wniosek o skierowanie projektu ustawy wyłącznie do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii
PrzyjętoPkt. 6 Pierwsze czytanie rządowego projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (druk nr 1955) - kontynuacja
Wyniki głosowania
Sejm przegłosował wniosek o skierowanie rządowego projektu ustawy o cyberbezpieczeństwie (wdrożenie unijnej dyrektywy NIS 2) wyłącznie do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii — wniosek przeszedł 235 głosami za, przy 193 przeciw.
Analiza
18 kwietnia 2026, 12:35
W skrócie
Chodzi o dużą reformę polskiego systemu cyberbezpieczeństwa, wymuszoną przez unijną dyrektywę NIS 2 z 2022 roku. Ustawa rozszerza listę firm i instytucji, które muszą spełniać wymogi bezpieczeństwa cyfrowego — dołączają m.in. branże spożywcza, chemiczna, pocztowa, kosmiczna i firmy zarządzające danymi w chmurze. W tym konkretnym głosowaniu Sejm zdecydował tylko o tym, żeby projekt trafił do jednej komisji (ds. cyfryzacji), a nie do kilku — to krok proceduralny, który przyspiesza ścieżkę legislacyjną.
Co się zmienia
- 1Głosowanie proceduralne: projekt skierowany wyłącznie do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii — zamiast trafiać do kilku komisji jednocześnie, co skróciło ścieżkę prac parlamentarnych.
- 2Nowy podział podmiotów: dotychczasowe kategorie 'operatorów usług kluczowych' i 'dostawców usług cyfrowych' zastąpiono kategoriami 'podmiot kluczowy' i 'podmiot ważny' (art. 1 pkt 8 i 10 druku 1955 — zmiana w art. 4 i 5 ustawy KSC; określa kto musi spełniać wymogi bezpieczeństwa).
- 3Nowe sektory objęte obowiązkami: do systemu włączono branże ścieków, zarządzania ICT, przestrzeni kosmicznej, poczty, produkcji, chemikaliów i żywności (załącznik nr 1 i 2 do ustawy — lista sektorów zobowiązanych do wdrożenia zabezpieczeń).
- 4Samorejestracja zamiast decyzji urzędowej: firmy i instytucje same zgłaszają się do elektronicznego wykazu podmiotów (system S46) w ciągu 6 miesięcy od spełnienia kryteriów (art. 1 pkt 14, art. 7c ust. 1 — zastąpił dotychczasowy tryb wyznaczania przez organ administracyjny; poprawka nr 4 z druku 2139-A wydłużyła pierwotny termin 3-miesięczny do 6 miesięcy).
- 5Odpowiedzialność kierowników: szefowie firm i instytucji objętych ustawą ponoszą osobistą odpowiedzialność za cyberbezpieczeństwo; pracownicy realizujący zadania muszą przedstawić zaświadczenie z KRK o niekaralności za przestępstwa przeciwko ochronie informacji (art. 1 pkt 17, art. 8f ust. 1 — poprawka nr 6 z druku 2139-A).
- 6Kary finansowe z 2-letnim opóźnieniem: sankcje pieniężne za naruszenia nowych przepisów będą mogły być nakładane dopiero po 2 latach od wejścia ustawy w życie (art. 34a dodany poprawką nr 16 z druku 2139-A — złożona przez PiS, rekomendowana do przyjęcia).
- 7Subfundusz cyberbezpieczeństwa dla samorządów: kary pieniężne zbierane na podstawie ustawy KSC będą zasilać wyodrębniony subfundusz wsparcia cyberbezpieczeństwa w gminach, powiatach i województwach (art. 18 druku 1955, poprawka nr 15 z druku 2139-A — zgłoszona przez Konfederację, rekomendowana do odrzucenia przez komisję).
Kogo dotyczy
Firmy i instytucje z nowych sektorów: branża spożywcza, chemiczna, pocztowa, kosmiczna, centra danych, dostawcy chmury obliczeniowej (np. usługi IaaS/PaaS/SaaS), dostawcy usług DNS i rejestrów domen (.pl itp.), operatorzy telekomunikacyjni co najmniej średniej wielkości, firmy świadczące usługi cyberbezpieczeństwa (SOC, CERT), szpitale i podmioty publiczne. Bezpośrednio dotknięci są też prezesi i dyrektorzy tych firm — odpowiadają osobiście. Samorządy lokalne zyskują potencjalne wsparcie finansowe z nowego subfunduszu.
Praktyczny wpływ
Firmy, które dotąd nie były objęte żadnymi wymogami cyberbezpieczeństwa (np. producenci żywności czy firmy chemiczne), będą musiały wdrożyć systemy zarządzania bezpieczeństwem informacji, zgłaszać incydenty cybernetyczne i rejestrować się w państwowym wykazie. Kierownicy tych podmiotów będą musieli przejść szkolenia z cyberbezpieczeństwa i nie będą mogli delegować tej odpowiedzialności w dół. Nowe przepisy dają też organom państwa uprawnienia do analizy ruchu sieciowego i czasowego blokowania podejrzanych adresów IP podczas cyberataków.
Powiązane głosowania
17 innych głosowań w tym procesie legislacyjnym
Jak głosowały partie?
Głosy posłów
460 głosów indywidualnych
