19 lutego 2026 roku Prezydent RP podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa[1], kończąc tym samym – trwający od lat i obejmujący liczne zmiany i wersje projektu – proces legislacyjny. Jednocześnie, Prezydent skierował ustawę do kontroli następczej przez Trybunał Konstytucyjny.
 
2 marca 2026 r. ustawa zmieniająca dotychczasową UKSC została opublikowana w Dzienniku Ustaw[2]. Tym samym, wiemy już dokładnie, kiedy rozpoczną bieg wskazane w niej terminy na dostosowanie organizacji do nowych wymagań.
 
Długo oczekiwana nowelizacja UKSC to jedna z najważniejszych zmian regulacyjnych ostatnich lat w obszarze compliance i IT. Jej geneza tkwi w obowiązku transpozycji do polskiego porządku prawnego unijnej dyrektywy NIS2[3], której celem jest wzmocnienie cyberbezpieczeństwa państw członkowskich Unii.
 
Nowelizacja wprowadza istotne zmiany w zakresie obowiązków podmiotów objętych regulacją oraz kompetencji organów nadzorczych, jednocześnie rozszerzając zakres UKSC na znacznie szerszy krąg podmiotów niż dotychczas.
 

Kogo obejmują nowe przepisy?

 
Nowelizacja wprowadza podział na podmioty kluczowe i podmioty ważne – w miejsce funkcjonujących dotychczas operatorów usług kluczowych i dostawców usług cyfrowych. Kwalifikacja do jednej z dwóch kategorii zależy od sektora działalności, rozmiaru przedsiębiorstwa i znaczenia dla gospodarki lub bezpieczeństwa państwa i odbywać będzie się na zasadzie samoidentyfikacji przez dany podmiot. Jest to jedna z zasadniczych zmian w stosunku do dotychczas funkcjonującego modelu, polegającego na uzyskiwaniu statusu operatora usług kluczowych na podstawie decyzji administracyjnej.
 
Wśród debiutujących w krajowym systemie cyberbezpieczeństwa znalazły się podmioty z m.in. następujących sektorów: zarządzenie usługami ICT (czyli technologiami informacyjno-komunikacyjnymi), usługi pocztowe, gospodarowanie odpadami, czy wybrane podmioty z sektora produkcyjno-przemysłowego (chemikalia, sektor spożywczy, wyroby medyczne, komputery i elektronika). Ponadto, poszerzony został krąg podmiotów funkcjonujących w podsektorach obszarów rynku objętych UKSC w dotychczasowym brzmieniu. I tak, np. w sektorze energetycznym, nowe przepisy obejmą operatorów infrastruktury ładowania pojazdów elektrycznych, a w sektorze infrastruktury cyfrowej – dostawców chmury obliczeniowej (którzy pod rządami dawnej UKSC kwalifikowali się jako dostawcy usług cyfrowych).
 
W praktyce oznacza to, że – zgodnie z szacunkami – obowiązki w zakresie cyberbezpieczeństwa obejmą ponad 37 500[4] podmiotów, wobec blisko 400 firm, aktualnie kwalifikowanych jako operatorzy usług kluczowych.[5]
 

Najważniejsze zmiany

 
Poza rozszerzeniem katalogu podmiotów objętych ustawą, nowelizacja zwiększa obowiązki w zakresie bezpieczeństwa cyfrowego, a podmioty objęte ustawą będą zobowiązane do wdrożenia systemowego zarządzania ryzykiem w obszarze ICT. Wprowadzono bardziej rygorystyczne wymogi dotyczące m.in. wdrożenia systemów zarządzania ciągłością czy raportowania incydentów.
 
Organy właściwe ds. cyberbezpieczeństwa zyskują szersze uprawnienia kontrolne, w tym m.in. możliwość przeprowadzenia kontroli doraźnej także wtedy, gdy nie było możliwości wcześniejszego powiadomienia podmiotu kontrolowanego o terminie przeprowadzenia kontroli czy prawo dostępu do systemów informatycznych w trybie zdalnym.
 
Zwiększona została również odpowiedzialność kadry zarządzającej i członkowie zarządu mogą ponosić wyższą osobistą odpowiedzialność za brak zapewnienia zgodności z przepisami.
 
Ustawa wprowadza również wyższe niż dotychczas kary administracyjne. Co do zasady, maksymalna wysokość kar finansowych wzrasta do 10 000 000 euro lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa (dla podmiotów ważnych jest to odpowiednio 7 000 000 euro i 1,4%). Piszemy co do zasady, ponieważ – jeżeli podmiot kluczowy albo ważny naruszą przepisy ustawy powodując bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług – górny limit kary wzrasta do 100 000 000 zł.
 
Krajowy system cyberbezpieczeństwa zostanie uszczelniony poprzez utworzenie dodatkowych CSIRT sektorowych, czyli Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (Computer Security Incident Response Team), dedykowanych dla konkretnej branży gospodarki. Wśród nich znajdą się: CSIRT Cyfra (sektor infrastruktury cyfrowej), CSIRT Infrastruktura (tworzony przy Ministerstwie Infrastruktury – dla transportu i dostępu do wody), CSIRT Sektor Ochrony Zdrowia, CSIRT dla sektora energii (planowany przez Ministerstwo Klimatu i Środowiska)
 

Dlaczego nowelizacja UKSC jest przełomowa?

