NIS2 w Polsce: stan prac nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa [sierpień 2025]

Pierwsza edycja naszego cyklicznego przeglądu stanu wdrożenia dyrektywy NIS2 w Polsce

Pomimo tego, że implementacja Dyrektywy NIS2 w Polsce powinna nastąpić do końca 2024 r., projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UC32) wciąż pozostaje na etapie prac Rządowego Centrum Legislacyjnego i nie trafił jeszcze do Sejmu. Wiele wskazuje jednak na rychłe zakończenie prac rządowych, dlatego warto przyjrzeć się aktualnemu stanowi regulacji.

Projekt ustawy w obecnym kształcie przewiduje w “nadtranspozycję” (goldplating) NIS2 wraz z rozbudową narzędzi państwa, w tym centralnego systemu S46 oraz sieci CSIRT, i akcentuje przejście z dotychczasowego modelu OUK/DUS do kategorii podmiotów kluczowych i ważnych, różnicując nadzór na ex ante oraz ex post, a także wdrażając system sankcji bardziej rygorystyczny niż w Dyrektywie NIS2.

Gdzie jesteśmy i dokąd zmierzamy?

Projekt ustawy aktualnie przewiduje: rozszerzenie katalogu sektorów objętych ustawą, ujednolicenie środków zarządzania ryzykiem dla podmiotów kluczowych i ważnych, wprowadzenie elektronicznego kanału zgłoszeń za pośrednictwem systemu S46, powołanie CSIRT sektorowych i wzmocnienie nadzoru oraz sankcji.

Dla zespołów cybersecurity i działów prawnych oznacza to już teraz konieczność bieżącego monitorowania prac nad ustawą pod kątem potencjalnej samoklasyfikacji, rejestracji w wykazie, gotowości do raportowania incydentów w oknach 24h/72h oraz zaplanowania cyklu audytowego zgodnie z kategorią podmiotu.

Kategoryzacja podmiotów: kluczowe i ważne

Projekt ustawy utrzymuje zasadę size-cap z NIS2, różnicując podmioty kluczowe i ważne w oparciu o załączniki sektorowe oraz próg wielkości przedsiębiorcy, ale wprowadza też istotne, krajowe doprecyzowania.

Do podmiotów kluczowych zaliczono, poza typowymi sektorami NIS2, m.in. dostawców usług zarządzanych w zakresie cyberbezpieczeństwa niezależnie od wielkości, rejestry TLD, dostawców DNS, kwalifikowanych dostawców usług zaufania oraz podmioty publiczne, co ma istotny wpływ na rynek usług MSSP i obowiązki podmiotów publicznych.

Podmioty ważne to co do zasady jednostki z załączników 1 i 2 do ustawy spełniające kryteria średniego przedsiębiorcy, z możliwością objęcia wybranych MŚP w określonych kategoriach (np. niekwalifikowani dostawcy usług zaufania, przedsiębiorcy komunikacji elektronicznej). Praktycznie przekłada się to na obowiązek samoklasyfikacji i samoidentyfikacji, co ma zostać zrealizowane poprzez wpis do wykazu w S46, z równoległym mechanizmem wpisu z urzędu, jeśli podmiot uchyla się od obowiązku.

Wpis do wykazu i rola S46: rejestr, zgłoszenia, wymiana informacji

Projekt przewiduje elektroniczny wykaz podmiotów kluczowych i ważnych prowadzony w systemie S46, a samorejestracja stanowi podstawowy mechanizm identyfikacji podmiotów objętych ustawą. Po wpisie podmiot ma rozpocząć korzystanie z S46, a system ma służyć nie tylko do rejestracji, lecz także do dwustopniowego raportowania incydentów, wymiany IOC/TTP, dystrybucji zaleceń i budowy świadomości sytuacyjnej. Publiczne materiały NASK i CPPC opisują S46 jako ogólnokrajowy, komunikacyjno-analityczny system rozwijany od 2021 r., z rozbudową finansowaną m.in. ze środków REACT‑EU, obejmującą zwiększenie liczby podłączonych podmiotów, dodatkowe centrum przetwarzania danych oraz podniesienie stabilności. Dokumenty wdrożeniowe podkreślają, że S46 nie pobiera logów z systemów użytkowników i przetwarza informacje wprowadzone przez uczestników, zapewniając bezpieczną, dwukierunkową wymianę danych.

