12 lutego 2025 r. na stronach Rządowego Centrum Legislacji opublikowano piątą wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażającego dyrektywę NIS 21 w Polsce. Projekt, datowany na 7 lutego 2025 r., został przekazany do prac Stałego Komitetu Rady Ministrów. Zatem można stwierdzić, że w procesie wdrażania dyrektywy NIS 2 osiągnięto kolejny kamień milowy.

Nowy projekt wprowadza dość istotne zmiany w stosunku do poprzedniego projektu z grudnia 2024 r. Wprowadzone zmiany koncentrują się na dwóch obszarach:

  1. zakresie podmiotowym i obowiązkach podmiotów publicznych – zmiany dotyczą m.in. nowej klasyfikacji podmiotów publicznych jako kluczowych lub ważnych oraz obowiązków tych drugich w zakresie cyberbezpieczeństwa;
  2. środkach nadzoru – nowelizacja rozszerza kompetencje organów nadzoru oraz wprowadza zmiany w zakresie sankcji i mechanizmów kontrolnych.

W artykule omówimy szerzej wskazane zmiany, natomiast na końcu artykułu zamieszczamy jako załącznik:

  • przygotowaną przez nas scaloną wersję ustawy o krajowym systemie cyberbezpieczeństwa, uwzględniającą zmiany wprowadzane projektem nowelizacji w jego obecnej wersji z 07 lutego 2025 r. oraz
  • porównanie nowego projektu nowelizacji z jego poprzednią wersją z 2 grudnia 2024 r.

Zmiany w zakresie podmiotów publicznych

Nowa klasyfikacja podmiotów publicznych

Jedną z kluczowych zmian wprowadzonych przez nową wersję projektu nowelizacji UKSC jest nowa klasyfikacja podmiotów publicznych. Zgodnie z poprzednim projektem, wszystkie podmioty publiczne miały być kwalifikowane jako podmioty kluczowe. Obecnie wprowadzono podział na podmioty publiczne-kluczowe oraz podmioty publiczne-ważne.

  • Podmioty publiczne-kluczowe – obejmują podmioty wskazane w załączniku nr 1 w sektorze podmioty publiczne, m.in. administrację centralną, istotne instytucje publiczne oraz wybrane podmioty jednostek samorządu terytorialnego.
  • Podmioty publiczne-ważne – są to podmioty, które nie są wskazane jako podmioty publiczne-kluczowe, a jednocześnie są:
    • o samorządowymi jednostkami budżetowymi,
    • o samorządowymi zakładami budżetowymi,
    • o samorządowymi instytucjami kultury,
    • o spółkami prawa handlowego wykonującymi zadania o charakterze użyteczności publicznej, jeżeli realizują zadania publiczne z wykorzystaniem systemów informacyjnych.

Warto wskazać, że w przypadku podmiotów publicznych-ważnych, mając na uwadze redakcję przepisu, można mieć wątpliwość co do intencji ustawodawcy w zakresie stosowania kryterium „realizacji zadań publicznych z wykorzystaniem systemów informatycznych”. Przepis art. 5 ust. 2 pkt 7 projektu nowelizacji UKSC można bowiem czytać na dwa sposoby, tj. w taki sposób, że:

  • kryterium to odnosi się do wszystkich podmiotów publicznych-ważnych, czyli np. również do samorządowych jednostek budżetowych lub
  • kryterium to odnosi się jedynie do spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej.

Trudności interpretacyjne pogłębia również to, że art. 16c projektu nowelizacji UKSC określa, że podmioty publiczne realizują obowiązki wskazane enumeratywnie w ustawie (np. w zakresie wdrażania systemu bezpieczeństwa informacji, zgłaszania incydentów), jeżeli prowadzą system informacyjny w celu realizacji zadania publicznego.

Powyższa wielostopniowa redakcja przepisów i klasyfikacji podmiotowej w zakresie podlegania przez podmioty publiczne pod regulacje nowelizacji UKSC powoduje trudności w klarownej wykładni tych przepisów. Analizując je systemowo, należy rozumieć, że podmioty publiczne wskazane w ustawie są co do zasady podmiotami kluczowymi lub ważnymi, jednak nie muszą realizować części obowiązków, jeśli nie prowadzą systemu informacyjnego w celu realizacji zadania publicznego. Co istotne, jednocześnie część obowiązków nie została wyłączona dla tych podmiotów – takim obowiązkiem będzie np. stosowanie się do polecenia zabezpieczającego.

