Home page Courses and trainings Krajowy system cyberbezpieczeństwa – praktyczne wdrażanie przepisów

Krajowy system cyberbezpieczeństwa – praktyczne wdrażanie przepisów

level
Courses and trainings
Time
Language
Polish
Mode
Full-time
Location
Sosnowiec / Gliwice
Opiekun merytoryczny
Gabriela Barska
Kontakt

Your supervisor

gen. bryg. SOP w st. spocz. dr Tomasz Miłkowski

Dyrektor Instytutu Nauk o Bezpieczeństwie, wykładowca
Contact us

Cyberbezpieczeństwo

Uchwalona 23 stycznia 2026 r. ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz. U. poz. 252), stanowi istotne wyzwanie dla tysięcy podmiotów życia publicznego, w tym jednostek samorządu terytorialnego (JST) oraz przedsiębiorstw świadczących usługi dla milionów mieszkańców Polski. Nowelizacja liczy 102 strony, co w praktyce oznacza kompleksową zmianę i wprowadzenie nowego podejścia do kwestii cyberbezpieczeństwa. 

Po pierwsze:

tworzy nowe kategorie prawne: podmioty kluczowe i podmioty ważne, w miejsce dotychczasowych operatorów usług kluczowych (OUK).

Po drugie:

nakłada nowe zadania na podmioty publiczne, wskazując je w większości jako podmioty kluczowe.

Po trzecie:

włącza do tej kategorii wiele tysięcy instytucji życia społecznego, które dotychczas albo nie realizowały tego rodzaju obowiązków, albo ograniczały się do identyfikowania i zgłaszania incydentów do właściwego zespołu CERT.

Podmioty. Odpowiedzialność. Ochrona danych.

Nowe zasady

Nowy art. 5 stanowi, że do grona podmiotów kluczowych zalicza się m.in. 

  • podmioty krytyczne (a więc wszystkie podmioty zaliczane do infrastruktury krytycznej w rozumieniu ustawy o zarządzaniu kryzysowym oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych), 
  • podmioty publiczne wskazane w załączniku nr 1 do ustawy, 
  • podmioty lecznicze zatrudniające powyżej 250 osób, 
  • inne podmioty wskazane przez organ właściwy (w praktyce ministrów kierujących danym działem administracji rządowej). 

Natomiast do grona podmiotów ważnych zalicza się m.in.: 

  • podmioty wskazane w załączniku nr 2 do ustawy, 
  • Podmioty publiczne, które nie zostały zaliczone do podmiotów kluczowych, 
  • Podmioty lecznicze zatrudniające od 50 do 249 osób, 
  • Inne podmioty wskazane przez organ właściwy. 

Podmioty kluczowe objęte regulacjami

1

Samorząd gminy

Do tej kategorii zalicza się:

  • Urząd gminy, jeżeli zatrudnia na dzień 1 stycznia danego roku (w przeliczeniu na pełny wymiar czasu pracy, na podstawie umowy o pracę) co najmniej 50 osób.

2

Samorząd powiatowy

Do tej kategorii zalicza się:

  • Starostwa powiatowe – wszystkie.

3

Samorząd województwa

Do tej kategorii należą:

  • Jednostki budżetowe,

  • Zakłady budżetowe,

z wyłączeniem:

4

Inne podmioty publiczne

Do tej kategorii zalicza się jednostki sektora finansów publicznych, o których mowa w:

5

Podmioty ważne w kategorii JST

Do podmiotów ważnych zalicza się:

Przykładowe kluczowe i ważne sektory

Energia

Energia elektryczna

  • przedsiębiorstwa energetyczne

Znaczenie przepisów w praktyce

Już w tym roku oznacza to konieczność wdrożenia istotnych i szerokich zmian organizacyjnych oraz technicznych. W praktyce ich przeprowadzenie może okazać się dużym wyzwaniem.

