Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

NIS2 i nowelizacja KSC w JST: Analiza obowiązków dla samorządów

1. Kontekst prawny

Dyrektywa NIS i NIS2 – ewolucja regulacji

Dyrektywa NIS (2016/1148/UE) stworzyła podstawowe ramy systemu zapewnienia cyberbezpieczeństwa w Unii Europejskiej. Wprowadziła nowe zadania państw członkowskich, nałożyła obowiązki na operatorów usług kluczowych oraz dostawców usług cyfrowych, a także powołała sieć współpracy organów UE.

W związku z szybkim rozwojem transformacji cyfrowej i coraz częstszymi cyberzagrożeniami, uznano, że te regulacje nie odpowiadają aktualnym wyzwaniom. Dlatego w grudniu 2022 r. przyjęto Dyrektywę NIS2 (2022/2555/UE), która zastąpiła poprzednie regulacje.

NIS2:

  • rozszerza katalog sektorów objętych przepisami (m.in. wodociągi, poczta, gospodarka odpadami, żywność, ICT, kosmos),
  • zastępuje podział na operatorów usług kluczowych i dostawców usług cyfrowych podziałem na podmioty kluczowe i podmioty ważne,
  • wskazała na odpowiedzialność zarządczą – kierownictwo podmiotów kluczowych i ważnych odpowiada za realizację obowiązków w zakresie cyberbezpieczeństwa,
  • wprowadziła obowiązki stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych do zarządzania ryzykiem i obowiązki w zakresie raportowania incydentów,
  • umożliwia wzmocniony nadzór i sankcje.

Polska – wdrożenie przez nowelizację ustawy o KSC

Obecnie procedowany jest projekt ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa z sierpnia 2025 r. (7. wersja projektu). Jego głównym celem jest wdrożenie dyrektywy NIS2 do krajowego porządku prawnego.

Obecnie:

  • operatorzy usług kluczowych muszą wdrażać SZBI na podstawie art. 8 ustawy o KSC,
  • podmioty publiczne – na podstawie § 19 rozporządzenia w sprawie Krajowych Ram Interoperacyjności.

Projekt nowelizacji rozwija te przepisy, dostosowując je do wymogów NIS2, zachowując ciągłość regulacyjną.

W praktyce oznacza to, że:

  • jednostki, które już dziś mają SZBI (np. część JST, urzędy, niektóre szpitale) będą musiały jedynie dostosować jego zakres do nowych wymogów,
  • podmioty, które jeszcze tego nie zrobiły, będą musiały taki system wdrożyć, ale nie ma wymogu certyfikacji np. zgodności z ISO 27001 – wystarczy wdrożenie zgodne z ustawą o KSC i odpowiednie udokumentowanie działań.

Kluczowe jest to, że projekt nie wymaga certyfikacji (np. ISO 27001). Wystarczające jest wdrożenie systemu zgodnie z ustawą o KSC i odpowiednie udokumentowanie tego faktu.

Nowelizacja przewiduje objęcie obowiązkami:

  • podmioty kluczowe – jednostki o istotnym znaczeniu dla funkcjonowania państwa i gospodarki,
  • podmioty ważne – szersza grupa instytucji publicznych i prywatnych realizujących zadania o charakterze publicznym.

Ostateczny kształt ustawy poznamy po jej uchwaleniu, ale kierunek jest już przesądzony – cyberbezpieczeństwo stanie się obowiązkowym elementem zarządzania w jednostkach samorządu terytorialnego i ich instytucjach. Szczególnie istotne jest, że nowe przepisy obejmą także jednostki samorządu terytorialnego (JST) i ich jednostki organizacyjne – co oznacza, że szkoły, przedszkola, DPS-y, placówki opiekuńczo-wychowawcze, GOPS-y, biblioteki czy muzea znajdą się w krajowym systemie cyberbezpieczeństwa.

