📄 Tekst ustawy
MONITOR POLSKI
DZIENNIK URZĘDOWY RZECZYPOSPOLITEJ POLSKIEJ
Warszawa, dnia 23 marca 2026 r.
Poz. 309
UCHWAŁA NR 92
RADY MINISTRÓW
z dnia 10 marca 2026 r.
w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej
Na podstawie art. 68 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2026 r. poz. 20
i 252) Rada Ministrów uchwala, co następuje:
§ 1. Przyjmuje się Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, zwaną dalej „Strategią Cyberbezpieczeństwa”, stanowiącą załącznik do uchwały.
§ 2. Członkowie Rady Ministrów oraz organy i jednostki organizacyjne im podległe lub przez nich nadzorowane współpracują z ministrem właściwym do spraw informatyzacji przy realizacji Strategii Cyberbezpieczeństwa.
§ 3. Minister właściwy do spraw informatyzacji przedstawia Radzie Ministrów, w terminie do dnia 30 września danego
roku, informację o realizacji Strategii Cyberbezpieczeństwa.
§ 4. Pierwszą informację o realizacji Strategii Cyberbezpieczeństwa minister właściwy do spraw informatyzacji przedstawi Radzie Ministrów w terminie sześciu miesięcy od dnia wejścia w życie niniejszej uchwały.
§ 5. Uchwała wchodzi w życie z dniem następującym po dniu ogłoszenia.
Prezes Rady Ministrów: D. Tusk
Monitor Polski
–2–
Poz. 309
Załącznik
Załącznik
do uchwały
nr 92 Rady Ministrów
do
uchwały
nr 92
z dnia 10 marca 2026 r. (M.P. poz. 309)
Rady Ministrów
z dnia 10 marca 2026 r.
(M.P. poz. …)
Strategia Cyberbezpieczeństwa
Rzeczypospolitej Polskiej
Strona 1 z 74
Monitor Polski
–3–
Poz. 309
Spis treści
Spis treści ....................................................................................................................................................... 2
Wykaz stosowanych skrótów ......................................................................................................................... 4
1. Wstęp – przesłanki do działań zwiększających cyberbezpieczeństwo .................................................... 7
2. Kontekst strategiczny cyberbezpieczeństwa w Rzeczypospolitej Polskiej ............................................. 8
3. Zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej ....................................................... 10
4. Wizja, cel główny, cele szczegółowe .................................................................................................... 11
4.1. Wizja ................................................................................................................................................. 11
4.2. Cel główny ........................................................................................................................................ 11
4.3. Cele szczegółowe .............................................................................................................................. 11
5. Cel szczegółowy 1. Rozwój krajowego systemu cyberbezpieczeństwa ................................................ 13
5.1. Doskonalenie krajowego systemu cyberbezpieczeństwa .................................................................. 13
5.2. Podniesienie efektywności krajowego systemu cyberbezpieczeństwa.............................................. 15
5.3. Rozwój zintegrowanego systemu wymiany informacji na potrzeby zapewnienia ciągłości
funkcjonowania administracji państwowej, bezpieczeństwa narodowego i ochrony ludności ......... 17
5.4. Zwiększanie cyberbezpieczeństwa podmiotów nadzorowanych przez organy właściwe do spraw
cyberbezpieczeństwa ......................................................................................................................... 18
5.5. Wypracowanie i wdrożenie metodyki szacowania ryzyka na poziomie krajowym .......................... 19
6. Cel szczegółowy 2. Przeciwdziałanie i zwalczanie cyberprzestępczości oraz uzyskanie zdolności do
prowadzenia pełnego spektrum działań w cyberprzestrzeni ................................................................. 20
6.1. Wprowadzenie regulacji skuteczniej pozwalających zwalczać cyberprzestępczość ......................... 20
6.2. Wzmocnienie wyspecjalizowanych struktur zwalczania cyberprzestępczości ................................. 22
6.3. Podnoszenie zdolności analitycznych organów ścigania, służb specjalnych i wymiaru
sprawiedliwości przy wykorzystaniu nowych technologii ................................................................ 22
6.4. Podniesienie skuteczności wymiaru sprawiedliwości i organów ścigania przez wymianę wiedzy
i doświadczeń z zakresu cyberbezpieczeństwa oraz metod wykorzystywanych przez sprawców
cyberprzestępstw ............................................................................................................................... 23
6.5. Zwalczanie cyberterroryzmu i cyberszpiegostwa.............................................................................. 23
Strona 2 z 74
Monitor Polski
–4–
Poz. 309
6.6. Uzyskanie zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni ...................... 24
7. Cel szczegółowy 3. Podniesienie poziomu odporności systemów informacyjnych w sferze publicznej
(w tym militarnej) oraz prywatnej ......................................................................................................... 27
7.1. Podniesienie poziomu odporności systemów informacyjnych .......................................................... 27
7.2. Rozwój krajowej kryptologii, w tym migracja do kryptografii postkwantowej oraz rozwój
technologii kwantowych.................................................................................................................... 28
7.3. Rozwiązania chmurowe dla wzmocnienia odporności systemów informacyjnych .......................... 29
7.4. Rozwój zdolności do skutecznego zapobiegania i reagowania na incydenty cyberbezpieczeństwa . 30
7.5. Rozwój standaryzacji w cyberbezpieczeństwie................................................................................. 30
7.6. Współpraca publiczno-prywatna w obszarze cyberbezpieczeństwa ................................................. 31
8. Cel szczegółowy 4. Zwiększanie potencjału krajowej bazy technologiczno-przemysłowej oraz
wzmocnienie suwerenności technologicznej Rzeczypospolitej Polskiej w obszarze
cyberbezpieczeństwa ............................................................................................................................. 32
8.1. Wzmocnienie bezpieczeństwa łańcucha dostaw na poziomie krajowym i międzynarodowym ........ 32
8.2. Stymulowanie badań, rozwoju i innowacji w obszarze cyberbezpieczeństwa .................................. 34
9. Cel szczegółowy 5. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego
systemu cyberbezpieczeństwa oraz obywateli i przedsiębiorców ......................................................... 36
9.1. Zwiększenie świadomości i wiedzy oraz wzmocnienie kompetencji kadr podmiotów krajowego
systemu cyberbezpieczeństwa ........................................................................................................... 36
9.2. Rozwój świadomości i wiedzy obywateli i przedsiębiorców z zakresu cyberbezpieczeństwa ......... 37
10. Cel szczegółowy 6. Wzmocnienie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w
obszarze cyberbezpieczeństwa .............................................................................................................. 40
10.1. Aktywna współpraca międzynarodowa na poziomie strategiczno-politycznym i prawnym .......... 40
10.2. Aktywna współpraca międzynarodowa na poziomie operacyjnym i technicznym ........................ 41
10.3. Koordynacja działań na arenie międzynarodowej w zakresie współpracy cywilno-wojskowej w
obszarze cyberbezpieczeństwa .......................................................................................................... 42
11. Zarządzanie Strategią Cyberbezpieczeństwa Rzeczypospolitej Polskiej .............................................. 43
12. Finansowanie ......................................................................................................................................... 44
Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej ..................... 45
Strona 3 z 74
Monitor Polski
–5–
Poz. 309
Wykaz stosowanych skrótów
1) ABW – Agencja Bezpieczeństwa Wewnętrznego;
2) akt o cyberbezpieczeństwie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881
z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds.
Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii
informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013;
3) akt o cyberodporności – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847
z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie
cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie
zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828;
4) AW – Agencja Wywiadu;
5) B+R – badania i rozwój;
6) B+R+I – badania, rozwój i innowacje;
7) CBZC – Centralne Biuro Zwalczania Cyberprzestępczości;
8) CPPC – Centrum Projektów Polska Cyfrowa;
9) CSAM – treści przedstawiające wykorzystywanie seksualne dzieci;
10) CSIRT – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego;
11) CTI – rozpoznawanie zagrożeń w cyberprzestrzeni;
12) DEP – Program Cyfrowa Europa;
13) DKWOC – Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni;
14) DLT – technologia rozproszonego rejestru;
15) DUC – dostawca usług cyfrowych;
16) dyrektywa 2022/2556 – dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia
14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE,
2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu
do operacyjnej odporności cyfrowej sektora finansowego;
17) dyrektywa CER – dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia
14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady
2008/114/WE;
18) dyrektywa NIS – dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca
2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci
i systemów informatycznych na terytorium Unii;
19) dyrektywa NIS 2 – dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia
14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu
cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014
i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148;
20) EBSI – Europejska Infrastruktura Usług Blockchain;
21) ECCC – Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych
w dziedzinie Cyberbezpieczeństwa;
22) ECSC – Eksperckie Centrum Szkolenia Cyberbezpieczeństwa;
23) ENISA – Agencja Unii Europejskiej ds. Cyberbezpieczeństwa;
24) EUCC – Europejski system certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach;
25) ICS – przemysłowe systemy sterowania;
26) ICT – technologie informacyjno-telekomunikacyjne;
27) IK – infrastruktura krytyczna;
Strona 4 z 74
Monitor Polski
–6–
Poz. 309
28) IŁ – Instytut Łączności – Państwowy Instytut Badawczy;
29) Inicjatywa WIIP – Inicjatywa „Wspólna Infrastruktura Informatyczna Państwa”;
30) IoT – Internet Rzeczy;
31) ISAC – Centrum Wymiany i Analizy Informacji;
32) IT – technologie informacyjne;
33) JST – jednostki samorządu terytorialnego;
34) Kodeks Sieci – rozporządzenie delegowane Komisji (UE) 2024/1366 z dnia 11 marca 2024 r.
uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez
ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów
cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej;
35) KNF – Komisja Nadzoru Finansowego;
36) KG PSP – Komenda Główna Państwowej Straży Pożarnej;
37) KG SG – Komenda Główna Straży Granicznej;
38) Kodeks karny – ustawa z dnia 6 czerwca 1997 r. – Kodeks karny;
39) KSC – krajowy system cyberbezpieczeństwa;
40) MAP – Ministerstwo Aktywów Państwowych, urząd obsługujący ministra właściwego do
spraw aktywów państwowych;
41) MC – Ministerstwo Cyfryzacji, urząd obsługujący ministra właściwego do spraw
informatyzacji;
42) MEN – Ministerstwo Edukacji Narodowej, urząd obsługujący ministra właściwego do spraw
oświaty i wychowania;
43) MF – Ministerstwo Finansów, urząd obsługujący ministra właściwego do spraw budżetu,
ministra właściwego do spraw finansów publicznych i ministra właściwego do spraw instytucji
finansowych;
44) MI – Ministerstwo Infrastruktury, urząd obsługujący ministra właściwego do spraw transportu,
ministra właściwego do spraw gospodarki morskiej, ministra właściwego do spraw żeglugi
śródlądowej i ministra właściwego do spraw gospodarki wodnej;
45) ME – Ministerstwo Energii, urząd obsługujący ministra właściwy do spraw energii i ministra
właściwego do spraw gospodarki surowcami energetycznymi;
46) MKSS – Minister Koordynator Służb Specjalnych;
47) MNiSW – Ministerstwo Nauki i Szkolnictwa Wyższego, urząd obsługujący ministra
właściwego do spraw szkolnictwa wyższego i nauki;
48) MON – Ministerstwo Obrony Narodowej;
49) MRiT – Ministerstwo Rozwoju i Technologii, urząd obsługujący ministra właściwego do spraw
gospodarki oraz ministra właściwego do spraw budownictwa, planowania i zagospodarowania
przestrzennego oraz mieszkalnictwa;
50) MS – Ministerstwo Sprawiedliwości;
51) MSWiA – Ministerstwo Spraw Wewnętrznych i Administracji, urząd obsługujący ministra
właściwego do spraw wewnętrznych, ministra właściwego do spraw administracji publicznej
i ministra właściwego do spraw wyznań religijnych oraz mniejszości narodowych i etnicznych;
52) MSZ – Ministerstwo Spraw Zagranicznych, urząd obsługujący ministra właściwego do spraw
zagranicznych i ministra właściwego do spraw członkostwa Rzeczypospolitej Polskiej w Unii
Europejskiej;
53) MZ – Ministerstwo Zdrowia, urząd obsługujący ministra właściwego do spraw zdrowia;
54) NASK – Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy;
55) NATO – Organizacja Traktatu Północnoatlantyckiego;
56) NCBR – Narodowe Centrum Badań i Rozwoju;
57) NCC-PL – Krajowe Centrum Kompetencji Cyberbezpieczeństwa;
Strona 5 z 74
Monitor Polski
–7–
Poz. 309
58) NCH – Krajowy Cyber Hub;
59) OChK – Operator Chmury Krajowej;
60) ONZ – Organizacja Narodów Zjednoczonych;
61) OUK – operator usługi kluczowej;
62) organ właściwy – organ właściwy do spraw cyberbezpieczeństwa, o którym mowa w art. 41
ustawy o KSC;
63) OT – technologie operacyjne;
64) QKD – kwantowa dystrybucja klucza;
65) PCOC – Połączone Centrum Operacyjne Cyberbezpieczeństwa;
66) Pełnomocnik – Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa;
67) Plan działań – Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa Rzeczypospolitej
Polskiej;
68) PK – Prokuratura Krajowa;
69) PWCyber – Program Współpracy w Cyberbezpieczeństwie;
70) PZP – ustawa z dnia 11 września 2019 r. – Prawo zamówień publicznych;
71) RM – Rada Ministrów;
72) RCB – Rządowe Centrum Bezpieczeństwa;
73) RP – Rzeczpospolita Polska;
74) RON – resort obrony narodowej;
75) rozporządzenie 2022/2554 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554
z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego
i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE)
nr 909/2014 oraz (UE) 2016/1011;
76) SBŁP – System Bezpiecznej Łączności Państwowej;
77) SKW – Służba Kontrwywiadu Wojskowego;
78) Strategia – Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej;
79) SWW – Służba Wywiadu Wojskowego;
80) SZ RP – Siły Zbrojne Rzeczypospolitej Polskiej;
81) UE – Unia Europejska;
82) UKE – Urząd Komunikacji Elektronicznej;
83) ustawa o KSC – ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
84) ustawa o KSCC – ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji
cyberbezpieczeństwa;
85) WIŁ – Wojskowy Instytut Łączności – Państwowy Instytut Badawczy.
Strona 6 z 74
Monitor Polski
–8–
Poz. 309
1. Wstęp – przesłanki do działań zwiększających cyberbezpieczeństwo
Od czasu przyjęcia uchwałą nr 125 Rady Ministrów z dnia 22 października 2019 r.1) Strategii
Cyberbezpieczeństwa Rzeczypospolitej Polskiej (Strategia) na lata 2019–2024, rozwój społeczny
i gospodarczy niezmiennie pozostaje zależny od szybkiego i nieskrępowanego dostępu do informacji
oraz jej wykorzystania w zarządzaniu, produkcji, sektorze usług oraz sektorze publicznym. Działania
podjęte na podstawie Strategii na lata 2019–2024 pozwoliły, aby wszystkie sektory polskiej gospodarki
rozwijały się w wymiarze cyfrowym, a społeczeństwo i państwo funkcjonowały w sposób zapewniający
możliwy do osiągnięcia poziom cyberbezpieczeństwa.
