500 181 151
792 532 726
biuro@doradcy365.pl

Poniedziałek - Piątek (08:00 - 17:00)

 

Koszyk

Cyberbezpieczeństwo

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – co muszą wiedzieć przedsiębiorcy i instytucje publiczne?

3 kwietnia 2025by Joanna Pohl

Artykuł zawiera treści promocyjne oraz lokowanie produktów związanych z ofertą Doradcy365.

W dobie rosnącej liczby cyberataków i coraz bardziej zaawansowanych zagrożeń cyfrowych Polska musi dostosować swoje przepisy do nowych realiów. W odpowiedzi na wymogi unijnej Dyrektywy NIS2, powstał projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). To już piąta wersja tego projektu, która niesie za sobą poważne zmiany, zarówno dla sektora publicznego, jak i prywatnego.
Dlaczego nowelizacja ustawy KSC jest konieczna?

Unijna Dyrektywa NIS2 (Network and Information Systems Directive 2) ma na celu wzmocnienie cyberbezpieczeństwa w państwach członkowskich UE. Nowelizacja KSC to krok w stronę dostosowania krajowego prawa do unijnych standardów i podniesienia poziomu ochrony najważniejszych systemów informatycznych, zwłaszcza infrastruktury krytycznej.

Kluczowe zmiany w projekcie nowelizacji ustawy KSC

🔹 Podział podmiotów publicznych na kluczowe i ważne

Dotychczas wszystkie jednostki publiczne traktowane były jako podmioty kluczowe. Nowelizacja wprowadza nową kategorię – podmiotów ważnych, do których zaliczono m.in. samorządowe jednostki budżetowe, zakłady budżetowe, instytucje kultury oraz spółki prawa handlowego wykonujące zadania użyteczności publicznej. Zmniejszenie wymogów dla tych podmiotów uwzględnia ich ograniczone zasoby organizacyjne i finansowe.

🔹 Uproszczony system zarządzania bezpieczeństwem informacji

Podmioty ważne nie będą musiały wdrażać pełnych systemów zarządzania ryzykiem, jak podmioty kluczowe. Zamiast tego, będą zobowiązane do stosowania uproszczonego systemu opisanego w załączniku nr 4 do ustawy. To podejście ma na celu zapewnienie podstawowego poziomu ochrony przy jednoczesnym ograniczeniu kosztów.

🔹 Obowiązki zgłaszania incydentów

Nowelizacja przewiduje również uproszczenie obowiązków zgłaszania incydentów przez podmioty ważne-publiczne. Mają one raportować jedynie te zdarzenia, które realnie wpływają na ich funkcjonowanie, co pozwoli skupić się na zagrożeniach o największym znaczeniu.

🔹 Audyty bezpieczeństwa systemów informacyjnych

Nowelizacja nakłada obowiązek przeprowadzania audytów bezpieczeństwa co najmniej raz na dwa lata. Audyt musi zostać wykonany przez osobę niezależną, a raport ze sprawozdaniem należy przekazać w ciągu trzech dni roboczych do właściwego organu ds. cyberbezpieczeństwa. Organ może również samodzielnie nakazać audyt i określić jego termin.

🔹 Procedura uznania dostawcy za DWR

Minister Cyfryzacji może, po uzyskaniu opinii Kolegium ds. Cyberbezpieczeństwa, uznać dostawcę oprogramowania lub sprzętu za dostawcę wysokiego ryzyka (DWR). Decyzja jest natychmiastowo publikowana i wykonalna. Podmioty korzystające z rozwiązań DWR muszą:

  • natychmiast przerwać wdrażanie jego rozwiązań,
  • wycofać je z użytkowania w ciągu 7 lat (4 lata dla funkcji krytycznych),
  • nie zawierać nowych umów w ramach zamówień publicznych.

🔹 Polecenia zabezpieczające

W przypadku incydentu krytycznego Minister Cyfryzacji może wydać polecenie zabezpieczające, nakazujące określone działania ograniczające skutki zagrożenia. Polecenie obowiązuje przez maksymalnie dwa lata i musi zostać wykonane niezwłocznie.

🔹 Nowy system kar

Projekt nowelizacji wprowadza surowy system sankcji finansowych, które jednak w przypadku sankcji dla kierowników podmiotów kluczowych lub ważnych zostały zmniejszone w stosunku do wcześniejszego projektu:

  • do 10 mln euro lub 2% obrotu dla podmiotów kluczowych,
  • do 7 mln euro lub 1,4% obrotu dla podmiotów ważnych,
  • do 300% wynagrodzenia dla osób zarządzających (obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop). Za niewykonanie polecenia zabezpieczającego grozi kara do 100 mln zł.
Kogo konkretnie obejmą nowe przepisy?