2. Kategorie podmiotów – kluczowe i ważne

Podmioty kluczowe (art. 5 ust. 10 + załącznik nr 1)

Do podmiotów kluczowych zaliczono m.in.:

  • organy władzy publicznej, sądy, trybunały, urzędy centralne,
  • jednostki sektora finansów publicznych z art. 9 ustawy o finansach publicznych (np. agencje wykonawcze, instytucje gospodarki budżetowej),
  • urzędy marszałkowskie,
  • starostwa powiatowe,
  • urzędy gmin zatrudniające co najmniej 50 etatów (na umowach o pracę),
  • podmioty lecznicze zatrudniające co najmniej 250 osób.

👉 Wyjątki: w przypadku województw projekt przewiduje wyłączenia (np. szkoły, DPS, ŚDS). Wyłączenia nie dotyczą powiatów i gmin.

Podmioty ważne (art. 5 ust. 11 + załącznik nr 2)

Podmiotami ważnymi są m.in.:

  • samorządowe jednostki budżetowe,
  • samorządowe zakłady budżetowe,
  • samorządowe instytucje kultury,
  • spółki komunalne wykonujące zadania użyteczności publicznej (art. 1 ust. 2 ustawy o gospodarce komunalnej).

Do tej grupy zaliczymy m.in.: szkoły, przedszkola, DPS, ŚDS, GOPS, placówki opiekuńczo-wychowawcze, biblioteki gminne, muzea, zarządy dróg powiatowych, poradnie psychologiczno–pedagogiczne czy spółki komunalne dostarczające wodę, transport czy odbiór odpadów.

Projekt ustawy wprowadza obowiązek samorejestracji w wykazie podmiotów kluczowych i ważnych prowadzonym przez ministra właściwego ds. informatyzacji.

  • Rejestracja musi nastąpić w ciągu 2 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub ważny.
  • Rozwiązanie to zastępuje dotychczasowy wykaz operatorów usług kluczowych.

3. Obowiązki podmiotów

A) Podmioty kluczowe

Zakres obowiązków obejmuje m.in.:

  • wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) opartego na ryzyku,
  • systematyczne szacowanie ryzyka wystąpienia incydentu,
  • prowadzenie regularnych audytów i testów bezpieczeństwa,
  • raportowanie incydentów poważnych do CSIRT,
  • wyznaczenie kadry kierowniczej ds. cyberbezpieczeństwa,
  • odpowiedzialność zarządu za podejmowane decyzje,
  • współpracę z organami nadzorczymi.

B) Podmioty ważne będące podmiotami publicznymi

Zgodnie z załącznikiem nr 4 projekt przewiduje minimalny, zamknięty katalog obowiązków, m.in.:

  • inwentaryzację systemów, usług i procesów ICT,
  • kontrolę wersji i aktualizacji oprogramowania,
  • ochronę informacji (fizyczną, logiczną, przy usługach chmurowych – udokumentowaną),
  • zarządzanie dostępem (uprawnienia minimalne, cofanie, modyfikacja przy zmianie zadań),
  • zasady bezpiecznej pracy mobilnej i zdalnej,
  • kontrolę poczty elektronicznej (zgodnie z ustawą o zwalczaniu nadużyć w komunikacji elektronicznej),
  • wykonywanie i testowanie kopii zapasowych,
  • procedury reagowania na incydenty i awarie,
  • stosowanie oprogramowania antywirusowego,
  • szkolenia pracowników i kierownictwa w zakresie cyberhigieny,
  • monitorowanie cyklu życia produktów ICT (aktualizacje, podatności),
  • przeglądy co najmniej raz w roku.

C) Nowy art. 8 KSC – obowiązki wspólne

Projekt nowelizacji ustawy o KSC zachowuje dotychczasową systematykę art. 8, ale rozszerza go na podmioty kluczowe i podmioty ważne. Aby spełnić wymagania, podmiot musi przede wszystkim:

  1. Zidentyfikować usługi, procesy oraz systemy informacyjne, które wykorzystuje do świadczenia usług.
  2. Prowadzić systematyczne szacowanie ryzyka wystąpienia incydentów oraz zarządzać tym ryzykiem (identyfikacja, analiza, ocena, podejmowanie działań).
  3. Stosować środki techniczne i organizacyjne proporcjonalne do ryzyka, w tym m.in.:
    • polityki bezpieczeństwa i zarządzania ryzykiem,
    • zasady bezpieczeństwa w cyklu życia systemów informatycznych (nabywanie, rozwój, testowanie),
    • ochronę fizyczną i środowiskową,
    • bezpieczeństwo łańcucha dostaw ICT,
    • plany ciągłości działania (BCP), plany awaryjne (ISCP) i plany odtworzeniowe (DRP),
    • ciągłe monitorowanie systemów informacyjnych,
    • polityki kontroli dostępu, kryptografii i bezpiecznej komunikacji,
    • edukację i szkolenia pracowników oraz zasady cyberhigieny.
  4. Zarządzać incydentami i podatnościami, w tym stosować aktualizacje, chronić dane przed nieautoryzowaną modyfikacją, a w razie potrzeby podejmować działania ograniczające ruch sieciowy, by zminimalizować skutki ataków.
  5. Uwzględniać wyniki skoordynowanych oszacowań ryzyka dla krytycznych łańcuchów dostaw, przygotowywanych na poziomie UE przez Grupę Współpracy NIS2.

W praktyce oznacza to, że SZBI w rozumieniu nowelizowanego KSC będzie bardziej kompleksowy i ukierunkowany na ryzyka, ale jednocześnie będzie dopasowany do możliwości organizacyjnych podmiotów ważnych (uproszczone minimum w załączniku nr 4).

D) Szkolenia dla kierownictwa

Nowością w projekcie jest również obowiązek corocznych szkoleń dla osób kierujących podmiotami kluczowymi i ważnymi.

  • Szkolenie dotyczy zadań związanych z systemem zarządzania bezpieczeństwem informacji (SZBI),
  • obejmuje również zgłaszanie incydentów oraz dokumentowanie działań w zakresie cyberbezpieczeństwa,
  • celem jest zapewnienie, że kierownictwo posiada aktualną wiedzę merytoryczną niezbędną do podejmowania decyzji strategicznych w tym obszarze.

To wyraźnie podkreśla osobistą odpowiedzialność zarządczą i wpisuje się w założenia NIS2, gdzie cyberbezpieczeństwo nie może być delegowane wyłącznie do działów IT, ale musi być elementem zarządzania na poziomie kierownictwa. Zachęcamy do zapoznania się z ofertą szkoleń z zakresu bezpieczeństwa informacji i cyberbezpieczeństwa oferowaną przez DSO Consulting.

E) Weryfikacja niekaralności personelu

  • osoby realizujące zadania z zakresu cyberbezpieczeństwa nie mogą być skazane za przestępstwa przeciwko ochronie informacji,
  • przed dopuszczeniem do zadań muszą przedstawić zaświadczenie o niekaralności, weryfikowane przez kierownika,
  • dotyczy to zarówno pracowników etatowych, jak i osób na umowach cywilnoprawnych,
  • rozwiązanie nawiązuje do norm ISO (np. ISO/IEC 27001 – bezpieczeństwo zasobów ludzkich),
  • dane o niekaralności muszą być chronione zgodnie z art. 10 RODO,
  • kierownik może wezwać osobę do ponownego przedstawienia zaświadczenia, jeśli istnieją uzasadnione podejrzenia skazania.

👉 Wyjątek: brak obowiązku przedstawiania zaświadczenia, jeśli osoba posiada ważne poświadczenie bezpieczeństwa (dostęp do informacji niejawnych o klauzuli „poufne” lub wyższej).

F) Obowiązki w zakresie kontaktu i komunikacji

Projekt ustawy wprowadza dodatkowe wymagania organizacyjne dla podmiotów kluczowych i ważnych.

Wyznaczenie osób do kontaktu

  • każdy podmiot kluczowy i podmiot ważny będzie musiał wyznaczyć co najmniej dwie osoby do kontaktów z innymi podmiotami krajowego systemu cyberbezpieczeństwa (np. CSIRT).
  • celem jest zapewnienie ciągłości komunikacji – doświadczenia pokazały, że wyznaczenie tylko jednej osoby prowadziło do problemów, gdy ta była nieobecna (np. na zwolnieniu lekarskim).
  • wyjątek: mikro- i mali przedsiębiorcy będą mogli wyznaczyć jedną osobę.