Poziom zagrożeń w cyberprzestrzeni nadal jednak wzrasta w wymiarze globalnym i krajowym, gdyż
pojawiają się nowe rodzaje zagrożeń oraz wzrasta aktywność grup prowadzących nielegalne działania
w świecie cyfrowym, począwszy od haktywistów, przez grupy cyberprzestępcze o charakterze
zarobkowym, po grupy powiązane z innymi państwami lub wręcz bezpośrednio działające w ramach
instytucji nieprzyjaznych państw. Zagrożenia te mają wpływ na codzienne funkcjonowanie,
bezpieczeństwo i prywatność obywateli (w szczególności dzieci, młodzieży oraz seniorów),
przedsiębiorstw i instytucji publicznych.
Diametralne zmiany w środowisku bezpieczeństwa skutkują m.in. trwającymi nieustannie wrogimi
i szkodliwymi działaniami w cyberprzestrzeni. Rosyjska pełnoskalowa agresja na Ukrainę wiązała się
także z wysokim natężeniem cyberataków na jej systemy informacyjne i infrastrukturę informatyczną.
Obiektem coraz liczniejszych cyberataków stała się również polska cyberprzestrzeń, których część jest
elementem niespotykanych dotychczas na taką skalę działań hybrydowych podejmowanych wobec
Rzeczypospolitej Polskiej (RP) oraz innych krajów Unii Europejskiej (UE) i Organizacji Traktatu
Północnoatlantyckiego (NATO). Tocząca się walka o dominację gospodarczą, obejmująca m.in.
produkty i surowce niezbędne dla rozwoju technologii (w tym tzw. wojna o chipy), digitalizacja i rozwój
usług cyfrowych dodatkowo przyspieszone przez pandemię COVID-19, rozwój nowych
i przełomowych technologii (takich jak sztuczna inteligencja czy technologie kwantowe), mających
wpływ na wszystkie obszary funkcjonowania społeczeństw, gospodarek i systemów bezpieczeństwa
narodowego, to najważniejsze czynniki przyczyniające się do diametralnego przeobrażania się świata.
Mają one również wpływ na bezpieczeństwo cyberprzestrzeni.
Poważne kryzysy, takie jak pandemia COVID-19 oraz wojna Federacji Rosyjskiej z Ukrainą, pokazały,
jak ważne jest zapewnienie bezpieczeństwa łańcucha dostaw i jak jego zakłócenia mogą mieć
negatywne wielosektorowe i transgraniczne skutki gospodarcze i społeczne. Wobec powyższego
zapewnienie cyberbezpieczeństwa łańcucha dostaw na potrzeby utrzymania krytycznej działalności
społecznej i gospodarczej, ciągłości działania administracji publicznej i Sił Zbrojnych Rzeczypospolitej
Polskiej (SZ RP) oraz usług realizowanych na ich rzecz staje się kluczowym wyzwaniem, przed jakim
stoi RP.
W obliczu nowych zagrożeń i rosnącej ich skali, biorąc pod uwagę ich transgraniczny charakter,
szczególne znaczenie ma współpraca na arenie międzynarodowej w ramach organizacji
międzynarodowych, takich jak UE, NATO czy Organizacja Narodów Zjednoczonych (ONZ), oraz
w formacie dwustronnym i wielostronnym, w szczególności z najbliższymi sojusznikami i partnerami.
Rolą państwa jest podjęcie działań, które pozwolą systemowo zwiększać poziom cyberbezpieczeństwa
krajowego i ograniczać ryzyka związane z cyberprzestrzenią, a w szczególności zapewnić odporność na
zagrożenia kluczowych zasobów i usług z punktu widzenia działalności społecznej, gospodarczej,
administracji publicznej oraz bezpieczeństwa i obronności państwa. Przyjęcie nowej Strategii wynika
z 5-letnich ram czasowych określonych w ustawie z dnia 5 lipca 2018 r. o krajowym systemie
cyberbezpieczeństwa2) (ustawa o KSC) oraz jest podyktowane zmianami, jakie zachodzą na świecie.
Przyjęcie nowej Strategii musi być także spójne z innymi dokumentami strategicznymi oraz polityką
państwa wewnętrzną i zagraniczną we wszystkich obszarach funkcjonowania.
1)
2)
M.P. poz. 1037.
Dz. U. z 2026 r. poz. 20 i 252.
Strona 7 z 74
Monitor Polski
–9–
Poz. 309
2. Kontekst strategiczny cyberbezpieczeństwa w Rzeczypospolitej Polskiej
Niniejsza Strategia jest kontynuacją i rozszerzeniem działań, podejmowanych przez administrację
rządową, mających na celu podniesienie poziomu cyberbezpieczeństwa w RP.
W zakresie aktów legislacyjnych poprzednie działania obejmowały wejście w życie ustawy o KSC wraz
z jej nowelizacjami. Ustawa ta wdrożyła do polskiego porządku prawnego dyrektywę Parlamentu
Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego
wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa
NIS)3).
Zakończyły się prace legislacyjne nad nowelizacją ustawy o KSC, która ma na celu wdrożenie
dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie
środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii,
zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę
(UE) 2016/1148 (dyrektywa NIS 2)4). W rezultacie znacząco zostanie zmodyfikowany krajowy system
cyberbezpieczeństwa (KSC), w szczególności przez rozszerzenie katalogu podmiotów objętych tymi
regulacjami.
Ponadto ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa5)
(ustawa o KSCC) dostosowywała polski porządek prawny do obowiązków wynikających
z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie
ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa
w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE)
nr 526/2013 (akt o cyberbezpieczeństwie)6). Regulacje te stanowią ważne uzupełnienie KSC w zakresie
certyfikacji.
W zakresie dokumentów strategicznych poprzednie działania obejmowały przyjęcie przez rząd:
1) w 2013 r. Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, przyjętej uchwałą
nr 111/2013 Rady Ministrów z dnia 25 czerwca 2013 r. w sprawie Polityki Ochrony
Cyberprzestrzeni Rzeczpospolitej Polskiej7);
2) w 2017 r. Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata
2017–2022, przyjętych uchwałą nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r.
w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata
2017–20228);
3) w 2019 r. Strategii na lata 2019–2024, przyjętej uchwałą nr 125 Rady Ministrów z dnia
22 października 2019 r. w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na
lata 2019–20249).
Kwestia cyberbezpieczeństwa ujęta jest także w Strategii Bezpieczeństwa Narodowego
Rzeczypospolitej Polskiej zatwierdzonej w 2020 r. przez Prezydenta Rzeczypospolitej Polskiej, jak
również będzie uwzględniona w przygotowywanej nowej Strategii Bezpieczeństwa Narodowego
Rzeczypospolitej Polskiej, w związku z czym zostanie zachowana spójność strategiczna między
niniejszą Strategią a Strategią Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej. Przy
opracowywaniu Strategii wzięto także pod uwagę trwające prace nad Strategią Rozwoju Polski do
2035 r. – nową średniookresową strategią rozwoju kraju.
Dz. Urz. UE L 194 z 19.07.2016, str. 1.
