Ustawa wdrażająca dyrektywę NIS 2 trafiła do parlamentu

W listopadzie 2025 r., po ponad półtora roku prac rządowych, do parlamentu skierowano projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa[1] – ustawy, która ma wdrożyć unijną dyrektywę NIS 2. Mimo że od wymaganego terminu implementacji dyrektywy NIS 2 upłynął już ponad rok, to w Polsce wciąż nie uchwalono wymaganych przepisów.

Choć projekt nowelizacji stosunkowo wiernie oddaje treść i zasady wynikające z dyrektywy NIS 2, polski ustawodawca wprowadził do niego pewne rozbieżności w stosunku do tekstu dyrektywy (w tym nowe, autonomiczne rozwiązania). Poniżej przedstawiamy pięć najważniejszych różnic:

1. Rozszerzenie zakresu podmiotowego
   Projekt nowelizacji rozszerza zakres podmiotowy regulacji, m.in. poprzez zaklasyfikowanie małych dostawców usług zarządzanych w zakresie cyberbezpieczeństwa jako podmiotów kluczowych, a także poprzez uwzględnienie w zakresie tego pojęcia usług doradztwa. Projekt nowelizacji włącza do sektora infrastruktury cyfrowej również podmioty świadczących usługi rejestracji nazw domen (regulowane w dyrektywie NIS 2 w sposób częściowo niezależny), a także definiuje poszczególne rodzaje podmiotów poprzez odwołania do polskich przepisów, co czasami może budzić rozdźwięk pomiędzy polskim i unijnym rozumieniem niektórych pojęć.
2. Wprowadzenie obowiązku rejestracji
   Projekt nowelizacji nakłada na podmioty kluczowe i ważne obowiązek złożenia wniosku o wpis do właściwego wykazu. Podmioty kluczowe i ważne będą miały 3 miesiące na złożenie wniosku, a jego niezłożenie może skutkować nałożeniem kary pieniężnej na taki podmiot.
3. Rozszerzenie uprawnień CSIRT
   Projekt nowelizacji przyznaje właściwym CSIRT[2] uprawnienie do badania produktów, usług i procesów ICT w celu identyfikacji podatności. W tym celu CSIRT będą uprawnione do stosowania technik, które mają na celu m.in. odtworzenie postaci źródłowej oprogramowania, zwielokrotnienie kodu programowego czy tłumaczenie jego formy. Jednocześnie CSIRT nie będą związane postanowieniami umów (w szczególności umów licencyjnych) w przedmiocie badanych produktów, usług lub procesów ICT, a przeprowadzenie badania nie będzie wymagało zgody licencjodawcy lub dysponenta produktu, usługi lub procesu ICT.
4. Wprowadzenie pojęcia dostawcy wysokiego ryzyka
   Projekt nowelizacji wprowadza możliwość uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli stanowi on zagrożenie dla podstawowego interesu bezpieczeństwa państwa. W konsekwencji podmioty kluczowe, podmioty ważne oraz podmioty objęte regulacją rozporządzenia DORA nie będą mogły wprowadzać do użytkowania produktów, usług i procesów ICT pochodzących od takich dostawców, a te już wprowadzone będą musiały zostać wycofane.
5. Wprowadzenie kary pieniężnej w wysokości do 100 mln zł
   Projekt nowelizacji wprowadza możliwość nałożenia kary pieniężnej w wysokości nawet 100 mln zł na podmiot kluczowy lub ważny, który powoduje:
   • bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi;
   • zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Projekt nowelizacji będzie teraz przedmiotem obrad dwóch izb parlamentu, dlatego jego ostateczny kształt może jeszcze ulec zmianie. Ważne jest jednak, że przedstawiciele wszystkich najważniejszych ugrupowań parlamentarnych (także opozycyjnych) podkreślają wagę i potrzebę uchwalenia tej regulacji. Dlatego ma ona szansę już niedługo stać się powszechnie obowiązującym prawem.

[1] Przebieg procesu legislacyjnego: https://www.sejm.gov.pl/sejm10.nsf/PrzebiegProc.xsp?nr=1955

[2] Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego