Home page Courses and trainings Krajowy system cyberbezpieczeństwa – praktyczne wdrażanie przepisów

Krajowy system cyberbezpieczeństwa – praktyczne wdrażanie przepisów

level
Courses and trainings
Time
Language
Polish
Mode
Full-time
Location
Sosnowiec / Gliwice
Opiekun merytoryczny
Gabriela Barska
Kontakt

Your supervisor

dr Tomasz Miłkowski

gen. bryg. SOP w st. spocz.
Contact us

Cyberbezpieczeństwo

Uchwalona 23 stycznia 2026 r. ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz. U. poz. 252), stanowi istotne wyzwanie dla tysięcy podmiotów życia publicznego, w tym jednostek samorządu terytorialnego (JST) oraz przedsiębiorstw świadczących usługi dla milionów mieszkańców Polski. Nowelizacja liczy 102 strony, co w praktyce oznacza kompleksową zmianę i wprowadzenie nowego podejścia do kwestii cyberbezpieczeństwa. 

Po pierwsze:

tworzy nowe kategorie prawne: podmioty kluczowe i podmioty ważne, w miejsce dotychczasowych operatorów usług kluczowych (OUK).

Po drugie:

nakłada nowe zadania na podmioty publiczne, wskazując je w większości jako podmioty kluczowe.

Po trzecie:

włącza do tej kategorii wiele tysięcy instytucji życia społecznego, które dotychczas albo nie realizowały tego rodzaju obowiązków, albo ograniczały się do identyfikowania i zgłaszania incydentów do właściwego zespołu CERT.

Podmioty. Odpowiedzialność. Ochrona danych.

Nowe zasady

Nowy art. 5 stanowi, że do grona podmiotów kluczowych zalicza się m.in. 

  • podmioty krytyczne (a więc wszystkie podmioty zaliczane do infrastruktury krytycznej w rozumieniu ustawy o zarządzaniu kryzysowym oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych), 
  • podmioty publiczne wskazane w załączniku nr 1 do ustawy, 
  • podmioty lecznicze zatrudniające powyżej 250 osób, 
  • inne podmioty wskazane przez organ właściwy (w praktyce ministrów kierujących danym działem administracji rządowej). 

Natomiast do grona podmiotów ważnych zalicza się m.in.: 

  • podmioty wskazane w załączniku nr 2 do ustawy, 
  • Podmioty publiczne, które nie zostały zaliczone do podmiotów kluczowych, 
  • Podmioty lecznicze zatrudniające od 50 do 249 osób, 
  • Inne podmioty wskazane przez organ właściwy. 

Podmioty kluczowe objęte regulacjami

1

Samorząd gminy

Do tej kategorii zalicza się:

  • Urząd gminy, jeżeli zatrudnia na dzień 1 stycznia danego roku (w przeliczeniu na pełny wymiar czasu pracy, na podstawie umowy o pracę) co najmniej 50 osób.

2

Samorząd powiatowy

Do tej kategorii zalicza się:

  • Starostwa powiatowe – wszystkie.

3

Samorząd województwa

Do tej kategorii należą:

  • Jednostki budżetowe,

  • Zakłady budżetowe,

z wyłączeniem:

4

Inne podmioty publiczne

Do tej kategorii zalicza się jednostki sektora finansów publicznych, o których mowa w:

5

Podmioty ważne w kategorii JST

Do podmiotów ważnych zalicza się:

Przykładowe kluczowe i ważne sektory

Energia

Energia elektryczna

  • przedsiębiorstwa energetyczne

Znaczenie przepisów w praktyce

Już w tym roku oznacza to konieczność wdrożenia istotnych i szerokich zmian organizacyjnych oraz technicznych. W praktyce ich przeprowadzenie może okazać się dużym wyzwaniem.

Dlatego ustawa w wielu miejscach wskazuje na konieczność przeprowadzenia szkoleń. Przykładowo:

  • załącznik nr 4 stanowi, że system zarządzania bezpieczeństwem informacji dla podmiotu ważnego będącego podmiotem publicznym, obejmuje co najmniej (pkt 17) stosowanie środków minimalizujących wystąpienie incydentów przez szkolenie osób zaangażowanych w proces przetwarzania informacji;
  • art. 8 wskazuje, że podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem, zapewniający (ust. 2 pkt j) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu.