Jako postulat de lege ferenda warto zatem zaproponować, żeby w jasny sposób zredagować przepisy i jednoznacznie przesądzić, że podmiotami kluczowymi i podmiotami ważnymi są tylko te podmioty publiczne, które prowadzą system informacyjny w celu realizacji zadania publicznego. Pozwoli to uniknąć dalszych wątpliwości co do obowiązków pozostałych podmiotów publicznych.

Warto też wskazać, że przedstawiony projekt zawiera również pewne sprzeczności, stanowiące „niedoróbki” redakcyjne. Powinny one zostać poprawione w ramach prac rządowych lub sejmowych. Jedną z takim sprzeczności jest wskazanie samorządowej instytucji kultury jako podmiotu publicznego-kluczowego (poprzez odwołanie w załączniku nr 1 do podmiotów określonych w art. 9 ust. 1 pkt 13 ustawy o finansach publicznych – „państwowe i samorządowe instytucje kultury”), jednocześnie została ona ujęta jako podmiot publiczny-ważny (poprzez wskazanie w art. 5 ust. 2 pkt 7).

Zmiany w obowiązkach podmiotów publicznych

Nowy projekt nowelizacji UKSC kontynuuje trend ograniczania obciążenia wymogami regulacyjnymi podmiotów publicznych. Został on zapoczątkowany wprowadzeniem w drugiej wersji projektu nowelizacji UKSC instytucji wspólnego wykonywania obowiązków z zakresu cyberbezpieczeństwa przed podmioty publiczne (art. 16c i nast.)

Tym razem ustawodawca zdecydował się na dokonanie zróżnicowania w zakresie obowiązków dla podmiotów publicznych-kluczowych oraz publicznych-ważnych:

  • podmioty publiczne-kluczowe – podobnie jak pozostałe podmioty kluczowe (i ważne) – zobowiązane będą do wdrożenia systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym, zgodnie z art. 8 ust. 1 UKSC;
  • podmioty publiczne-ważne – nie będą stosowały art. 8 ust. 1 UKSC2, lecz zobowiązane będą do wdrożenia uproszczonego systemu zarządzania bezpieczeństwem informacji zgodnego z wymogami określonymi w nowym załączniku nr 4 do ustawy. Wymogi wskazane w tym załączniku są dość zbliżone do tych określonych w §19 Krajowych Ram Interoperacyjności (KRI)3. Załącznik nr 4 oprócz wymagań określa także fakultatywne środki zarządzania ryzykiem, które podmiot publiczny-ważny może wdrożyć dla zapewnienia wyższego poziomu cyberbezpieczeństwa

Inne uproszczenia wymagań podmiotów publicznych-ważnych

Oprócz uproszczonych wymagań w zakresie systemu zarządzania bezpieczeństwem informacji, podmioty publiczne-ważne będą miały także inne ułatwienia, tj.:

  • będą musiały wyznaczyć tylko jedną osobę do kontaktu z innymi podmiotami krajowego systemu cyberbezpieczeństwa (pozostałe podmioty kluczowe i ważne wyznaczają, co do zasady, co najmniej 2 takie osoby);
  • przy zgłaszaniu incydentów podmioty te nie będą zobowiązane do przekazywania wczesnych ostrzeżeń, sprawozdań okresowych i końcowych (przepisy w tym zakresie nie będą stosowane przez podmioty publiczne-ważne). Podmioty publiczne-ważne będą miały jedynie obowiązek dokonania zgłoszenia (właściwego) incydentu poważnego. Sposób zgłaszania nie uległ zmianie – podmioty te powinny zgłosić incydent poważny niezwłocznie, nie później niż w terminie 72 godzin od jego wykrycia.

Podmioty publiczne-ważne a zgodność z dyrektywą NIS 2

Utworzenie kategorii podmiotów publicznych-ważnych powoduje pewną niespójność z dyrektywą NIS 2, która przewiduje minimalne obowiązki dla podmiotów kluczowych i ważnych w zakresie środków zarządzania ryzykiem w cyberbezpieczeństwie czy zgłaszania incydentów. Obniżenie tych wymagań w stosunku do podmiotów publicznych-ważnych powoduje, że nie można ich postrzegać jako podmioty ważne w rozumieniu dyrektywy NIS 2 – wówczas bowiem polski ustawodawca byłby niezgodny z dyrektywą NIS 2.