Dz. Urz. UE L 333 z 27.12.2022, str. 80 oraz Dz. Urz. UE L 2025/90884 z 06.11.2025.
5)
Dz. U. poz. 1017.
6)
Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025.
7)
Uchwała niepublikowana w M.P.
8)
Uchwała niepublikowana w M.P.
9)
M.P. poz. 1037.
3)
4)
Strona 8 z 74
Monitor Polski
– 10 –
Poz. 309
Strategia jest spójna z głównymi celami i działaniami określonymi w Strategii UE w zakresie
cyberbezpieczeństwa na cyfrową dekadę10). Jej realizacja, przez wzmocnienie krajowego systemu
cyberbezpieczeństwa, przełoży się również na podniesienie poziomu cyberodporności UE.
Niniejsza Strategia zastąpi Strategię na lata 2019–2024, obejmując działania od 2025 r., na okres
kolejnych 5 lat, to jest do 2029 r.
Zamierzeniem niniejszego dokumentu jest określenie celów strategicznych oraz odpowiednich środków
politycznych i regulacyjnych, mających na celu podniesienie poziomu odporności w wymiarze
cyberbezpieczeństwa, zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym,
prywatnym oraz promowanie wiedzy i dobrych praktyk umożliwiających obywatelom lepszą ochronę
ich własnych danych i informacji. Realizacja celów strategicznych ma również wpływać na podniesienie
poziomu bezpieczeństwa narodowego, zdolności do rozpoznawania cyberzagrożeń i osiągnięcie
zdolności do prowadzenia działań w cyberprzestrzeni defensywnych i ofensywnych, neutralizacji
zagrożeń ze strony grup hakerskich powiązanych z obcymi państwami, zwiększenie skuteczności
organów ścigania i wymiaru sprawiedliwości w wykrywaniu i zwalczaniu cyberprzestępstw oraz działań
o charakterze hybrydowym (w tym działań o charakterze terrorystycznym) i szpiegowskim
w cyberprzestrzeni. Ważnym uzupełnieniem, istotnym dla całego bezpieczeństwa narodowego, są
zdolności przewidywania i prognozowania rozwoju sytuacji (foresight) oraz wnioskowania na
podstawie danych (data science).
Strategia jest spójna z prowadzonymi działaniami dotyczącymi bezpieczeństwa systemów
teleinformatycznych operatorów infrastruktury krytycznej (IK) oraz zmianami systemowymi
wynikającymi z przygotowywanego wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu
Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów
krytycznych i uchylającej dyrektywę Rady 2008/114/WE (dyrektywa CER)11). Uwzględnia również
potrzeby zapewnienia SZ RP zdolności do prowadzenia działań militarnych w układzie krajowym,
sojuszniczym i koalicyjnym w przypadku zagrożenia cyberbezpieczeństwa powodującego konieczność
działań obronnych.
Podejmując działania mające na celu wdrożenie Strategii, rząd będzie w pełni gwarantował prawo do
prywatności oraz stał na stanowisku, że wolny i otwarty internet jest istotnym elementem
funkcjonowania współczesnego społeczeństwa. Jednocześnie istotne jest, aby prawo do prywatności nie
utrudniało identyfikacji cyberprzestępców oraz ich ścigania i nie zapewniało im bezkarności.
Wspólny komunikat do Parlamentu Europejskiego i Rady „Strategia UE w zakresie cyberbezpieczeństwa
na cyfrową dekadę”, Bruksela, 16.12.2020 r., JOIN (2020) 18 final.
11)
Dz. Urz. UE L 333 z 27.12.2022, str. 164.
10)
Strona 9 z 74
Monitor Polski
– 11 –
Poz. 309
3. Zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej
Strategia obejmuje w szczególności12):
1) cele i priorytety w zakresie cyberbezpieczeństwa;
2) podmioty zaangażowane we wdrażanie i realizację Strategii;
3) środki służące realizacji celów Strategii;
4) określenie środków w zakresie gotowości, reagowania i przywracania stanu normalnego, w tym
zasady współpracy między sektorem publicznym i prywatnym;
5) podejście do oceny ryzyka;
6) działania odnoszące się do programów edukacyjnych, informacyjnych i szkoleniowych
dotyczących cyberbezpieczeństwa;
7) działania odnoszące się do planów badawczo-rozwojowych w zakresie cyberbezpieczeństwa.
Strategia uwzględnia również materię przeciwdziałania i zwalczania cyberprzestępczości oraz
uzyskania zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni.
Ponadto Strategia uwzględnia międzynarodową współpracę w zakresie cyberbezpieczeństwa.
Strategia, przyjęta w drodze uchwały Rady Ministrów (RM), oddziałuje w sposób bezpośredni na
podmioty administracji rządowej, a w sposób pośredni, po przyjęciu z inicjatywy RM przepisów prawa
powszechnie obowiązującego, na pozostałe podmioty, w tym m.in. na przedsiębiorców i obywateli.
Cyberbezpieczeństwo jest pośrednio związane z zagadnieniami takimi jak bezpieczeństwo przestrzeni
informacyjnej, wojna kognitywna i dezinformacja. Uwzględniając zakres Strategii określony w ustawie
o KSC, ustawową definicję cyberbezpieczeństwa oraz całość ustawy o KSC, które nie obejmują
bezpośrednio tych zagadnień, Strategia uwzględnia je wyłącznie w odniesieniu do działań dotyczących
wzmacniania odporności na zagrożenia hybrydowe, które łączą kampanie dezinformacyjne
z cyberatakami, oraz w odniesieniu do budowania świadomości obywateli w zakresie
cyberbezpieczeństwa i odporności społecznej na wrogie działania w cyberprzestrzeni.
12)
Art. 69 ust. 1 i 2 ustawy o KSC.
Strona 10 z 74
Monitor Polski
– 12 –
Poz. 309
4. Wizja, cel główny, cele szczegółowe
4.1.
Wizja
Zapewnienie bezpieczeństwa oraz pomyślny rozwój RP, wzrost jej zasobności, efektywności
gospodarki, sprawności działania instytucji, podmiotów, w tym aktywność społeczna oraz codzienne
funkcjonowanie każdego członka społeczeństwa, są związane ze sprawnym i bezpiecznym działaniem
systemów informacyjnych i środków komunikacji elektronicznej. Dlatego w ramach działań
zaplanowanych w Strategii rząd będzie systematycznie wzmacniał i rozwijał KSC. Działania
uwzględniają systemowe rozwiązania organizacyjne, finansowe, operacyjne, technologiczne, prawne,
kreowanie postaw społecznych oraz prowadzenie badań naukowych i prac rozwojowych, jak również
rozwój polskiej branży cyberbezpieczeństwa, w sposób zapewniający spełnienie wysokich standardów
cyberbezpieczeństwa w obszarze oprogramowania, urządzeń i usług cyfrowych. Działania rządu będą
podejmowane z poszanowaniem praw i wolności obywateli oraz przez budowę zaufania między
administracją rządową a poszczególnymi sektorami rynkowymi. W obszarze międzynarodowym
działania rządu będą ukierunkowane na wzajemnie korzystną współpracę oraz promowanie i ochronę
otwartej, wolnej, stabilnej i bezpiecznej cyberprzestrzeni opartej na prawach człowieka, podstawowych
wolnościach, demokracji i praworządności.