Dlatego ustawa w wielu miejscach wskazuje na konieczność przeprowadzenia szkoleń. Przykładowo:

  • załącznik nr 4 stanowi, że system zarządzania bezpieczeństwem informacji dla podmiotu ważnego będącego podmiotem publicznym, obejmuje co najmniej (pkt 17) stosowanie środków minimalizujących wystąpienie incydentów przez szkolenie osób zaangażowanych w proces przetwarzania informacji;
  • art. 8 wskazuje, że podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem, zapewniający (ust. 2 pkt j) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu.

W tym kontekście warto zaplanować działania w sposób uporządkowany i systemowy. Oprócz szkoleń standardowych możliwe jest również wsparcie w budowie systemu ochrony bezpieczeństwa informacji zgodnego z zasadą defense in depth (segmentacja sieci, centralne zarządzanie bezpieczeństwem, monitorowanie zdarzeń, kontrola dostępu oraz formalne procedury reagowania na incydenty).

To jednak dopiero początek. Ustawa o Krajowym Systemie Cyberbezpieczeństwa będzie wymagała m.in.:

  • prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem;
  • wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, w tym polityki kontroli dostępu;
  • zbierania informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
  • zarządzania incydentami;
  • wyznaczenia co najmniej dwóch osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
  • opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego;
  • przeprowadzania, na własny koszt, co najmniej raz na 3 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.

Nie można również pominąć kwestii odpowiedzialności. Zgodnie z ustawą:

  • za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny odpowiada kierownik podmiotu kluczowego lub podmiotu ważnego (art. 8c);
  • kierownik podmiotu kluczowego lub podmiotu ważnego:
    • podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
    • planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa;
    • przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie;
    • zapewnia, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa oraz zna wewnętrzne regulacje podmiotu w tym obszarze.

Nowe obowiązki

Ustawa wprowadza także nowy rozdział (3b), zatytułowany „Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne”. 

Nowy art. 16e dopuszcza możliwość „łączenia sił”. Przykładowo: 

  1. Jednostka samorządu terytorialnego może zapewnić wspólną obsługę realizacji obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8c–8f, art. 8h, art. 9–12b lub art. 15. Do wyznaczenia jednostki obsługującej i obsługiwanej stosuje się odpowiednio przepisy art. 10a–10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2025 r. poz. 1153 i 1436), art. 6a–6d ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2025 r. poz. 1684) oraz art. 8c–8f ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2025 r. poz. 581 i 1535). 
  2. Jednostki samorządu terytorialnego mogą zawrzeć porozumienie w sprawie powierzenia jednej z nich realizacji obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8c–8f, art. 8h, art. 9–12b lub art. 15. Porozumienie może przewidywać powierzenie wykonywania obowiązków dowolnej jednostce, spośród jednostek zawierających porozumienie.

To tylko część zagadnień, które wymagają analizy i zaplanowania działań.  

Najpierw trzeba precyzyjnie ustalić, jakie obowiązki dotyczą danej jednostki. Następnie – określić, w jaki sposób można je efektywnie zrealizować. 

Eksperci

retired brigadier general of the Polish Special Forces

dr Tomasz Miłkowski

Na zdjęciu nadbrygadier w st. spocz. Jacek Kleszczewski
były Komendant Wojewódzkiej Państwowej Straży Pożarnej w Katowicach
Wykładowca

nadbrygadier w st. spocz. Jacek Kleszczewski

nadbrygadier w st. spocz. Jacek Kleszczewski

Na zdjęciu nadbrygadier w st. spocz. Jacek Kleszczewski
były Komendant Wojewódzkiej Państwowej Straży Pożarnej w Katowicach
Wykładowca

nadbrygadier w st. spocz. Jacek Kleszczewski

Ceniony ekspert w dziedzinie ratownictwa i ochrony przeciwpożarowej, przez wiele lat był Komendantem Wojewódzkim Państwowej Straży Pożarnej w Katowicach. Dowodził wieloma akcjami ratowniczymi w woj. śląskim wprowadzając innowacyjne rozwiązania w zakresie ratownictwa i ochrony przeciwpożarowej.