Dyrektywa NIS 2 nie wymaga jednak, aby jej wymaganiami były objęte wszystkie podmioty administracji publicznej na poziomie regionalnym czy lokalnym. W tym zakresie pozostawiono swobodę decyzji państwom członkowskim. W związku z tym polski prawodawca nie musiał w ogóle obejmować podmiotów publicznych-ważnych regulacjami nowelizacji UKSC.

Obniżając wymagania dla podmiotów publicznych ważnych, ustawodawca stworzył jednak pewną quasi-kategorię podmiotów, które są podmiotami ważnymi tylko z nazwy. W kontekście zgodności z dyrektywą NIS 2 podmioty publiczne-ważne należy postrzegać jako osobny byt, tj. podmioty, które nie są podmiotami ważnymi w rozumieniu dyrektywy NIS 2, a które jednak powinny w ograniczonym zakresie spełniać wymagania nowelizacji UKSC. Dobrze byłoby zatem, aby ustawodawca, chociażby w uzasadnieniu do projektu nowelizacji UKSC, jednoznacznie wyjaśnił kategorię podmiotów publicznych będących podmiotami ważnymi i jej status.

Doprecyzowanie zasad wspólnego wykonywania obowiązków przed podmioty publiczne

Nowy projekt nowelizacji UKSC doprecyzowuje również zasady wspomnianego wcześniej wspólnego wykonywania obowiązków w zakresie cyberbezpieczeństwa przez podmioty publiczne. Instytucja ta pozwoli podmiotom publicznym nawiązać efektywną współpracę w zakresie realizacji nałożonych na nie obowiązków. Jednostki samorządu terytorialnego oraz inne podmioty publiczne będą mogły wspólnie realizować zadania związane z cyberbezpieczeństwem. Oznacza to, że kilka podmiotów publicznych będzie mogło współdzielić struktury do realizacji obowiązków w zakresie ochrony systemów informacyjnych, a w związku z tym ograniczyć koszty i obciążenia administracyjne, związane z wdrażaniem i utrzymaniem środków bezpieczeństwa.

Nowy projekt nowelizacji UKSC w ramach wspomnianych doprecyzowań wprowadza także bezpośrednie odniesienia do przepisów o samorządzie gminnym, powiatowym i województwa. Nowelizacja UKSC będzie wprowadzała zmiany w przepisach tych regulacji.

Zmiany w środkach nadzoru w nowelizacji UKSC

Drugim kluczowym obszarem zmian wprowadzonych do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 7 lutego 2024 r. są środki nadzoru. W nowym projekcie doprecyzowano mechanizmy kontrolne oraz znacząco rozszerzono uprawnienia organów właściwych do spraw cyberbezpieczeństwa.

Rozszerzenie kompetencji organów nadzorczych

Jednym z istotnych elementów nowego projektu nowelizacji jest rozszerzenie uprawnień organów właściwych do spraw cyberbezpieczeństwa. Dotychczas organy nadzorcze miały ograniczone możliwości działania i w przypadku stwierdzenia naruszeń w zakresie cyberbezpieczeństwa musiały współpracować z innymi instytucjami, np. organami wydającymi koncesje lub zezwolenia. Organ właściwy ds. cyberbezpieczeństwa w poprzednich wersjach projektu miał kierować odpowiedni wniosek do wspomnianych instytucji, które dopiero w zakresie własnych kompetencji stosowały określony środek nadzoru.

Nowa wersja przepisów pozwala organom ds. cyberbezpieczeństwa samodzielnie wydawać decyzje, na mocy których mogą m.in:

  • wstrzymać udzieloną koncesję,
  • wstrzymać działalność podmiotu prowadzącego działalność regulowaną,
  • cofnąć zezwolenie na prowadzenie działalności gospodarczej.

Niewątpliwie takie rozwiązanie usprawni i przyśpieszy proces wydawania decyzji w przedmiocie środków nadzoru. Można mieć jednak wątpliwości co do jego zgodności z Konstytucją czy innymi ustawami przyznającymi odpowiednie kompetencje organom koncesyjnym lub sądom rejestrowym.

