dyrektywy NIS 2 oraz prac nad jej wdrożeniem pisaliśmy m.in. w dniu 19 stycznia 202325 kwietnia 2024, 9 października 2024, 29 maja 2025, 8 lipca 2025, 25 lipca 2025.

Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie dyrektywy NIS 2, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

Za co odpowiada depozytariusz w funduszu inwestycyjnym?

29 sierpnia 2025

Odpowiedzialność depozytariusza funduszu – wobec kogo i w jakim zakresie odpowiada depozytariusz?

KRWLegal / LegalWell rekrutuje!

21 sierpnia 2025

Poszukujemy Praktykantki lub Praktykanta do pracy w sekretariacie Kancelarii

Newsletter Regulacyjny KRWLegal / LegalWell 07/2025 wysłany do Klientów Kancelarii

14 sierpnia 2025

Przed długim weekendem do Klientów KRWLegal / LegalWell trafił lipcowy numer Newslettera Regulacyjnego.

Zgłaszanie incydentów wg NIS 2 – systemowa odpowiedzialność i procedury

12 sierpnia 2025

W dobie rosnącej cyfryzacji i nasilających się zagrożeń w cyberprzestrzeni, skuteczne zarządzanie incydentami stało się jednym z filarów bezpieczeństwa organizacji.

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.