Podsumowanie AI

Ustawa zmienia przepisy dotyczące bezpieczeństwa systemów informacyjnych w Polsce, wdrażając europejskie dyrektywy o cyberbezpieczeństwie. Oto najważniejsze zmiany:

Podmioty objęte obowiązkami

Ustawa wprowadza nowe kategorie: podmioty kluczowe i podmioty ważne (zastępując poprzednie określenie „operatorzy usług kluczowych"). Podmiot kluczowy to np. duża firma z sektora energii, transportu, zdrowia, finansów, która świadczy usługę mającą znaczenie dla bezpieczeństwa państwa. Podmiot ważny to mniejszy podmiot z tych sektorów lub z nowych sektorów (np. dostawcy chmury, rejestry domen, wyszukiwarki). Obowiązki są proporcjonalne do wielkości i roli podmiotu.

Rejestracja i wykaz

Podmioty kluczowe i ważne muszą się zarejestrować w wykazie w ciągu 3 miesięcy od spełnienia warunków. Wykaz prowadzi minister ds. informatyzacji. Zawiera dane kontaktowe, informacje o sektorze, adres IP i domeny. Dane nie są publicznie dostępne (ochrona przed dostępem publicznym).

Obowiązki bezpieczeństwa

Podmioty muszą wdrożyć system zarządzania bezpieczeństwem informacji obejmujący:

  • Szacowanie ryzyka i zarządzanie nim
  • Bezpieczeństwo fizyczne, personelu, łańcucha dostaw
  • Plany ciągłości działania i odtworzenia po awarii
  • Monitorowanie systemów w trybie ciągłym
  • Edukację pracowników
  • Szyfrowanie komunikacji
  • Regularne aktualizacje oprogramowania

Podmioty ważne będące jednostkami publicznymi mają łagodniejsze wymogi (określone w załączniku do ustawy).

Zgłaszanie incydentów

  • Wczesne ostrzeżenie o incydencie poważnym: w ciągu 24 godzin od wykrycia
  • Pełne zgłoszenie: w ciągu 72 godzin
  • Sprawozdanie końcowe: w ciągu miesiąca

Incydent poważny to zdarzenie, które przerywa usługę, powoduje straty finansowe lub szkody dla użytkowników. Progi uznania incydentu za poważny określi rozporządzenie dla każdego sektora.

Audyty bezpieczeństwa

Podmioty kluczowe muszą przeprowadzać audyt co 3 lata (na własny koszt). Organ nadzorczy może nakazać audyt w każdej chwili, szczególnie po incydencie. Raport z audytu trzeba przedłożyć organowi w ciągu 3 dni.

**Odp

Na podstawie: tekstu projektu ustawy i uzasadnienia (druk 1955)

Podsumowanie wygenerowane przez AI — może zawierać błędy. Zgłoś błędne podsumowanie

Etapy legislacyjne

7 listopada 2025

Projekt wpłynął do Sejmu

17 listopada 2025

Skierowano do I czytania na posiedzeniu Sejmu

4 grudnia 2025

I czytanie na posiedzeniu Sejmu

Niedokończone I czytanie

Co się wydarzyło
Sejm rozpoczął dyskusję nad projektem ustawy, ale nie zakończył jej, co oznacza, że prace nad nim będą kontynuowane na kolejnym posiedzeniu.

5 grudnia 2025

I czytanie na posiedzeniu Sejmu

✓ 235 za ✗ 193 przeciw 5 wstrzymało się

9 stycznia 2026

Praca w komisjach po I czytaniu

Co się wydarzyło
Komisja wprowadziła wiele zmian, m.in. rozszerzając definicje cyberbezpieczeństwa i incydentów, dodając nowe kategorie podmiotów objętych ustawą (np. dostawców chmury, platform społecznościowych), precyzując zasady prowadzenia wykazu podmiotów kluczowych i ważnych, a także szczegółowo określając obowiązki w zakresie zarządzania bezpieczeństwem informacji, zgłaszania incydentów oraz przeprowadzania audytów bezpieczeństwa. Dodano również nowe rozdziały dotyczące obowiązków rejestrów nazw domen i wspólnego wykonywania obowiązków przez podmioty publiczne oraz rozszerzono zadania i uprawnienia CSIRT-ów, w tym możliwość przeprowadzania ocen bezpieczeństwa systemów informacyjnych.
Źródło: Sprawozdanie komisji (druk 2139)
Dokument

21 stycznia 2026

II czytanie na posiedzeniu Sejmu

Skierowano ponownie do komisji w celu przedstawienia sprawozdania

Co się wydarzyło
Projekt ustawy został ponownie skierowany do komisji, aby ta przygotowała ostateczne sprawozdanie.

22 stycznia 2026

Praca w komisjach po II czytaniu

Co się wydarzyło
Komisja wprowadziła poprawkę, która doprecyzowuje, że dane z wykazu podmiotów kluczowych i ważnych nie są publicznie dostępne, aby chronić je przed nieuprawnionym dostępem.
Źródło: Sprawozdanie komisji (druk 2139-A)
Dokument

23 stycznia 2026

III czytanie na posiedzeniu Sejmu

Uchwalono

✓ 407 za ✗ 10 przeciw 17 wstrzymało się
Co się wydarzyło
Sejm uchwalił projekt ustawy, co oznacza, że większość posłów poparła wprowadzenie zmian w przepisach o cyberbezpieczeństwie.
Źródło: Dokument źródłowy

28 stycznia 2026

Stanowisko Senatu

Nie wniósł poprawek

Co się wydarzyło
Senat przyjął projekt ustawy bez żadnych zmian.

29 stycznia 2026

Ustawę przekazano Prezydentowi do podpisu

19 lutego 2026

Prezydent podpisał ustawę

Prezydent podpisał ustawę

23 stycznia 2026

Uchwalono

Zakończono proces legislacyjny

3 kwietnia 2026

Prawo weszło w życie

Obowiązuje od 3 kwietnia 2026
Tekst ustawy w Dzienniku Ustaw