Doprecyzowanie zasad wydawania decyzji w przedmiocie środków nadzoru

Istotną zmianą jest także doprecyzowanie zasad wydawania decyzji w zakresie środków nadzoru, m.in. wskazano, że:

  • środek nie może być stosowany dłużej niż 14 dni od daty doręczenia decyzji o jego zastosowaniu;
  • jednak, gdy podmiot kluczowy nie podjął wskazanych działań, organ właściwy ds. cyberbezpieczeństwa może ponownie wydać decyzje na kolejne 14-dniowe okresy do czasu usunięcia uchybień;
  • organ właściwy ds. cyberbezpieczeństwa uchyla decyzję w sprawie środków nadzoru (na wniosek lub z urzędu) po usunięciu uchybień lub zaprzestaniu naruszeń.

Bardziej precyzyjne zasady stosowania środków nadzoru

Nowy projekt doprecyzowuje także procedury stosowania środków nadzoru, aby zapewnić ich większą przejrzystość oraz egzekwowalność:

  • konieczność wskazania terminu działań naprawczych – organ nadzoru, kierując do podmiotu kluczowego pismo z ostrzeżeniem o naruszeniu, musi wskazać termin, w jakim podmiot powinien podjąć określone działania naprawcze. Wcześniej przepisy nie regulowały tego w sposób precyzyjny.
  • doprecyzowanie środka nadzoru w postaci zakazu pełnienia funkcji zarządczych – piąty projekt nowelizacji UKSC wprowadza doprecyzowanie, że zakaz pełnienia funkcji zarządczych w podmiocie kluczowym nie może doprowadzić do całkowitego uniemożliwienia funkcjonowania tego podmiotu. Oznacza to, że organ nadzoru musi uwzględniać konieczność zapewnienia minimalnego poziomu działalności podmiotu, aby umożliwić mu wdrożenie środków naprawczych.
  • kontrole doraźne – doprecyzowano, że kontrola doraźna może być prowadzona także w celu sprawdzenia, czy podmiot usunął wcześniej stwierdzone uchybienia lub wykonał zalecenia pokontrolne;
  • zasady publikacji decyzji o środkach nadzoru – informacje o wydanych decyzjach w zakresie środków nadzoru będą publikowane w Biuletynie Informacji Publicznej organu nadzorczego. Wyjątek stanowią informacje prawnie chronione, które nie podlegają upublicznieniu.

Zmiany w zakresie kar finansowych dla kierowników podmiotów kluczowych i ważnych

Aktualny projekt zmienił także przepisy dotyczące nakładania kar finansowych na osoby zarządzające podmiotami kluczowymi i ważnymi. Dwukrotnie zmniejszono maksymalny wymiar kary pieniężnej, jaką może otrzymać kierownik podmiotu kluczowego lub ważnego. Obecnie wynosi ona maksymalnie 300% wynagrodzenia ukaranego, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

    Co dalej z projektem nowelizacji UKSC?

    Ministerstwo Cyfryzacji prowadziło niedawno konsultacje dotyczące ujednolicania przepisów nowelizacji UKSC z ustawą wdrażającą dyrektywę CER4 – ustawą o zarządzaniu kryzysowym. Może to sugerować, że przed skierowaniem projektu do parlamentu czeka nas jeszcze co najmniej jedna wersja projektu ze zmianami merytorycznymi.

    Przekazanie projektu do prac Stałego Komitetu Rady Ministrów świadczy jednak o zaawansowanym etapie prac rządowych. Można spodziewać się dalszych intensywnych prac, biorąc pod uwagę, że termin implementacji dyrektywy NIS 2 minął 17 października 2024 r. Przemawia za tym również fakt, że kwestie bezpieczeństwa są jednym z priorytetów polskiej prezydencji w Radzie UE.

    Tekst ujednolicony projektu nowelizacji UKSC

    • wersja scalona ustawy o ksc – PDF
    250313_TKP_UKSC_wersja_scalona_7.02.2025Pobierz
    • porównanie wersji piątek z wersją czwartą – PDF
    250313_TKP_UKSC_porównanie_02.12.24_vs_07.02.25Pobierz
    1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80). ↩︎
    2. Na potrzeby czytelności artykułu autorzy, odwołując się do jednostek redakcyjnych UKSC, mają na myśli odwołania do jednostek redakcyjnych, które funkcjonowałyby w tekście znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa, gdyby projekt nowelizacji UKSC został przyjęty w brzmieniu obowiązującym w projekcie z dnia 7 lutego 2025 r., tj. tak jak w wersji scalonej, która stanowi załącznik do artykułu. ↩︎
    3. Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. poz. 773). ↩︎
    4. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz. U. UE. L. z 2022 r. Nr 333, str. 164). ↩︎