4.2. Cel główny
Podniesienie poziomu odporności krajowych podmiotów przez zwiększenie poziomu ochrony
informacji oraz zwiększenie zdolności do wykrywania i reagowania na zagrożenia, promowanie wiedzy
i dobrych praktyk oraz podnoszenie kompetencji w zakresie cyberbezpieczeństwa w sektorze
publicznym (w tym militarnym), prywatnym, a także wśród obywateli.
4.3. Cele szczegółowe
Cel szczegółowy 1. Rozwój krajowego systemu cyberbezpieczeństwa.
Cel szczegółowy 2. Przeciwdziałanie i zwalczanie cyberprzestępczości oraz uzyskanie zdolności do
prowadzenia pełnego spektrum działań w cyberprzestrzeni.
Cel szczegółowy 3. Podniesienie poziomu odporności systemów informacyjnych w sferze publicznej
(w tym militarnej) oraz prywatnej.
Cel szczegółowy 4. Zwiększanie potencjału krajowej bazy technologiczno-przemysłowej oraz
wzmocnienie
suwerenności
technologicznej
Rzeczypospolitej
Polskiej
w
obszarze
cyberbezpieczeństwa.
Cel szczegółowy 5. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego
systemu cyberbezpieczeństwa oraz obywateli i przedsiębiorców.
Cel szczegółowy 6. Wzmocnienie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej
w obszarze cyberbezpieczeństwa.
Strona 11 z 74
Kierunki
interwencji
Cele szczegółowe
Cel główny
Monitor Polski
– 13 –
Strona 12 z 74
Podniesienie poziomu odporności krajowych podmiotów przez zwiększenie poziomu ochrony informacji oraz zwiększenie zdolności do wykrywania i reagowania na zagrożenia, promowanie wiedzy i dobrych praktyk oraz
podnoszenie kompetencji w zakresie cyberbezpieczeństwa w sektorze publicznym (w tym militarnym), prywatnym, a także wśród obywateli
1. Rozwój krajowego systemu
2. Przeciwdziałanie i zwalczanie
3. Podniesienie
poziomu
4. Zwiększanie
potencjału
5. Budowanie
świadomości,
6. Wzmocnienie silnej pozycji
cyberbezpieczeństwa
cyberprzestępczości
oraz
odporności
systemów
krajowej
bazy
wiedzy i kompetencji kadr
międzynarodowej
uzyskanie
zdolności
do
informacyjnych w sferze
technologicznopodmiotów
krajowego
Rzeczypospolitej
Polskiej
prowadzenia pełnego spektrum
publicznej (w tym militarnej)
przemysłowej
oraz
systemu cyberbezpieczeństwa
w obszarze
działań w cyberprzestrzeni
oraz prywatnej
wzmocnienie suwerenności
oraz
obywateli
cyberbezpieczeństwa
technologicznej
i przedsiębiorców
Rzeczypospolitej
Polskiej
w obszarze
cyberbezpieczeństwa
1.1 Doskonalenie krajowego
2.1
Wprowadzenie
regulacji
3.1
Podniesienie
poziomu
4.1 Wzmocnienie bezpieczeństwa
5.1 Zwiększenie świadomości
6.1
Aktywna
współpraca
systemu
skuteczniej
pozwalających
odporności
systemów
łańcucha dostaw na poziomie
i wiedzy oraz wzmocnienie
międzynarodowa
na
cyberbezpieczeństwa
zwalczać cyberprzestępczość
informacyjnych
krajowym
kompetencji kadr podmiotów
poziomie
strategicznoi międzynarodowym
krajowego
systemu
politycznym i prawnym
cyberbezpieczeństwa
1.2 Podniesienie efektywności
2.2
Wzmocnienie
3.2 Rozwój krajowej kryptologii,
4.2 Stymulowanie badań, rozwoju
5.2 Rozwój świadomości i wiedzy
6.2
Aktywna
współpraca
krajowego
systemu
wyspecjalizowanych struktur
w
tym
migracja
do
i innowacji w obszarze
obywateli i przedsiębiorców
międzynarodowa
na
cyberbezpieczeństwa
cyberbezpieczeństwa
z zakresu
zwalczania
kryptografii postkwantowej
poziomie
operacyjnym
cyberbezpieczeństwa
cyberprzestępczości
oraz
rozwój technologii
i technicznym
kwantowych
1.3 Rozwój zintegrowanego
2.3
Podnoszenie
zdolności
3.3 Rozwiązania chmurowe dla
6.3 Koordynacja działań na
systemu wymiany informacji
analitycznych
organów
wzmocnienia
odporności
arenie
międzynarodowej
na potrzeby zapewnienia
ścigania, służb specjalnych
w zakresie
współpracy
systemów informacyjnych
ciągłości
funkcjonowania
i wymiaru
cywilno-wojskowej
sprawiedliwości
administracji
państwowej,
w obszarze
przy wykorzystaniu nowych
bezpieczeństwa narodowego
cyberbezpieczeństwa
technologii
i ochrony ludności
1.4
Zwiększanie
2.4 Podniesienie skuteczności
3.4 Rozwój zdolności do
cyberbezpieczeństwa
organów
ścigania
przez
skutecznego zapobiegania i
podmiotów nadzorowanych
reagowania na incydenty
wymianę
wiedzy
przez organy właściwe do
cyberbezpieczeństwa
i doświadczeń z zakresu
spraw cyberbezpieczeństwa
cyberbezpieczeństwa
oraz
metod
wykorzystywanych
przez
sprawców
cyberprzestępstw
1.5 Wypracowanie i wdrożenie
2.5 Zwalczanie cyberterroryzmu
3.5 Rozwój standaryzacji w
metodyki szacowania ryzyka
i cyberszpiegostwa
cyberbezpieczeństwie
na poziomie krajowym
2.6 Uzyskanie zdolności do
3.6
Współpraca
publicznoprowadzenia
pełnego
prywatna
w
obszarze
spektrum
działań
cyberbezpieczeństwa
w cyberprzestrzeni
Tabela 1. Układ celów i kierunków interwencji
Poz. 309
Monitor Polski
– 14 –
Poz. 309
5. Cel szczegółowy 1. Rozwój krajowego systemu cyberbezpieczeństwa
5.1.
Doskonalenie krajowego systemu cyberbezpieczeństwa
KSC formalnie został ustanowiony w 2018 r. przez uchwalenie ustawy o KSC. Jednak system ten
w praktyce istniał od lat i wciąż ewoluuje. Istotne zmiany w funkcjonowaniu KSC nastąpią wraz
z nowelizacją ustawy o KSC, która zaimplementuje do polskiego porządku prawnego dyrektywę NIS 2,
przyjętą w 2022 r. Jednak przygotowywane zmiany ustawowe nie dotyczą tylko implementacji prawa
UE, ale są też odpowiedzią na zidentyfikowane potrzeby zmian, jak również wynikają z postępu
technologicznego, nowych zagrożeń i ewolucji środowiska bezpieczeństwa.
Najważniejsze zmiany wynikające z implementacji dyrektywy NIS 2 są związane z zastąpieniem przez
ten akt prawny dotychczasowego podziału na operatorów usług kluczowych (OUK) i dostawców usług
cyfrowych (DUC), na podmioty kluczowe i podmioty ważne. Ponadto rozszerzeniu ulegnie katalog
sektorów objętych dyrektywą NIS 2. Dyrektywa ta określa również szereg obowiązków podmiotów
kluczowych i podmiotów ważnych. Jako podstawowy obowiązek należy wskazać stosowanie
odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu
zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez
te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi
incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Przez
nowelizację ustawy o KSC zostaną wdrożone także postanowienia unijnego zestawu środków dla
cyberbezpieczeństwa sieci 5G (Toolbox 5G).
