Podsumowanie AI
Ustawa zmienia przepisy dotyczące bezpieczeństwa systemów informacyjnych w Polsce, wdrażając europejskie dyrektywy o cyberbezpieczeństwie. Oto najważniejsze zmiany:
Podmioty objęte obowiązkami
Ustawa wprowadza nowe kategorie: podmioty kluczowe i podmioty ważne (zastępując poprzednie określenie „operatorzy usług kluczowych"). Podmiot kluczowy to np. duża firma z sektora energii, transportu, zdrowia, finansów, która świadczy usługę mającą znaczenie dla bezpieczeństwa państwa. Podmiot ważny to mniejszy podmiot z tych sektorów lub z nowych sektorów (np. dostawcy chmury, rejestry domen, wyszukiwarki). Obowiązki są proporcjonalne do wielkości i roli podmiotu.
Rejestracja i wykaz
Podmioty kluczowe i ważne muszą się zarejestrować w wykazie w ciągu 3 miesięcy od spełnienia warunków. Wykaz prowadzi minister ds. informatyzacji. Zawiera dane kontaktowe, informacje o sektorze, adres IP i domeny. Dane nie są publicznie dostępne (ochrona przed dostępem publicznym).
Obowiązki bezpieczeństwa
Podmioty muszą wdrożyć system zarządzania bezpieczeństwem informacji obejmujący:
- Szacowanie ryzyka i zarządzanie nim
- Bezpieczeństwo fizyczne, personelu, łańcucha dostaw
- Plany ciągłości działania i odtworzenia po awarii
- Monitorowanie systemów w trybie ciągłym
- Edukację pracowników
- Szyfrowanie komunikacji
- Regularne aktualizacje oprogramowania
Podmioty ważne będące jednostkami publicznymi mają łagodniejsze wymogi (określone w załączniku do ustawy).
Zgłaszanie incydentów
- Wczesne ostrzeżenie o incydencie poważnym: w ciągu 24 godzin od wykrycia
- Pełne zgłoszenie: w ciągu 72 godzin
- Sprawozdanie końcowe: w ciągu miesiąca
Incydent poważny to zdarzenie, które przerywa usługę, powoduje straty finansowe lub szkody dla użytkowników. Progi uznania incydentu za poważny określi rozporządzenie dla każdego sektora.
Audyty bezpieczeństwa
Podmioty kluczowe muszą przeprowadzać audyt co 3 lata (na własny koszt). Organ nadzorczy może nakazać audyt w każdej chwili, szczególnie po incydencie. Raport z audytu trzeba przedłożyć organowi w ciągu 3 dni.
**Odp
Na podstawie: tekstu projektu ustawy i uzasadnienia (druk 1955)
Etapy legislacyjne
7 listopada 2025
Projekt wpłynął do Sejmu
17 listopada 2025
Skierowano do I czytania na posiedzeniu Sejmu
4 grudnia 2025
I czytanie na posiedzeniu Sejmu
Niedokończone I czytanie
5 grudnia 2025
I czytanie na posiedzeniu Sejmu
9 stycznia 2026
Praca w komisjach po I czytaniu
21 stycznia 2026
II czytanie na posiedzeniu Sejmu
Skierowano ponownie do komisji w celu przedstawienia sprawozdania
22 stycznia 2026
Praca w komisjach po II czytaniu
23 stycznia 2026
III czytanie na posiedzeniu Sejmu
Uchwalono
28 stycznia 2026
Stanowisko Senatu
Nie wniósł poprawek
29 stycznia 2026
Ustawę przekazano Prezydentowi do podpisu
19 lutego 2026
Prezydent podpisał ustawę
23 stycznia 2026