NEWSLETTER
NEWSLETTER
Strona głównaCyfryzacja i AI w medycyniePolska wzmacnia ochronę przed cyberzagrożeniami. Nowa ustawa wdraża unijną dyrektywę NIS2
Cyfryzacja i AI w medycyniePrawo

Polska wzmacnia ochronę przed cyberzagrożeniami. Nowa ustawa wdraża unijną dyrektywę NIS2

Aktualizacja 22-10-2025 12:59
Redakcja Alert Medyczny
Redakcja Alert Medyczny
0
Ministerstwo Cyfryzacji
Fot. Ministerstwo cyfryzacji
Spis treści ukryj

Rosnąca liczba cyberataków i coraz większe znaczenie usług cyfrowych w życiu codziennym wymusiły na państwach członkowskich Unii Europejskiej wzmocnienie systemów bezpieczeństwa. Polska odpowiada na te wyzwania – Rada Ministrów przyjęła projekt ustawy wdrażający dyrektywę NIS2. Nowe przepisy mają zwiększyć odporność państwa, instytucji i firm na zagrożenia w sieci oraz poprawić koordynację działań w przypadku incydentów. Co dokładnie się zmieni i kogo obejmą nowe obowiązki? Wyjaśniamy w szczegółach.

Z tego artykułu dowiesz się…

  • Jakie zmiany wprowadza nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa.
  • Kogo będą dotyczyć nowe obowiązki w zakresie cyberochrony – w tym firmy i instytucje publiczne.
  • Jakie uprawnienia zyskają zespoły CSIRT, minister cyfryzacji i pełnomocnik ds. cyberbezpieczeństwa.
  • Co oznacza dla przedsiębiorców procedura uznania dostawcy za dostawcę wysokiego ryzyka.

Silniejszy system, bezpieczniejsza Polska

Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który ma na celu wdrożenie unijnej dyrektywy NIS2. To odpowiedź na rosnącą skalę zagrożeń cyfrowych i konieczność lepszej ochrony zarówno instytucji publicznych, jak i prywatnych użytkowników. Jak podkreślił wicepremier i minister cyfryzacji Krzysztof Gawkowski:

Cyberzagrożenia rosną z każdym rokiem, dlatego musimy działać szybciej i skuteczniej niż ci, którzy próbują nas zaatakować. Naszym celem jest silna i bezpieczna cyfrowo Polska.

Nowelizacja wprowadza szereg zmian systemowych – od rozszerzenia listy podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa, przez nowe kompetencje instytucji, po wzmocnienie odpowiedzialności zarządczej w organizacjach.

Cyberbezpieczeństwo w ochronie zdrowia: Szpitale w gotowości, AŚZ w tyle [Dane]
ZOBACZ KONIECZNIE Cyberbezpieczeństwo w ochronie zdrowia: Szpitale w gotowości, AŚZ w tyle [Dane]

Nowe sektory objęte obowiązkami cyberbezpieczeństwa

Projekt ustawy przewiduje rozszerzenie katalogu podmiotów krajowego systemu cyberbezpieczeństwa (KSC) o nowe branże, w tym:

  • usługi pocztowe,
  • odprowadzanie ścieków,
  • przestrzeń kosmiczną,
  • produkcję i dystrybucję chemikaliów i żywności.

Dzięki temu ochrona obejmie także obszary uznawane za wrażliwe i narażone na ataki. Nowelizacja umożliwia również utworzenie sektorowych zespołów CSIRT, które będą reagować na incydenty w konkretnych branżach i tworzyć bazę wiedzy o podatnościach.

Więcej uprawnień dla instytucji odpowiedzialnych za bezpieczeństwo cyfrowe

Zgodnie z projektem ustawy, minister cyfryzacji, Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz inne instytucje zyskają nowe kompetencje. Paweł Olszewski, wiceminister cyfryzacji, zaznaczył:

W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci.

Minister cyfryzacji będzie mógł m.in. identyfikować dostawców wysokiego ryzyka, wydawać decyzje zabezpieczające oraz prowadzić programy edukacyjne. Pełnomocnik rządu zyska możliwość rekomendowania rozwiązań, żądania informacji od administracji i finansowania niezbędnego oprogramowania. Nowe zadania otrzymają również CSIRT-y, w tym CSIRT NASK, które będą wspierać większą liczbę podmiotów kluczowych i ważnych.

13 mln zł na cyberbezpieczeństwo w ochronie zdrowia. CSIRT CeZ z KPO
ZOBACZ KONIECZNIE 13 mln zł na cyberbezpieczeństwo w ochronie zdrowia. CSIRT CeZ z KPO

Nowe obowiązki dla firm – podejście oparte na analizie ryzyka

Ustawa wprowadza obowiązki dla podmiotów kluczowych i ważnych, działających w obszarach strategicznych, takich jak energetyka, transport, bankowość, wodociągi, ale też usługi pocztowe czy produkcja przemysłowa. 

