W ostatnich miesiącach w Polsce trwają intensywne działania legislacyjne ukierunkowane na wzmocnienie odporności polskiej gospodarki i administracji publicznej na zagrożenia w cyberprzestrzeni. Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) stanowi odpowiedź na dynamiczny rozwój technologiczny, rosnącą liczbę ataków cyfrowych oraz konieczność dostosowania przepisów krajowych do unijnych wymogów, w szczególności dyrektywy NIS2. Celem reformy jest stworzenie jednolitego i bardziej efektywnego modelu zarządzania ryzykiem w sferze cyfrowej oraz zapewnienie współpracy między sektorem publicznym a prywatnym.
Tło i potrzeba zmiany regulacyjnej
Obowiązująca od 2018 r. ustawa o Krajowym Systemie Cyberbezpieczeństwa nie w pełni odpowiada współczesnym wyzwaniom w zakresie bezpieczeństwa informacyjnego i technologicznego. W obliczu coraz bardziej złożonych i zaawansowanych zagrożeń, obejmujących m.in. ataki na infrastrukturę krytyczną oraz łańcuchy dostaw IT, niezbędne stało się przejście z modelu reaktywnego na podejście prewencyjne i strategiczne. Nowelizacja ma charakter kompleksowy – obejmuje zarówno kwestie organizacyjne oraz techniczne, jak i wprowadzenie nowych instrumentów nadzoru i egzekwowania obowiązków. Przyjęcie projektu ma najprawdopodobniej nastąpić w czwartym kwartale 2025 roku, co oznacza, że przedsiębiorstwa i instytucje objęte zakresem ustawy powinny odpowiednio wcześniej rozpocząć przygotowania do wdrożenia nowych regulacji.
Rozszerzenie katalogu podmiotów objętych regulacją
Projekt nowelizacji ustawy rezygnuje z dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych, wprowadzając nową klasyfikację obejmującą podmioty kluczowe oraz podmioty ważne. O kwalifikacji do danej kategorii decydować będą m.in. skala działalności, znaczenie dla ciągłości funkcjonowania państwa oraz przynależność do określonego sektora. Podmioty kluczowe obejmą przede wszystkim duże organizacje z sektorów takich jak energetyka, transport, finanse, ochrona zdrowia czy administracja publiczna. Z kolei podmioty ważne to najczęściej przedsiębiorstwa średniej wielkości, które pełnią istotną funkcję w tych samych obszarach gospodarki.
Nowelizacja rozszerza również zakres ustawy na dostawców usług zarządzanych (Managed Service Providers – MSP) oraz dostawców uznanych za wysokiego ryzyka (High–Risk Vendors – HRV). Wprowadza ona także obowiązek samoidentyfikacji, zobowiązujący podmioty spełniające określone kryteria do zgłoszenia się do właściwego organu. Zaniedbanie tego obowiązku może skutkować dotkliwymi sankcjami finansowymi, a w skrajnych przypadkach – utratą uprawnień do świadczenia określonych usług.
Zakres obowiązków i wymogów zgodności
Projekt ustawy nakłada na organizacje obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, opartego na zasadach odpowiedzialności zarządczej oraz zarządzania ryzykiem. Kierownictwo podmiotu będzie zobowiązane do nadzorowania polityki bezpieczeństwa, monitorowania realizacji celów w zakresie cyberochrony oraz zapewnienia odpowiednich zasobów do utrzymania wysokiego poziomu bezpieczeństwa.
Do kluczowych wymagań nowelizowanej ustawy należą: systematyczna identyfikacja i ocena ryzyka, wdrażanie adekwatnych środków technicznych i organizacyjnych, utrzymanie planów ciągłości działania, a także raportowanie oraz reagowanie na incydenty. Ustawa zobowiązuje również do ustanowienia procedur współpracy z zespołami reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) oraz z właściwymi organami nadzorczymi. Szczególny nacisk położono na zarządzanie ryzykiem w łańcuchu dostaw ICT, obejmujące analizę bezpieczeństwa dostawców, bieżące monitorowanie jakości stosowanych rozwiązań technologicznych oraz możliwość ograniczenia współpracy z dostawcami uznanymi za wysokiego ryzyka.
Nowelizacja wprowadza także obowiązek informacyjny dotyczący incydentów oraz rozszerza uprawnienia organów państwowych w zakresie kontroli i wydawania decyzji dotyczących stosowania określonych rozwiązań informatycznych. Dodatkowo, projekt przewiduje, że Rada Ministrów będzie mogła w drodze rozporządzenia doprecyzować szczególne wymagania wobec systemów zarządzania bezpieczeństwem informacji (SZBI).
Proces audytu zgodności jako narzędzie przygotowawcze
Wdrożenie nowych wymogów wynikających z nowelizacji ustawy wymaga od podmiotów zobowiązanych podejścia systemowego i metodycznego. Kluczowym elementem procesu przygotowawczego jest przeprowadzenie audytu zgodności z projektowanymi przepisami UKSC, który pozwoli dokonać analizy dojrzałości procesów bezpieczeństwa, oceny luk w aktualnych procedurach oraz przygotowanie planu działań dostosowawczych.
Rekomenduje się, aby proces ten angażował zarówno kadrę zarządzającą, jak i przedstawicieli działów IT, compliance oraz prawnych, co umożliwi całościowe podejście do kwestii bezpieczeństwa i zgodności. Wynikiem audytu powinna być mapa dostosowania, obejmująca harmonogram wdrożenia nowych rozwiązań, estymację niezbędnych zasobów oraz propozycję mechanizmów nadzoru nad realizacją obowiązków wynikających z ustawy. W szerszej perspektywie audyt może stać się nie tylko narzędziem przygotowawczym, lecz także elementem wzmacniającym bezpieczeństwo i odporność organizacyjną.
Podsumowanie
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa stanowi kluczowy etap w budowaniu wyższego poziomu bezpieczeństwa cyfrowego w Polsce. Reforma wprowadza nowy model klasyfikacji podmiotów, rozszerza zakres obowiązków oraz podkreśla odpowiedzialność członków zarządów podmiotów zobowiązanych za zapewnienie zgodności z przepisami. Choć wiąże się to z dodatkowymi obciążeniami organizacyjnymi i finansowymi, nowe regulacje tworzą solidne ramy do budowy trwałej odporności operacyjnej oraz wzrostu zaufania do instytucji publicznych i przedsiębiorstw prywatnych.
W praktyce oznacza to konieczność jak najszybszego rozpoczęcia działań przygotowawczych, obejmujących audyt, analizę ryzyka oraz opracowanie planu wdrożenia nowych procedur. Wczesne dostosowanie się do wymogów ustawy pozwoli nie tylko uniknąć sankcji, lecz także zwiększy poziom bezpieczeństwa, stabilności i konkurencyjności organizacji w dynamicznie zmieniającym się środowisku cyfrowym.