Obowiązek informacyjny wobec użytkowników

Podmioty kluczowe i ważne będą musiały:

  • zapewnić użytkownikom usług dostęp do wiedzy o cyberzagrożeniach oraz skutecznych sposobach ochrony,
  • udostępniać aktualne informacje, aby umożliwić użytkownikom samodzielne zabezpieczanie się przed atakami.

Kanały zgłaszania zagrożeń

Każdy podmiot musi stworzyć mechanizm, dzięki któremu użytkownicy mogą zgłaszać:

  • cyberzagrożenia,
  • podatności,
  • incydenty związane z usługą świadczoną przez podmiot.

4. Różnice w podejściu do ryzyka

  • Podmioty kluczowe: muszą prowadzić pełne szacowanie ryzyka i zarządzać nim, wdrażając proporcjonalne środki bezpieczeństwa. System zarządzania bezpieczeństwem informacji obejmuje m.in. polityki, plany ciągłości działania (BCP), plany awaryjne (ISCP), plany odtworzenia (DRP), monitoring w trybie ciągłym, polityki dostępu, stosowanie kryptografii czy zarządzanie łańcuchem dostaw.
  • Podmioty ważne: nie mają obowiązku szacowania ryzyka. Otrzymują jedynie zamknięty katalog wymogów minimalnych (załącznik nr 4), co wynika z faktu, że małe jednostki samorządowe nie mają zasobów do prowadzenia analiz ryzyka.

5. Dokumentacja systemu bezpieczeństwa informacji

Projekt nowelizacji precyzuje również obowiązki związane z prowadzeniem dokumentacji.
Nowością jest przeniesienie dotychczasowych wymagań z poziomu rozporządzeń do samej ustawy, co podnosi ich rangę prawną i gwarantuje jednolite stosowanie w całym sektorze publicznym.

Forma prowadzenia dokumentacji

  • dokumentacja może być prowadzona w formie elektronicznej lub papierowej,
  • musi dotyczyć bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług.

Podział dokumentacji

  1. Dokumentacja normatywna – opisuje:
    • wiadczone usługi,
    • wykorzystywane systemy i infrastrukturę,
    • sposób funkcjonowania systemu bezpieczeństwa informacji w podmiocie.
  2. Dokumentacja operacyjna – potwierdza wykonywanie czynności opisanych w dokumentacji normatywnej (np. raporty z testów kopii zapasowych, dzienniki incydentów, protokoły szkoleń).

6. Audyty bezpieczeństwa systemu informacyjnego

Obowiązki podmiotów kluczowych

Podmioty kluczowe będą miały obowiązek zapewnienia przeprowadzenia, na własny koszt, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług:

  • raz na 3 lata,
  • audyt obejmuje cały system informacyjny, a nie tylko jego fragmenty,
  • przeprowadzają go:
    • podmiot posiadający odpowiednią akredytację,
    • dwóch audytorów z certyfikatami i doświadczeniem,
    • albo właściwy CSIRT sektorowy.

Raport z audytu

  • raport musi być przekazany w formie elektronicznej do organu właściwego ds. cyberbezpieczeństwa w ciągu 3 dni roboczych od jego otrzymania,
  • przekazanie raportu pozwala organom państwowym na skuteczny nadzór i analizę trendów w bezpieczeństwie.

Audyty doraźne

Projekt wdraża także postanowienia NIS2 dotyczące audytów doraźnych:

  • dla podmiotów kluczowych – mogą być zlecone w każdym czasie, w ramach nadzoru prewencyjnego i następczego,
  • dla podmiotów ważnych – tylko w przypadku poważnego incydentu lub innego naruszenia przepisów,
  • decyzja nakazująca przeprowadzenie audytu doraźnego jest natychmiast wykonalna i określa termin, zakres oraz podmioty uprawnione do przeprowadzenia audytu,
  • brak wskazania zakresu audytu oznacza audyt pełny.