Organizacje będą musiały:

  • wdrożyć system zarządzania bezpieczeństwem informacji,
  • oceniać i minimalizować ryzyko,
  • zarządzać incydentami,
  • przekazywać informacje przez system S46,
  • przeszkolić kierownictwo – które ponosić będzie również odpowiedzialność prawną.

To zmiana jakościowa – odchodzimy od sztywnych wymogów na rzecz elastycznego podejścia opartego na analizie ryzyka.

Nowe kary i odpowiedzialność osobista

Nieprzestrzeganie przepisów będzie wiązać się z sankcjami. Firmy mogą zostać ukarane m.in. za:

  • brak rejestracji w wykazie podmiotów kluczowych i ważnych,
  • nieprowadzenie systemu zarządzania bezpieczeństwem informacji,
  • niewywiązanie się z obowiązków zgłaszania incydentów.

Ponadto kierownicy podmiotów będą musieli odbyć szkolenie, a w razie uchybień – mogą zostać ukarani osobiście.

Cyberbezpieczeństwo firm medycznych w Polsce: stan, zagrożenia i dobre praktyki
ZOBACZ KONIECZNIE Cyberbezpieczeństwo firm medycznych w Polsce: stan, zagrożenia i dobre praktyki

Eliminacja dostawców wysokiego ryzyka

Jednym z ważnych mechanizmów nowelizacji jest procedura uznania dostawcy sprzętu lub usług ICT za dostawcę wysokiego ryzyka. Taką decyzję podejmować będzie minister cyfryzacji po konsultacjach z Kolegium ds. Cyberbezpieczeństwa, a potencjalnie także z UOKiK czy organizacjami społecznymi. W razie wydania decyzji:

  • podmioty strategiczne będą musiały wycofać dane technologie z systemów w ciągu 7 lat,
  • dostawcy będą mieli prawo odwołania się do sądu administracyjnego.

To narzędzie ma zabezpieczyć infrastrukturę krytyczną przed wpływem podmiotów, które mogą zagrażać bezpieczeństwu narodowemu.

Centrum Onkologii w Bydgoszczy z prawie 12 mln zł z KPO na cyfryzację i cyberbezpieczeństwo
ZOBACZ KONIECZNIE Centrum Onkologii w Bydgoszczy z prawie 12 mln zł z KPO na cyfryzację i cyberbezpieczeństwo

Strategia cyberbezpieczeństwa na nowym poziomie

Nowelizacja wzmacnia fundamenty Strategii Cyberbezpieczeństwa RP. Zakres jej obowiązywania zostanie rozszerzony na wszystkie sektory objęte nowymi regulacjami. Powstanie także Krajowy plan reagowania na incydenty i kryzysy cybernetyczne, który będzie narzędziem operacyjnym w sytuacjach zagrożenia na dużą skalę.

Celem tych działań jest poprawa ciągłości działania podstawowych usług i lepsza ochrona danych obywateli – również w sektorach dotąd mniej regulowanych.

Główne wnioski

  1. Rada Ministrów przyjęła projekt wdrażający dyrektywę NIS2, której celem jest wzmocnienie odporności cyfrowej Polski i ochrona obywateli przed cyberatakami.
  2. Nowe przepisy rozszerzają katalog podmiotów KSC – m.in. o sektory takie jak poczta, przemysł spożywczy, przestrzeń kosmiczna czy produkcja chemikaliów.
  3. Firmy uznane za podmioty kluczowe lub ważne będą musiały wdrożyć systemy zarządzania bezpieczeństwem informacji oraz raportować incydenty przez system S46.
  4. Minister cyfryzacji zyska kompetencje do eliminowania dostawców wysokiego ryzyka z infrastruktury ICT – podobnie jak w innych krajach UE.

Źródło:

  • Ministerstwo Cyfryzacji

Trzymaj rękę na pulsie.
Zaobserwuj nas na Google News!

OBSERWUJ
ikona Google News
Redakcja Alert Medyczny
Redakcja Alert Medyczny
Alert Medyczny to źródło najświeższych informacji i fachowych analiz, stworzone z myślą o profesjonalistach działających w branży medycznej i farmaceutycznej.

Ważne tematy

Trzymaj rękę na pulsie. Zapisz się na newsletter.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Więcej aktualności

Alert Medyczny to serwis informacyjny dla profesjonalistów z branży medycznej i farmaceutycznej, publikujący najnowsze wiadomości i analizy.

Wszelkie prawa zastrzeżone © alertmedyczny.pl 2025

Dowiedz się więcej

Popularne kategorie

O nas