Rdzeń obowiązków: SZBI, zgłaszanie 24h/72h i audyty

Trzonem wymogów są środki zarządzania ryzykiem ukierunkowane na adekwatność techniczno-organizacyjną, w tym zarządzanie podatnościami, ciągłość działania oraz kontrolę łańcucha dostaw, zgodnie z art. 21-23 ustawy. Raportowanie incydentów poważnych ma charakter etapowy: wczesne ostrzeżenie w 24 godziny, pełne zgłoszenie w 72 godziny i raport końcowy, z naturalnym kanałem w postaci S46 i właściwego CSIRT. Audyty bezpieczeństwa zostały rozdzielone: podmioty kluczowe mają wykonywać audyt cykliczny co 3 lata, a podmioty ważne audyty doraźne w trybie nadzoru ex post.

Nadzór i sankcje: ex ante dla kluczowych, ex post dla ważnych

Projekt ustawy przewiduje wzmocnienie kompetencji nadzorczych i różnicowanie modelu nadzoru zgodnie z kategorią podmiotu: prewencyjny nadzór ex ante dla podmiotów kluczowych i następczy nadzór ex post dla ważnych. Katalog środków obejmuje m.in. nakazy, żądania informacji, audyty, z możliwością nakładania kar administracyjnych za niewykonanie obowiązków ustawowych. W ostatnich iteracjach projektu ustawy doprecyzowano zasady wymiaru kar i pozostawiono górne limity bez zmian, co oznacza dla kierownictw konieczność utrzymywania silnych, dowodowych rejestrów zgodności i transparentnych procesów zarządzania ryzykiem.

Dodatkowe instrumenty: CSIRT, badania produktów ICT, polecenie zabezpieczające i DWR

Projekt wzmacnia sieć CSIRT krajowych i przewiduje rozwój CSIRT sektorowych, które mają wspierać obsługę incydentów i wymianę informacji w sektorach z załączników. Rządowe materiały opisują także licencję ustawową dla CSIRT krajowych w zakresie badania sprzętu i oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu, z zapewnieniem ochrony tajemnicy przedsiębiorstwa, co ma istotne znaczenie kontraktowe dla dostawców ICT. Wprowadzono mechanizm polecenia zabezpieczającego na czas incydentu krytycznego oraz procedurę identyfikacji dostawcy wysokiego ryzyka, skutkującą zakazem nabywania i obowiązkiem wycofania produktów, usług lub procesów ICT w określonych horyzontach czasowych, z rygorem natychmiastowej wykonalności i kontrolą sądową. Ten zestaw narzędzi administracyjnych ma zapewnić państwu zdolność szybkiej reakcji i ochrony łańcucha dostaw, lecz będzie wymagał od organizacji planowania cykli wymiany i odpowiednich klauzul w umowach.

Priorytety na najbliższe miesiące dla działóww prawnych i cybersecurity

Należy przygotować się do przeprowadzenia samoklasyfikacji i przygotować dane do wpisu w S46, zaprojektować integracje procesowe dla zgłoszeń 24h/72h, zaktualizować oraz urealnić parametry RTO/RPO dla usług krytycznych. Działy prawne i compliance powinny skorygować klauzule kontraktowe pod kątem współpracy z CSIRT, praw dostępu do danych o incydentach, uprawnień audytowych i kaskadowania wymogów NIS2 na podwykonawców. Organizacje zakwalifikowane jako podmioty kluczowe powinny zaplanować cykl audytów i zapewnić ciągłą gotowość do nadzoru ex ante, a podmioty ważne wdrożyć mechanizmy dowodowe pod kontrole ex post, pamiętając o obowiązku rozpoczęcia korzystania z S46 po wpisie.

Powyższe założenia mogą ulec zmianom na etapie sejmowym; kolejne artykuły będą aktualizować status projektu, harmonogramy rejestracji w S46, wytyczne o progach incydentów oraz praktyczne metodyki nadzoru i audytu. Stay tuned.