Ponadto uchwalona w dniu 23 stycznia 2026 r. nowelizacja ustawy o KSC dotyczy w szczególności:
1) rozszerzenia katalogu podmiotów KSC o nowe sektory gospodarki;
2) nałożenia obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe
i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
3) wprowadzenia obowiązku zgłaszania incydentów przez podmioty kluczowe i podmioty ważne,
za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do
właściwych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT)
sektorowych i CSIRT poziomu krajowego;
4) utworzenia CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne
w obsłudze incydentów cyberbezpieczeństwa;
5) wzmocnienia kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa
(organów właściwych);
6) wprowadzenia nowych administracyjnych kar pieniężnych za niewykonanie obowiązków
ustawowych przez podmioty kluczowe i podmioty ważne;
7) wprowadzenia Krajowego planu reagowania
w cyberbezpieczeństwie na dużą skalę;
na
incydenty i
sytuacje
kryzysowe
8) rozszerzenia kompetencji ministra właściwego do spraw informatyzacji (organ ten będzie mógł
dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też
wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki
trwającego incydentu krytycznego);
9) rozszerzenia kompetencji ministra właściwego do spraw informatyzacji i Ministra Obrony
Narodowej o zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na
dużą skalę;
10) rozszerzenia zakresu zadań CSIRT-ów poziomu krajowego (CSIRT MON, CSIRT NASK
i CSIRT GOV), które będą mogły m.in. przeprowadzić ocenę bezpieczeństwa systemów
informacyjnych wykorzystywanych przez podmioty KSC i prowadzić działania w zakresie
identyfikowania podatności systemów dostępnych w otwartych sieciach teleinformatycznych;
Strona 13 z 74
Monitor Polski
– 15 –
Poz. 309
11) wprowadzenia odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za
realizację zadań z zakresu cyberbezpieczeństwa.
Ocena KSC wskazuje na potrzebę lepszej koordynacji i zinstytucjonalizowanego zarządzania
cyberbezpieczeństwem na poziomie krajowym. W związku z tym w nowelizacji ustawy o KSC zostanie
wzmocniona rola Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa (Pełnomocnik), który otrzyma
więcej uprawnień, aby lepiej zarządzać i koordynować KSC. Funkcja Pełnomocnika zostanie na stałe
związana z urzędem obsługującym ministra właściwego do spraw informatyzacji. Pełnomocnik zostanie
także przewodniczącym Zespołu do spraw Incydentów Krytycznych, a do urzędu go obsługującego
zostanie przeniesiona obsługa tego Zespołu. Rola Pełnomocnika będzie dalej wzmacniana. Będzie on
koordynował w porozumieniu z Ministrem Obrony Narodowej działania w zakresie współpracy
cywilno-wojskowej w obszarze cyberbezpieczeństwa w czasie pokoju. Pozwoli to zwiększyć
efektywność działań i należycie zsynchronizować aktywności w obszarze cyberbezpieczeństwa
podejmowane zarówno w sferze wojskowej, jak i cywilnej, a przez to skuteczniej realizować cele
strategiczne.
W uchwalonej zmianie ustawy o KSC sformalizowane zostanie funkcjonowanie Połączonego Centrum
Operacyjnego Cyberbezpieczeństwa (PCOC), które działa od 2022 r. Formuła spotkań koordynacyjnych
w formacie PCOC, w których biorą udział przedstawiciele kluczowych dla cyberbezpieczeństwa kraju
instytucji, dzięki szybkiej wymianie informacji i sprawnemu reagowaniu na pojawiające się incydenty
cyberbezpieczeństwa, stanowi istotną wartość dodaną dla KSC.
W kolejnym kroku nastąpi rozszerzenie charakteru PCOC przez utworzenie pod tą nazwą komórki
organizacyjnej w urzędzie obsługującym ministra właściwego do spraw informatyzacji, która będzie
organizacyjnie i merytorycznie obsługiwać Pełnomocnika i spotkania PCOC, koordynować z ramienia
Pełnomocnika działania instytucji zapewniających cyberbezpieczeństwo na poziomie krajowym oraz
realizować część zadań ministra właściwego do spraw informatyzacji przewidzianych w ustawie o KSC.
Docelowo PCOC zostanie przekształcone w centralną instytucję zapewniającą cyberbezpieczeństwo
na poziomie krajowym, dysponującą odpowiednią pozycją ustrojową, kompetencjami, zasobami
osobowymi, budżetem i infrastrukturą. Nowa instytucja będzie pełnić funkcję koordynującą w KSC,
a także będzie stanowić „jedno okienko” dla podmiotów KSC i obywateli w zakresie zgłaszania
incydentów, jak również będzie odpowiadać za wsparcie działań Pełnomocnika. Pozwoli to jeszcze
bardziej zwiększyć efektywność systemu i zapewni sprawniejsze reagowanie na zagrożenia
w cyberprzestrzeni. Wnioski krajowe oraz z innych państw pokazują, że potrzebne jest powołanie do
życia nowej instytucji centralnej, odpowiedzialnej za cyberbezpieczeństwo w skali całego państwa,
pozwalającej w sposób centralny zarządzać cyberbezpieczeństwem w RP. W związku
z rozbudowywaniem i komplikacją przepisów dotyczących cyberbezpieczeństwa na poziomie UE,
PCOC będzie wspierać działania mające na celu upraszczanie i harmonizację wdrażania przepisów
dotyczących cyberbezpieczeństwa, w tym identyfikowanie obszarów przenikania się regulacji,
synchronizację działań i uproszczenie procedur dla podmiotów zobowiązanych do stosowania regulacji
związanych z cyberbezpieczeństwem.
Jednocześnie ważnym uzupełnieniem KSC jest ustawa o KSCC, która wprowadziła system certyfikacji
cyberbezpieczeństwa w RP oraz procedury niezbędne do zapewnienia prawidłowości procesów
certyfikacyjnych.
W obliczu rosnącej liczby aktów prawa UE i prawa krajowego dotyczących cyberbezpieczeństwa będą
prowadzone działania, które pozwolą zadbać o ich należytą harmonizację i skoordynowane wdrażanie.
Do porządku krajowego zaimplementowane zostaną lub zostanie zapewnione stosowanie także
sektorowych regulacji UE, w tym rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554
z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego
i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE)
nr 909/2014 oraz (UE) 2016/1011 (rozporządzenie 2022/2554)13) oraz dyrektywy Parlamentu
Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw
13)
Dz. Urz. UE L 333 z 27.12.2022, str. 1 oraz Dz. Urz. UE L 2024/90177 z 12.03.2024.
Strona 14 z 74
Monitor Polski
– 16 –
Poz. 309
2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366
oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego14).
5.2.
Podniesienie efektywności krajowego systemu cyberbezpieczeństwa
Wzrastająca skala zagrożeń oraz związane z tym zwiększanie zakresu działań w ramach KSC stwarzają
konieczność ciągłego monitorowania i poprawiania efektywności całego systemu, aby należycie
zapewniać bezpieczeństwo polskiej cyberprzestrzeni i koordynować służące temu działania.
Podnoszenie efektywności funkcjonowania KSC jest realizowane m.in. przez uruchomiony z dniem
1 stycznia 2021 r. przez ministra właściwego do spraw informatyzacji system S46 wspierający:
1) współpracę podmiotów wchodzących w skład KSC;
2) generowanie i przekazywanie rekomendacji dotyczących działań podnoszących poziom
cyberbezpieczeństwa;
3) zgłaszanie i obsługę incydentów cyberbezpieczeństwa;
4) szacowanie ryzyka na poziomie krajowym;
5) ostrzeganie o cyberzagrożeniach;
6) czynności nadzorcze organów właściwych;
7) dokonywanie zgłoszenia naruszenia ochrony danych osobowych.
