poprawka 5
PrzyjętoPkt. 6 Sprawozdanie Komisji o rządowym projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (druki nr 1955, 2139 i 2139-A)
Wyniki głosowania
Sejm przyjął poprawkę nr 5 do nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wynikiem 256 do 167 — wprowadza ona dla instytucji publicznych i uczelni wyższych sklasyfikowanych jako „podmiot ważny" odrębny standard bezpieczeństwa informatycznego zamiast wymogów przewidzianych dla sektora prywatnego.
Analiza
18 kwietnia 2026, 16:51
W skrócie
Wielka reforma KSC wdraża unijną dyrektywę NIS 2 i nakłada na tysiące firm i instytucji nowe obowiązki cyberbezpieczeństwa — podzielono je na „podmioty kluczowe" (najważniejsze) i „podmioty ważne" (mniej krytyczne). Poprawka nr 5 dotyczy tych drugich, gdy są to urzędy lub uczelnie wyższe: zamiast spełniać taki sam standard jak firmy prywatne (art. 8 ust. 1 ustawy KSC), muszą wdrożyć system zarządzania bezpieczeństwem informacji według specjalnych, dedykowanych dla sektora publicznego wymogów z załącznika nr 4 do ustawy. Wyjątek dotyczy uczelni działających jako organizacje badawcze — te stosują uproszczone zasady tylko w zakresie zadań publicznych realizowanych przez systemy informatyczne.
Co się zmienia
- 1Podmioty ważne będące instytucjami publicznymi lub uczelniami wyższymi (wymienionymi w art. 7 ust. 1 pkt 1–4 i 6–7 ustawy Prawo o szkolnictwie wyższym i nauce — chodzi o uniwersytety, politechniki, akademie itp.) nie stosują art. 8 ust. 1 ustawy KSC (poprawka nr 5 do art. 1 pkt 16, art. 8 ust. 3 — przepis, który nakładał na nie identyczny obowiązek jak na prywatne firmy, czyli wdrożenie systemu zarządzania cyberbezpieczeństwem według pełnego standardu NIS 2).
- 2Zamiast pełnego standardu NIS 2 te instytucje muszą opracować, wdrożyć, monitorować i utrzymywać system zarządzania bezpieczeństwem informacji (ISMS — skrót od Information Security Management System, czyli zbiór polityk i procedur chroniących dane) spełniający wymogi z załącznika nr 4 do ustawy KSC (poprawka nr 5, art. 8 ust. 3 nowe brzmienie — załącznik nr 4 to dedykowany standard dla sektora publicznego, inaczej skalibrowany niż pełne wymogi komercyjne).
- 3Uczelnie wyższe będące jednocześnie organizacjami badawczymi objęte są uproszczonymi zasadami wyłącznie w zakresie, w jakim realizują zadania publiczne z wykorzystaniem systemów informacyjnych — co oznacza, że część ich działalności (stricte badawcza) może podlegać innym regułom (art. 8 ust. 3 zdanie pierwsze, in fine — doprecyzowanie zakresu stosowania wyłączenia).
Kogo dotyczy
Urzędy administracji publicznej oraz uczelnie wyższe (m.in. uniwersytety, politechniki, akademie) sklasyfikowane jako „podmiot ważny" w krajowym systemie cyberbezpieczeństwa — czyli te, które spełniają kryteria wielkości dla podmiotów ważnych, lecz nie kluczowych. Wyłączone są organizacje badawcze w zakresie działalności badawczej (nie publicznej). Poprawka NIE dotyczy firm prywatnych ani podmiotów kluczowych.
Praktyczny wpływ
Urzędy i uczelnie wyższe nie muszą wdrażać identycznego, pełnego systemu zarządzania cyberbezpieczeństwem co firmy komercyjne — dostają własny standard zawarty w załączniku nr 4, zaprojektowany z myślą o specyfice i możliwościach sektora publicznego. Oznacza to w praktyce inne (niekoniecznie mniej rygorystyczne, ale inaczej skonstruowane) wymagania organizacyjne i techniczne, co może przekładać się na niższe koszty dostosowania dla jednostek samorządowych, ministerstw czy uczelni w porównaniu ze ścieżką przewidzianą dla prywatnych przedsiębiorstw.
Powiązane głosowania
17 innych głosowań w tym procesie legislacyjnym
Jak głosowały partie?
Głosy posłów
460 głosów indywidualnych