Niezależność audytorów

Audyt nie może być przeprowadzony przez osoby, które w ciągu roku przed rozpoczęciem audytu wykonywały w danym podmiocie zadania związane z systemem zarządzania bezpieczeństwem informacji lub reagowaniem na incydenty – gwarantuje to obiektywność i bezstronność.

Relacja do RODO

Realizacja audytu nie zwalnia z obowiązków wynikających z RODO – w szczególności z zasady poufności i integralności oraz stosowania odpowiednich środków technicznych i organizacyjnych proporcjonalnych do ryzyka.

7. Wspólna realizacja zadań

Ponadto przepisy projektu ustawy umożliwiają:

  • ministrowi, wojewodzie, JST – wyznaczenie jednostki realizującej zadania z cyberbezpieczeństwa dla innych jednostek (np. urząd marszałkowski dla instytucji kultury, gmina dla szkół).
  • Wyznaczona jednostka odpowiada m.in. za: wdrożenie SZBI, dokumentację, zgłaszanie incydentów, sprawozdania, weryfikację personelu, kontakty z CSIRT.
  • Kierownik jednostki wyznaczonej ponosi odpowiedzialność karnoadministracyjną.
  • Możliwość wyznaczenia jednej lub kilku takich jednostek.

Projekt ustawy przewiduje znacząco rozszerzony katalog kar:

8. Kary

  • Minimalne kary:
    • 20 000 zł – podmioty kluczowe,
    • 15 000 zł – podmioty ważne.
  • Maksymalne kary:
    • do 10 mln € lub 2% przychodów – podmioty kluczowe,
    • do 7 mln € lub 1,4% przychodów – podmioty ważne.
  • Kara do 100 mln zł – w przypadku naruszeń powodujących bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa, życia i zdrowia ludzi lub gospodarki.
  • Kary dla kierowników:
    • do 300% wynagrodzenia (w podmiotach publicznych max. 100%).

9. Podsumowanie

Projekt nowelizacji ustawy o KSC (wdrażającej NIS2) rozszerza obowiązki w zakresie cyberbezpieczeństwa na szerokie grono instytucji publicznych – zarówno podmioty kluczowe (np. duże urzędy, szpitale, starostwa), jak i ważne (np. szkoły, przedszkola, DPS, ŚDS, biblioteki, muzea, spółki komunalne).

  • Podmioty kluczowe – pełne wymogi oparte na SZBI i zarządzaniu ryzykiem.
  • Podmioty ważne – uproszczony katalog obowiązków, bez podejścia ryzykowego.

Wymogi obejmują m.in.:

  • wdrożenie systemu zarządzania bezpieczeństwem informacji,
  • regularne audyty i testy (dla podmiotów kluczowych),
  • uproszczony katalog wymagań (dla podmiotów ważnych),
  • szkolenia kadry i pracowników,
  • weryfikację niekaralności osób wykonujących zadania w obszarze cyberbezpieczeństwa,
  • wyznaczenie dwóch osób kontaktowych dla CSIRT i innych podmiotów KSC,
  • stworzenie systemów komunikacji z użytkownikami (informowanie o zagrożeniach, przyjmowanie zgłoszeń),
  • prowadzenie dokumentacji bezpieczeństwa w podziale na normatywną i operacyjną.

Analizie podlega projekt ustawy (sierpień 2025 r.) – ostateczny kształt przepisów będzie znany dopiero po uchwaleniu i wejściu w życie.

Po wejściu w życie ustawy przewidziano okresy przejściowe:

  • 6 miesięcy – na wdrożenie obowiązków przez podmioty kluczowe i ważne,
  • 24 miesiące – na przeprowadzenie pierwszego audytu przez podmioty kluczowe.

Oznacza to, że każda jednostka samorządowa i jej instytucje powinny już teraz rozpocząć przygotowania, aby uniknąć wdrażania zmian w pośpiechu.

Dowiedz się więcej!