System S46 będzie rozwijany, w tym przez zwiększenie jego efektywności oraz wprowadzenie nowych
funkcjonalności, takich jak gromadzenie informacji o podmiotach kluczowych i podmiotach ważnych
(po wejściu w życie projektowanej nowelizacji ustawy o KSC), istotne z punktu widzenia zarządzania
KSC. Ponadto do systemu S46 będą przyłączone kolejne podmioty KSC, w tym wszystkie podmioty
kluczowe i podmioty ważne. System S46 będzie podstawą wymiany informacji między podmiotami
kluczowymi, podmiotami ważnymi oraz instytucjami państwowymi. Informacje z tego systemu będą
również przekazywane do organów odpowiedzialnych za zarządzanie kryzysowe. Zmodernizowany
system S46 będzie też wykorzystywany przez PCOC dla zautomatyzowania wymiany informacji w
ramach KSC.
Uruchomiony został także portal cyber.gov.pl – nowoczesna, rządowa platforma stworzona z myślą
o bezpieczeństwie cyfrowym obywateli, firm i instytucji publicznych. W jednym miejscu znajdują się
wszystkie kluczowe usługi i narzędzia – od zgłaszania incydentów, przez monitorowanie zagrożeń,
po dostęp do rozwiązań takich jak system Artemis, S46 czy aplikacji moje.cert.pl. Platforma oferuje
również dostęp do bazy wiedzy, szkoleń, ostrzeżeń i praktycznych informacji o obowiązkach
wynikających z ustawy o KSC i dyrektywy NIS 2. Dzięki integracji m.in. z węzłem krajowym
identyfikacji elektronicznej, o którym mowa w art. 21a ustawy z dnia 5 września 2016 r. o usługach
zaufania oraz identyfikacji elektronicznej15), logowanie i korzystanie z serwisu będzie łatwe
i bezpieczne.
Działaniem zmierzającym do budowania krajowego i europejskiego cyberbezpieczeństwa będzie
wytworzenie w oparciu o system S46 oraz usługę wymiany informacji na temat incydentów
bezpieczeństwa sieci n6 krajowej platformy wspomagającej wykrywanie i budowanie świadomości
sytuacyjnej zagrożeń i incydentów cyberbezpieczeństwa dla sektora publicznego i prywatnego,
stanowiącej Krajowy Cyber Hub (National Cyber Hub – NCH). Docelowo platforma ta stanie się
elementem europejskiej sieci komunikacji o zagrożeniach cyberbezpieczeństwa (European
Cybersecurity Alert System).
Wzmacniana będzie rola organów właściwych przez zwiększenie ich uprawnień związanych
z nadzorem danego sektora, ponadto organ właściwy będzie ustanawiać CSIRT sektorowy. Oprócz
możliwości przeprowadzania kontroli organy właściwe zyskają m.in. możliwość zobowiązania
14)
15)
Dz. Urz. UE L 333 z 27.12.2022, str. 153.
Dz. U. z 2024 r. poz. 1725 oraz z 2026 r. poz. 252.
Strona 15 z 74
Monitor Polski
– 17 –
Poz. 309
podmiotu w drodze decyzji do przeprowadzenia audytu bezpieczeństwa czy uprawnienie do nakazania
podmiotom podjęcia określonych czynności dotyczących obsługi incydentu. W określonych ustawowo
sytuacjach organ właściwy będzie mógł z urzędu wpisać dany podmiot do wykazu podmiotów
kluczowych i podmiotów ważnych. Organy właściwe będą ponadto odgrywać istotną rolę w zakresie
oceny bezpieczeństwa łańcucha dostaw. Organy właściwe będą także zacieśniać współpracę między
sobą, aby należycie synchronizować działania podejmowane w poszczególnych sektorach, zapewniać
sobie wzajemną pomoc oraz w stosownych przypadkach prowadzić wspólne działania nadzorcze.
Wzmacniana będzie efektywność zespołów cyberbezpieczeństwa podmiotów KSC, w szczególności
tych, których systemy teleinformatyczne lub sieci teleinformatyczne są objęte jednolitym wykazem
obiektów, instalacji, urządzeń i usług wchodzących w skład IK. Specjalistyczne ćwiczenia i warsztaty
cyberbezpieczeństwa, w tym w formacie międzynarodowym, z wykorzystaniem nowoczesnych
platform typu CyberRange i zaawansowanych scenariuszy adresujących współczesne wyzwania
i zagrożenia w domenie cyberbezpieczeństwa, dadzą możliwość zgrywania zespołów
cyberbezpieczeństwa oraz weryfikacji ich umiejętności w bezpośrednich działaniach.
W ramach struktur Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu
Badawczego (NASK), w ramach którego funkcjonuje jeden z CSIRT-ów poziomu krajowego (CSIRT
NASK) – zostanie utworzone Centrum Cyberbezpieczeństwa NASK (CCN), na które złożą się
jakościowo nowe tematyczne specjalistyczne centra, ośrodki i laboratoria kluczowe dla wzmocnienia
KSC. Realizacja tego działania pozwoli na podniesienie poziomu bezpieczeństwa informacji, przez
wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty
w systemach informacyjnych państwa oraz podmiotów mających kluczowe znaczenie dla gospodarki.
Niezbędne zmiany zostaną również wprowadzone w strukturze Agencji Bezpieczeństwa Wewnętrznego
(ABW), polegające na powołaniu nowej jednostki organizacyjnej posiadającej kompetencje w zakresie
rozpoznawania, przeciwdziałania i zwalczania cyberterroryzmu i cyberszpiegostwa.
Newralgicznym elementem KSC są jednostki samorządu terytorialnego (JST). Stworzone zostaną
wojewódzkie zespoły specjalistów cyberbezpieczeństwa działających lokalnie i wspierających
podmioty publiczne w obsłudze incydentów i odzyskiwaniu danych oraz prowadzeniu działań
podnoszących świadomość o cyberbezpieczeństwie. Kontynuowany będzie program Cyberbezpieczny
Samorząd obejmujący szkolenia i zakupy niezbędnego sprzętu i oprogramowania. Rząd będzie wspierać
JST w budowie i rozbudowie samorządowych struktur odpowiedzialnych za cyberbezpieczeństwo tych
jednostek, co jest szczególnie istotne, biorąc pod uwagę ograniczone zasoby poszczególnych JST.
W celu ograniczenia deficytu specjalistów z obszaru cyberbezpieczeństwa w jednostkach samorządu
terytorialnego
zostanie
uruchomione
przedsięwzięcie
budowy
Lokalnych
Centrów
Cyberbezpieczeństwa, działających jako Centra Usług Wspólnych w obszarze IT, które zapewnią
wysoki poziom cyberbezpieczeństwa dla wielu instytucji działających na szczeblu lokalnym
i regionalnym. Prowadzone będą również działania zorientowane na wsparcie samorządów na poziomie
wojewódzkim w zakresie realizacji przedsięwzięć w obszarze cyberbezpieczeństwa w ramach
programów regionalnych.