W tym kontekście warto zaplanować działania w sposób uporządkowany i systemowy. Oprócz szkoleń standardowych możliwe jest również wsparcie w budowie systemu ochrony bezpieczeństwa informacji zgodnego z zasadą defense in depth (segmentacja sieci, centralne zarządzanie bezpieczeństwem, monitorowanie zdarzeń, kontrola dostępu oraz formalne procedury reagowania na incydenty).

To jednak dopiero początek. Ustawa o Krajowym Systemie Cyberbezpieczeństwa będzie wymagała m.in.:

  • prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem;
  • wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, w tym polityki kontroli dostępu;
  • zbierania informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
  • zarządzania incydentami;
  • wyznaczenia co najmniej dwóch osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
  • opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego;
  • przeprowadzania, na własny koszt, co najmniej raz na 3 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.

Nie można również pominąć kwestii odpowiedzialności. Zgodnie z ustawą:

  • za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny odpowiada kierownik podmiotu kluczowego lub podmiotu ważnego (art. 8c);
  • kierownik podmiotu kluczowego lub podmiotu ważnego:
    • podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
    • planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa;
    • przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie;
    • zapewnia, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa oraz zna wewnętrzne regulacje podmiotu w tym obszarze.

Nowe obowiązki

Ustawa wprowadza także nowy rozdział (3b), zatytułowany „Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne”. 

Nowy art. 16e dopuszcza możliwość „łączenia sił”. Przykładowo: 

  1. Jednostka samorządu terytorialnego może zapewnić wspólną obsługę realizacji obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8c–8f, art. 8h, art. 9–12b lub art. 15. Do wyznaczenia jednostki obsługującej i obsługiwanej stosuje się odpowiednio przepisy art. 10a–10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2025 r. poz. 1153 i 1436), art. 6a–6d ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2025 r. poz. 1684) oraz art. 8c–8f ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2025 r. poz. 581 i 1535). 
  2. Jednostki samorządu terytorialnego mogą zawrzeć porozumienie w sprawie powierzenia jednej z nich realizacji obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8c–8f, art. 8h, art. 9–12b lub art. 15. Porozumienie może przewidywać powierzenie wykonywania obowiązków dowolnej jednostce, spośród jednostek zawierających porozumienie.

To tylko część zagadnień, które wymagają analizy i zaplanowania działań.  

Najpierw trzeba precyzyjnie ustalić, jakie obowiązki dotyczą danej jednostki. Następnie – określić, w jaki sposób można je efektywnie zrealizować. 

Połączmy siły – zyskajcie przewagę

Współpraca z nami to konkretna przewaga organizacyjna i strategiczna. Pozwala odciążyć kadrę kierowniczą i urzędników od nadmiaru informacji, zmieniających się przepisów oraz ryzyka błędnych decyzji.

Dzięki temu:

  • nie muszą się Państwo martwić ciągłymi nowelizacjami prawa,
  • zyskują Państwo uporządkowane podejście do planowania i zarządzania,
  • strategia ochrony ludności opiera się na sprawdzonych mechanizmach i realnych zasobach,
  • działania są spójne, długofalowe i odporne na zmiany otoczenia.

Dlaczego Akademia Humanitas?

Wykłady z najlepszymi specjalistami w Polsce – dowódcy i eksperci z bogatym dorobkiem naukowym i dydaktycznym, którzy realizowali operacje na szczeblu krajowym i międzynarodowym, w tym w ramach zarządzania sytuacjami kryzysowymi. Ich wiedza i umiejętności zdobyte w praktyce stanowią gwarancję najwyższego poziomu przekazywanych treści i praktycznych wskazówek
Nowoczesne metody nauczania: gry decyzyjne, case studies, symulacje, blended learning
Wsparcie w zakresie stosowania ustawy
Jako uczelnia wyższa realizujemy szkolenia bezpośrednio na podstawie obowiązujących ustaw i rozporządzeń, bez konieczności uzyskiwania dodatkowych akredytacji czy pozwoleń. Zgodnie z przepisami, uprawnienie to przysługuje wyłącznie wąskiemu gronu podmiotów — należymy do nich, co stanowi gwarancję legalności, rzetelności i wysokiego poziomu merytorycznego oferowanych szkoleń.