Były Komendant Wojewódzki Policji w Katowicach.
Wykładowca

nadinsp. w st. spocz. Roman Rabsztyn

nadinsp. w st. spocz. Roman Rabsztyn

Były Komendant Wojewódzki Policji w Katowicach.
Wykładowca

nadinsp. w st. spocz. Roman Rabsztyn

Były Komendant Wojewódzki Policji w Katowicach. Twórca nowatorskiej koncepcji nowej formuły funkcjonowania służby dzielnicowych oraz struktur wykroczeniowych w polskiej policji. Dowodził największymi operacjami policyjnymi na Śląsku, w tym m.in. zabezpieczeniem „Szczytu Klimatycznego ONZ COP24”, „Światowych Dni Młodzieży” i wizyty papieża w Częstochowie oraz mistrzostwami świata w piłce siatkowej. Wykładowca i ekspert w dziedzinie bezpieczeństwa narodowego.

 

Były komendant Policji
Wykładowca

mł. insp. w st. spoczynku Dariusz Klimczak

mł. insp. w st. spoczynku Dariusz Klimczak

Były komendant Policji
Wykładowca

mł. insp. w st. spoczynku Dariusz Klimczak

Były komendant Policji z wieloletnim doświadczeniem w zabezpieczaniu imprez masowych i zarządzaniu kryzysowym. Obecnie certyfikowany audytor oraz menedżer bezpieczeństwa informacji. Specjalizuje się w projektowaniu i wdrażaniu Systemów Zarządzania Bezpieczeństwem Informacji zgodnie z normą ISO/IEC 27001. Przeprowadził liczne audyty i procesy wdrożeniowe zarówno w jednostkach samorządu terytorialnego, jak i w prywatnych firmach o zasięgu międzynarodowym. Ekspert łączący pragmatykę służb mundurowych z nowoczesnymi standardami cyberbezpieczeństwa.

Połączmy siły – zyskajcie przewagę

Współpraca z nami to konkretna przewaga organizacyjna i strategiczna. Pozwala odciążyć kadrę kierowniczą i urzędników od nadmiaru informacji, zmieniających się przepisów oraz ryzyka błędnych decyzji.

Dzięki temu:

  • nie muszą się Państwo martwić ciągłymi nowelizacjami prawa,
  • zyskują Państwo uporządkowane podejście do planowania i zarządzania,
  • strategia ochrony ludności opiera się na sprawdzonych mechanizmach i realnych zasobach,
  • działania są spójne, długofalowe i odporne na zmiany otoczenia.

Zapraszamy do współpracy przy realizacji oferty szkoleń.

Zainteresowane osoby i firmy zachęcamy do bezpośredniego kontaktu. Odpowiemy na pytania i przedstawimy szczegóły.

Zasady współpracy ustalamy indywidualnie, dopasowując je do specyfiki firmy lub instytucji. Uwzględniamy takie czynniki jak miejsce realizacji szkolenia, czas jego trwania oraz wielkość grupy, aby jak najlepiej odpowiedzieć na wskazane potrzeby i oczekiwania.

Kontakt

Dlaczego Akademia Humanitas?

Wykłady z najlepszymi specjalistami w Polsce – dowódcy i eksperci z bogatym dorobkiem naukowym i dydaktycznym, którzy realizowali operacje na szczeblu krajowym i międzynarodowym, w tym w ramach zarządzania sytuacjami kryzysowymi. Ich wiedza i umiejętności zdobyte w praktyce stanowią gwarancję najwyższego poziomu przekazywanych treści i praktycznych wskazówek
Nowoczesne metody nauczania: gry decyzyjne, case studies, symulacje, blended learning
Wsparcie w zakresie stosowania ustawy
Jako uczelnia wyższa realizujemy szkolenia bezpośrednio na podstawie obowiązujących ustaw i rozporządzeń, bez konieczności uzyskiwania dodatkowych akredytacji czy pozwoleń. Zgodnie z przepisami, uprawnienie to przysługuje wyłącznie wąskiemu gronu podmiotów — należymy do nich, co stanowi gwarancję legalności, rzetelności i wysokiego poziomu merytorycznego oferowanych szkoleń.