Wymagania nowelizacji KSC dotyczą:

  • operatorów usług kluczowych (np. energetyka, transport, zdrowie, bankowość),
  • dostawców usług cyfrowych,
  • operatorów infrastruktury krytycznej,
  • instytucji publicznych (JST, instytucje kultury, podmioty lecznicze),
  • firm współpracujących z sektorem publicznym lub obsługujących systemy wrażliwe,
  • dostawców rozwiązań ICT.
Jak się przygotować? Kroki dla organizacji
  • Zidentyfikuj, czy jesteś podmiotem kluczowym lub ważnym.
  • Przeprowadź analizę ryzyka i luk w zabezpieczeniach.
  • Przygotuj wewnętrzne polityki i procedury (np. zarządzanie incydentami, backupy, kontrola dostępów).
  • Zaplanuj audyty wewnętrzne lub zleć audyt zewnętrzny.
  • Przeszkol zespół i wyznacz osoby odpowiedzialne.
  • Skonsultuj się z ekspertami w zakresie cyberbezpieczeństwa.
Wdrożenie ISO 27001 i ISO 22301 a zgodność z ustawą KSC

Wdrożenie międzynarodowych standardów takich jak ISO 27001 (bezpieczeństwo informacji) oraz ISO 22301 (ciągłość działania) jest najlepszym sposobem na spełnienie wymagań nowelizacji KSC. Standardy te:

  • wspierają identyfikację i ocenę ryzyka,
  • narzucają odpowiednie procedury i dokumentację,
  • wspomagają reagowanie na incydenty i odtwarzanie po awarii,
  • są akceptowane przez audytorów i organy nadzoru.
Braki kadrowe i techniczne – co robić?

Wiele instytucji publicznych i firm boryka się z niedoborem specjalistów ds. cyberbezpieczeństwa. W takiej sytuacji warto:

  • rozważyć outsourcing usług cyberbezpieczeństwa,
  • powołać Pełnomocnika ds. KSC,
  • skorzystać z programów szkoleniowych dla JST i firm,
  • współpracować z zewnętrznymi ekspertami.
Jak możemy pomóc?

Zespół Doradcy365 wspiera organizacje publiczne i prywatne w dostosowywaniu się do nowelizacji ustawy o KSC i wymagań Dyrektywy NIS2. Oferujemy:

Nie czekaj na ostatni moment – przygotuj się na nadchodzące zmiany już dziś.

Podsumowanie

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to jeden z najważniejszych kroków w stronę wzmocnienia ochrony cyfrowej polskich instytucji i przedsiębiorstw. Choć nowe przepisy są wymagające, ich celem jest stworzenie bardziej odpornego, świadomego i skoordynowanego systemu reagowania na cyberzagrożenia.

Podmioty kluczowe i ważne, zarówno z sektora publicznego, jak i prywatnego, powinny już teraz rozpocząć przygotowania do wdrożenia obowiązków wynikających z ustawy. Kluczowe będzie m.in. zbudowanie lub zmodernizowanie systemów zarządzania ryzykiem, przeszkolenie kadry oraz zapewnienie zgodności z obowiązującymi normami, takimi jak ISO 27001 czy ISO 22301.

Warto potraktować te zmiany nie jako obciążenie, lecz jako szansę na zwiększenie odporności organizacji, ochronę danych i budowanie zaufania w relacjach z klientami, partnerami i instytucjami nadzorczymi.

Skorzystaj z naszej pomocy już dziś i uzyskaj wsparcie.

Masz więcej pytań? Zapraszamy do kontaktu

Zobacz naszą pełną ofertę w tej kategorii

Powyższy artykuł został opracowany przy wsparciu narzędzi AI z wykorzystaniem materiałów wygenerowanych przez model językowy ChatGPT. Treść została zredagowana i zweryfikowana przez autora publikacji.

previous
Normy ISO, NIS2 oraz SZBI – jak ich wdrożenie pomoże Twojej firmie?
next
Nowy nabór na Mazowszu: dofinansowanie transformacji w kierunku gospodarki o obiegu zamkniętym

Nasi Klienci
Zaufali nam

logo lasy państwowe
logo uni przyr wroc
logo warszawa
lot crew
gmina smołdzino
logo miasto otwock
ford
logo rmf
bez tytułu
logo dp
logo trzebińskie centrum kultury
uw olsztyn
pup toruń
logo lp piła
nadleśnictwo krotoszyn
logo uni rol krak
vicotel
holcim
Dane naszej firmyDORADCY 365 Sp. z o.o.
53-135 Wrocław
ul. Januszowicka 5

Obsługujemy Klientów z całej Polski
Szybki kontaktObsługa klientów
+48 500 181 151
+48 792 532 726
biuro@doradcy365.pl
Jesteśmy po toaby odciążyć Cię od biurokratycznych procedur

Polityka prywatności
Polityka Jakości
Regulamin

Bądż na bieżąco Zaobserwuj nas w mediach społecznościowych

Copyright DORADCY365

Realizacja: Doradcy365