Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa uchwalona przez Sejm

Data publikacji: 26 stycznia 2026 r.

23 stycznia 2026 r. Sejm uchwalił nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażającą dyrektywę NIS2 do polskiego porządku prawnego. Zmiany te w istotny sposób wpływają na obowiązki podmiotów publicznych i prywatnych, podnosząc znaczenie systemowego podejścia do bezpieczeństwa informacji oraz zarządzania odpornością organizacyjną.

Kluczowe zmiany wprowadzone w nowelizacji

Nowelizacja wprowadza szereg istotnych korekt, których celem jest zwiększenie poziomu bezpieczeństwa cyfrowego w kluczowych sektorach:

• Wydłużenie terminów realizacji obowiązków

·                 Wpis do wykazu podmiotów kluczowych i ważnych: wydłużenie terminu z 3 do 6 miesięcy.

·                 Wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie: termin wydłużony z 6 do 12 miesięcy.

·                 Uruchomienie systemu S46: czas na rozpoczęcie korzystania wydłużony z 6 do 12 miesięcy. System S46 będzie wykorzystywany do zgłaszania incydentów i komunikacji z właściwymi organami.

• Odroczenie nakładania sankcji

·                 Kary finansowe będą mogły być nakładane dopiero po 2 latach od wejścia ustawy w życie.

• Doprecyzowanie zakresu podmiotów objętych ustawą

·                 Zmieniono i doprecyzowano definicje dotyczące organizacji badawczych oraz wybranych instytucji sektora naukowego, dostosowując je do zgłaszanych postulatów.

Kolejne etapy procesu legislacyjnego

Nowelizacja została przekazana do Senatu, który zajmie się nią 27 stycznia 2026 r.Jeżeli izba wyższa nie wniesie poprawek, dokument trafi do Prezydenta — z 21‑dniowym terminem na podpis. Po publikacji w Dzienniku Ustaw ustawa wejdzie w życie po 14 dniach.

W przypadku zgłoszenia poprawek projekt powróci do Sejmu, który zajmie się ich rozpatrzeniem na posiedzeniu planowanym w dniach 10–13 lutego 2026 r.

Co oznaczają nowe przepisy dla organizacji?

Wydłużone terminy i odroczenie kar zmniejszają presję czasową, ale nie eliminują konieczności realnego przygotowania organizacji do zmian. Pełna zgodność z przepisami — w szczególności w obszarach zarządzania ryzykiem, odporności operacyjnej i nadzoru nad incydentami — będzie wymagana w ciągu 12 miesięcy od wejścia ustawy w życie.

Organizacje z ISO 27001 i ISO 22301 zyskują przewagę

Podmioty, które działają zgodnie z ISO 27001 (system zarządzania bezpieczeństwem informacji), mają już ułożone procesy bardzo zbliżone do tych wymaganych przez UKSC/NIS2.Natomiast organizacje posiadające dodatkowo ISO 22301 (ciągłość działania) są w jeszcze lepszej sytuacji — normy te obejmują kluczowe obszary planowane do obowiązkowego wdrożenia w ramach nowelizacji.

W praktyce oznacza to, że organizacje z wdrożonymi standardami ISO mają istotnie ułatwioną ścieżkę do osiągnięcia zgodności z UKSC/NIS2, ponieważ duża część wymaganych procesów jest już u nich zdefiniowana, utrzymywana i regularnie weryfikowana.

Wsparcie INVOI na każdym etapie zgodności z UKSC / NIS2 dla Klientów publicznych i biznesowych

INVOI od lat wspiera organizacje w budowie i doskonaleniu systemów bezpieczeństwa oraz odporności operacyjnej. Posiadamy doświadczenie w pracy dla branż szczególnie istotnych z perspektywy KSC, takich jak:

·                 gospodarka odpadami,

• wodociągi i infrastruktura komunalna,

• energetyka,

• produkcja i przetwórstwo żywności,

• ochrona zdrowia.

W tych sektorach pomagaliśmy Klientom na różnych etapach dojrzałości operacyjnej i prawnej — od pierwszej analizy zgodności, przez budowę dokumentacji i procesów, aż po przygotowanie do audytów i wsparcie w samym procesie certyfikacji ISO.

Dzięki naszemu doświadczeniu zapewniamy kompleksowe wsparcie:

·                 ocenę, czy i w jakim zakresie organizacja podlega regulacjom UKSC/NIS2,

• analizę luk i plan działań,

• budowę lub modernizację  SZBI oraz zarządzania ryzykiem,

• przygotowanie procesów operacyjnych, dokumentacji i procedur,

• szkolenia dla kadry zarządzającej i zespołów technicznych,

• wsparcie w procesie certyfikacji ISO 27001 i ISO 22301 — jeśli organizacja zdecyduje się na formalne potwierdzenie zgodności.

Podsumowanie

Nowelizacja UKSC to kluczowy krok w kierunku ujednolicenia i podniesienia poziomu cyberbezpieczeństwa w Polsce. Przed organizacjami stoi okres intensywnych przygotowań, który warto rozpocząć jak najszybciej — szczególnie w sektorach kluczowych.Najbliższe tygodnie przyniosą ostateczne rozstrzygnięcia legislacyjne, a my będziemy monitorować sytuację i wspierać organizacje w dostosowaniu się do nowych wymogów.