głosowanie nad całością projektu.
PrzyjętoPkt. 6 Sprawozdanie Komisji o rządowym projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (druki nr 1955, 2139 i 2139-A)
Wyniki głosowania
Sejm uchwalił nowelizację ustawy o krajowym systemie cyberbezpieczeństwa wynikiem 407 do 10 — zdecydowaną większością wszystkich sił politycznych, w tym niemal całego PiS, mimo że partia wcześniej sprzeciwiała się kilku kontrowersyjnym poprawkom. Polska wdroży tym samym unijną dyrektywę NIS 2 i rozszerzy obowiązki cyberbezpieczeństwa na tysiące nowych firm i instytucji.
Analiza
09 marca 2026, 22:09
W skrócie
Polska dostała nowe prawo o cyberbezpieczeństwie, którego wymagała Unia Europejska (dyrektywa NIS 2 — unijna ustawa nakazująca państwom wzmocnić ochronę sieci i systemów komputerowych). Tysiące firm i instytucji, których wcześniej prawo nie obejmowało — jak producenci żywności, firmy z sektora kosmicznego czy spółki wodno-kanalizacyjne — będą musiały teraz dbać o swoje systemy komputerowe według nowych, szczegółowych zasad. Szefowie tych firm (prezesi, dyrektorzy, kierownicy) zyskują osobistą odpowiedzialność za cyberbezpieczeństwo i muszą co roku przejść obowiązkowe szkolenie z tej dziedziny.
Co się zmienia
- 1Rozszerzenie katalogu sektorów objętych obowiązkami cyberbezpieczeństwa o: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję przemysłową, chemikalia i żywność — dotychczas były to tylko energia, transport, zdrowie, bankowość i infrastruktura cyfrowa (uzasadnienie druku 1955 — wdrożenie dyrektywy NIS 2, pkt 1.4)
- 2Zastąpienie starych kategorii prawnych nowymi: 'podmiot kluczowy' (duże firmy i instytucje pod stałym nadzorem organów — kontrole przed incydentem i po nim) oraz 'podmiot ważny' (średnie firmy — nadzór wyłącznie po incydencie); różnica ma kluczowe znaczenie dla zakresu i częstotliwości kontroli (uzasadnienie druku 1955 — rozdział o podmiotach kluczowych i ważnych)
- 3Obowiązkowa samorejestracja tysięcy firm i instytucji w nowym wykazie podmiotów kluczowych i ważnych — 3 miesiące od spełnienia kryteriów na zgłoszenie się; firmy publiczne, telekomunikacyjne i dostawcy usług zaufania zostaną wpisani z urzędu przez ministra ds. informatyzacji (uzasadnienie druku 1955 — wykaz podmiotów kluczowych i ważnych)
- 4Osobista odpowiedzialność kierownika podmiotu (prezesa, dyrektora, zarządu) za cyberbezpieczeństwo firmy lub instytucji — odpowiada nawet jeśli powierzy zadania innej osobie; obowiązkowe roczne szkolenie z cyberbezpieczeństwa dla całego kierownictwa (uzasadnienie druku 1955 — zadania kierownictwa)
- 5Obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) obejmującego: regularne oceny ryzyka, plany ciągłości działania (BCP — co zrobić gdy system padnie), plany awaryjne, ciągłe monitorowanie systemów oraz ochronę łańcucha dostaw sprzętu i oprogramowania (art. 8 ustawy o KSC w nowym brzmieniu — druk 1955)
- 6Pracownicy realizujący zadania z zakresu cyberbezpieczeństwa muszą przedstawiać zaświadczenie o niekaralności za przestępstwa przeciwko ochronie informacji — weryfikuje kierownik podmiotu (uzasadnienie druku 1955 — niekaralność personelu)
- 7Powołanie nowych CSIRT sektorowych — specjalistycznych zespołów reagowania na ataki komputerowe w poszczególnych branżach (np. energetyka, transport, zdrowie); dotychczas działały tylko trzy ogólnopolskie: CSIRT GOV w ABW, CSIRT NASK i CSIRT MON (uzasadnienie druku 1955, pkt 1.1 i 1.4)
Kogo dotyczy
Duże i średnie firmy z nowych sektorów objętych ustawą: producenci żywności, firmy z branży kosmicznej, spółki chemiczne, zakłady wodno-kanalizacyjne, firmy pocztowe; firmy telekomunikacyjne i dostawcy internetu (w tym mniejsi — dotychczas poza systemem); dostawcy usług chmurowych (cloud computing — np. IaaS, SaaS), centrów danych i sieci CDN (serwerów przyspieszających ładowanie stron); dostawcy usług DNS (systemu zamieniającego adresy IP na nazwy stron) i rejestrów domen internetowych (np. NASK dla domen .pl); podmioty publiczne — urzędy centralne, izby administracji skarbowej, prokuratury okręgowe, samorządy powiatowe i gminne; kierownicy (prezesi, dyrektorzy, zarządy) wszystkich objętych podmiotów — personalnie.
Praktyczny wpływ
Firmy i instytucje będą musiały zatrudnić lub przeszkolić specjalistów ds. cyberbezpieczeństwa oraz wdrożyć sformalizowane procedury zarządzania ryzykiem i zgłaszania incydentów — to realne koszty dostosowania, które w niektórych branżach mogą zostać przerzucone na klientów w postaci wyższych cen usług (uzasadnienie druku 1955, pkt 1.6). Firmy spoza Unii Europejskiej świadczące usługi w Polsce będą musiały wyznaczyć oficjalnego przedstawiciela w kraju — po to, by polskie służby cyberbezpieczeństwa miały z kim rozmawiać w razie incydentu. Samorządowe podmioty ważne (np. mniejsze spółki komunalne) dostaną uproszczone wymogi z zakresu cyberbezpieczeństwa zawarte w nowym załączniku 4 do ustawy o KSC, co ma zmniejszyć obciążenia dla małych gmin.
Kontrowersje
Przepisy o tzw. dostawcach wysokiego ryzyka — czyli mechanizm umożliwiający wykluczenie określonych producentów sprzętu telekomunikacyjnego z budowy sieci 5G w Polsce — były przedmiotem debaty publicznej w kontekście chińskich firm (głównie Huawei). W toku głosowań nad poprawkami dwie z nich (nr 2 i nr 14) przeszły wyłącznie głosami koalicji rządzącej przy niemal jednolitym sprzeciwie PiS (odpowiednio 161 i 174 posłów przeciw), co wskazuje, że dotyczyły politycznie wrażliwych przepisów ustawy — prawdopodobnie właśnie zakresu uprawnień nadzorczych rządu wobec prywatnych firm lub zasad oceny ryzyka dostawców sprzętu do sieci 5G.
Powiązane głosowania
17 innych głosowań w tym procesie legislacyjnym
Jak głosowały partie?
Głosy posłów
460 głosów indywidualnych