 
Nowelizacja UKSC zmienia sposób myślenia o cyberbezpieczeństwie, które do tej pory było głównie domeną działów IT, postrzeganą przez pryzmat infrastruktury technicznej i jej zabezpieczeń. Od teraz cyberbezpieczeństwo przestanie być traktowane wyłącznie jako zagadnienie techniczne i stanie się jednym z podstawowych elementów ładu korporacyjnego i strategii biznesowej firmy.
 
Najdobitniej znajduje to wyraz w zmianie samej definicji cyberbezpieczeństwa, które na gruncie dotychczasowych przepisów było definiowane jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. Była więc to definicja skoncentrowana na bezpieczeństwie systemów informatycznych, mająca swą genezę w podejściu technologicznym, koncentrującym się na ochronie infrastruktury IT jako takiej, Nowe pojęcie cyberbezpieczeństwa odwołuje się natomiast do definicji zawartej w Akcie o cyberbezpieczeństwie[6], zgodnie z którą cyberbezpieczeństwo to „działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed cyberzagrożeniami.” Ta modyfikacja niesie za sobą daleko idące konsekwencje praktyczne – chronimy nie tylko systemy, ale przede wszystkim ludzi, a samo cyberbezpieczeństwo z „odporności” (stan, cecha systemów) zmienia się w „działanie” (czyli ciągły proces), odzwierciedlając wymóg proaktywnego podejścia do odporności cyfrowej organizacji.
 

Co przedsiębiorcy powinni zrobić już teraz – najważniejsze terminy

 
Ustawa wchodzi w życie po upływie miesiąca od dnia ogłoszenia.
 
Z dniem wejścia ustawy w życie, czyli 3 kwietnia 2026 r., operatorzy usług kluczowych staną się podmiotami kluczowymi.
 
Podmioty, które z dniem 3 kwietnia 2026 r. spełniają przesłanki uznania ich za podmiot kluczowy albo ważny mają 12 miesięcy na realizację obowiązków wskazanych w ustawie, w tym m.in. dostosowanie systemów zarządzania bezpieczeństwem informacji i ich dokumentacji, wdrożenie pełnego zakresu środków technicznych i organizacyjnych przewidzianych nowelizacją, czy wyznaczenie i przeszkolenie personelu odpowiedzialnego za cyberbezpieczeństwo.
 
Podmioty, które z dniem 3 kwietnia 2026 r. spełniają przesłanki uznania ich za podmiot kluczowy, przeprowadzają pierwszy audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi w terminie 24 miesięcy.
 
Do dnia 3 maja 2026 r. Minister Cyfryzacji zobligowany jest utworzyć wykaz podmiotów kluczowych i podmiotów ważnych.
 
Mając na uwadze początek biegu terminów na wdrożenie rozwiązań zgodnych z nowymi przepisami oraz szeroki i systemowy charakter nowych rozwiązań rekomendowane jest przystąpienie do prac nad wprowadzeniem nowej UKSC do organizacji jak najszybciej. Jednakże bez paniki – znaczna większość kar pieniężnych będzie mogła być nakładana dopiero po upływie 2 lat od dnia wejścia w życie ustawy.
 
Zgodnie z przepisami przejściowymi, do kontroli oraz postępowań administracyjnych w sprawie nałożenia kary pieniężnej wszczętych i niezakończonych przed dniem wejścia w życie ustawy, stosuje się przepisy dotychczasowe.
 

Rekomendacje dla podmiotów zobowiązanych – od czego zacząć?

 
Przede wszystkim firmy powinny przeprowadzić analizę, czy podlegają nowym regulacjom. Jeżeli wynik takiej weryfikacji będzie pozytywny, w pierwszej kolejności rekomendujemy przeprowadzenie oceny zgodności aktualnie wdrożonych rozwiązań z nowymi wymaganiami, w szczególności w obszarze ICT (gap analysis). W ramach dostosowywania organizacji do wymagań znowelizowanej UKSC, równolegle należy – od strony organizacyjnej – opracować harmonogram wdrożenia, w ramach którego zaplanujemy działania dostosowawcze z uwzględnieniem terminów ustawowych oraz zabezpieczyć odpowiedni budżet – po oszacowaniu kosztów niezbędnych inwestycji w infrastrukturę i procesy. Rekomendujemy również weryfikację umów z dostawcami usług IT pod kątem uwzględnienia w nich nowych wymogów compliance, w zależności od potrzeb – przegotowanie lub aktualizację procedur wewnętrznych, w tym procedur raportowania incydentów i przeszkolenie kadry zarządzającej.
 
Nowelizacja UKSC to nie tylko obowiązek regulacyjny, ale także element budowania odporności organizacyjnej, a cyberbezpieczeństwo z domeny technicznej staje się strategicznym elementem zarządzania organizacją. Warto wykorzystać moment wdrożenia nowych regulacji do rzeczywistej zmiany podejścia do cyberbezpieczeństwa, realnie zwiększając odporność na zagrożenia cybernetyczne, ale i zyskując w ten sposób przewagę konkurencyjną.
 
W razie pytań dotyczących nowelizacji i jej wpływu na Państwa organizację, zachęcamy do kontaktu z naszym zespołem specjalizującym się w prawie nowych technologii i cyberbezpieczeństwa.
 
Autorka: Aleksandra Kubiś – radca prawny w SKP Ślusarek Kubiak Pieczyk.
 
[1] Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw https://www.senat.gov.pl/download/gfx/senat/pl/senatdruki/14231/druk/609.pdf

[6] art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 07.06.2019, str. 15, z późn. zm.