W kontekście podnoszenia poziomu cyberbezpieczeństwa kluczowe znaczenie ma zapewnienie dostępu
do wiedzy eksperckiej dotyczącej cyberzagrożeń. Jednym ze sposobów na zapewnienie takiego dostępu
jest tworzenie Centrów Wymiany i Analizy Informacji (ISAC) oraz ośrodków kompetencji. ISAC
gromadzi informacje o podatnościach i cyberzagrożeniach, a następnie przekazuje te informacje oraz
zestawy dobrych praktyk do podmiotów, które uczestniczą w systemie wymiany takich informacji.
Funkcjonowanie ISAC w sektorach objętych zakresem ustawy o KSC, a także jej nowelizacji, które
mają kluczowe znaczenie dla polskiej gospodarki, przyczyni się do wzmocnienia współpracy i zaufania
między podmiotami z tego samego sektora. Tworzenie ISAC w dalszym ciągu będzie wspierane na
zasadach ogólnych – na przykład w formie stowarzyszeń, fundacji, partnerstw publiczno-prywatnych
lub innych jednostek organizacyjnych, bez regulowania tej materii w ustawie KSC.
Kontynuowane będą działania dotyczące cyberbezpieczeństwa w ramach systemu zarządzania
kryzysowego oraz zarządzania kryzysowego w cyberbezpieczeństwie w ramach KSC. Nowym
elementem będzie przygotowanie Krajowego planu reagowania na incydenty i sytuacje kryzysowe
w cyberbezpieczeństwie na dużą skalę oraz monitorowanie jego wykonania. Pozwoli to zbliżyć
Strona 16 z 74
Monitor Polski
– 18 –
Poz. 309
regulacje KSC oraz zarządzania kryzysowego, zapewniając przepływ niezbędnych informacji i synergię
działań. Działania te obejmować będą także zwiększenie cyberbezpieczeństwa IK. Zgodnie
z rozporządzeniem delegowanym Komisji (UE) 2024/1366 z dnia 11 marca 2024 r. uzupełniającym
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci
dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych
przepływach energii elektrycznej16) (Kodeks Sieci) w ramach Krajowego planu zostaną również
uwzględnione kwestie zarządzania kryzysami i reagowania na nie w odniesieniu do transgranicznych
przepływów energii elektrycznej (art. 41 ust. 2 i 3 Kodeksu Sieci).
Rozwijane będą zdolności analityczne w oparciu o dane na potrzeby określania dalszego kierunku
rozwoju KSC oraz przewidywania i prognozowania rozwoju sytuacji w środowisku
cyberbezpieczeństwa
(cyber-foresight).
Rozwiązania
z
zakresu
technologii
informacyjno-telekomunikacyjnych (ICT) wspierające działalność analityczną będą współdzielone
przez podmioty KSC, jak również wzajemnie udostępniane będą uzyskane z użyciem tych rozwiązań
produkty analityczne.
5.3.
Rozwój zintegrowanego systemu wymiany informacji na potrzeby
zapewnienia ciągłości funkcjonowania administracji państwowej,
bezpieczeństwa narodowego i ochrony ludności
Systemy bezpiecznej wymiany informacji na potrzeby kierowania bezpieczeństwem narodowym są
konieczne nie tylko dla zapewnienia cyberbezpieczeństwa w kraju, ale także dla kompleksowego
systemu bezpieczeństwa narodowego.
Utworzony zostanie System Bezpiecznej Łączności Państwowej (SBŁP) zapewniający wymianę
informacji między organami odpowiedzialnymi za realizację zadań z zakresu zarządzania kryzysowego,
bezpieczeństwa państwa, ochrony porządku publicznego, ratownictwa, ochrony ludności i obrony
cywilnej. Podsystemy tworzące SBŁP obejmą swoim zakresem jawną i niejawną łączność stacjonarną,
infrastrukturę wideokonferencyjną, bezpieczną łączność mobilną, w tym niejawną łączność
komórkową, łączność trankingową, łączność radiową oraz bezpieczną łączność satelitarną. Nastąpi
wzmocnienie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty
w systemach przepływu informacji. Zapewnione zostaną wydajne, bezpieczne i dostępne usługi
systemów telekomunikacyjnych, pozwalające na dostarczanie usług łączności także w przypadkach
relokowania stanowisk kierowania i dowodzenia w kontekście ochrony ludności, zwiększenia
bezpieczeństwa obywateli i skuteczności reagowania na sytuacje kryzysowe. Rozwijane będą
rozwiązania kryptograficzne, w tym mechanizmy szyfrowania i bezpiecznej transmisji danych.
Powstanie hybrydowa infrastruktura umożliwiająca przełączanie między sieciami naziemnymi
a systemami satelitarnymi w przypadku zakłóceń. Zostanie opracowana możliwość komunikacji między
systemem a rozwiązaniami wojskowymi w czasie pokoju, kryzysu i konfliktu.
Bezpośrednimi użytkownikami systemu będą organy administracji publicznej, urzędy obsługujące te
organy oraz jednostki organizacyjne podległe tym organom lub przez nie nadzorowane wykonujące
zadania z zakresu bezpieczeństwa państwa, ochrony porządku publicznego, ratownictwa, ochrony
ludności i obrony cywilnej oraz zarządzania kryzysowego, powiadamiania, ostrzegania i alarmowania
ludności.
Kontynuowane będą zbudowane i wdrożone już rozwiązania bezpiecznej łączności mobilnej: system
łączności mobilnej umożliwiający przetwarzanie informacji niejawnych do klauzuli „zastrzeżone”
w oparciu o system CATEL (SKR-Z), bazujący na wytycznych dotyczących budowy i zasad
funkcjonowania systemu CATEL, jak również „Komunikator” mający na celu zapewnienie bezpiecznej
(jawnej) komunikacji rządowej i KSC na urządzeniach służbowych. Nacisk będzie położony na
utrzymanie tych systemów na wysokim poziomie dostępności, z zapewnieniem ich dostępności
cyfrowej oraz sukcesywne zwiększanie liczby użytkowników oraz wzbogacanie funkcjonalności
16)
Dz. Urz. UE L 2024/1366 z 24.05.2024, Dz. Urz. UE L 2024/90558 z 16.09.2024 oraz Dz. Urz. UE L
2025/1759 z 25.08.2025.
Strona 17 z 74
Monitor Polski
– 19 –
Poz. 309
systemu. Rozwijana będzie też platforma elektronicznego zarządzania dokumentami niejawnymi
zabezpieczona krajowymi rozwiązaniami kryptograficznymi oraz dokonane zostaną niezbędne zmiany
w przepisach prawa umożliwiające funkcjonowanie platformy zgodnie z wymogami dotyczącymi
ochrony informacji niejawnych. Zostanie również stworzony komunikator narodowy na potrzeby
administracji publicznej. Podejmowane będą działania, aby wykorzystywane, komercyjne rozwiązania
komunikacyjne były zastępowane rozwiązaniami udostępnianymi przez instytucje państwowe.
5.4.
Zwiększanie cyberbezpieczeństwa podmiotów nadzorowanych przez
organy właściwe do spraw cyberbezpieczeństwa
Uchwalona zmiana ustawy o KSC związana z wdrożeniem dyrektywy NIS 2 doprowadzi do zastąpienia
OUK i DUC przez podmioty kluczowe i podmioty ważne. Dotychczasowy podział na OUK oraz DUC
okazał się nieaktualny, ponieważ nie odzwierciedlał znaczenia danych sektorów oraz usług dla
działalności społecznej i gospodarczej państw członkowskich UE. Dlatego zakresem obowiązywania
dyrektywy NIS 2, a tym samym projektowanej ustawy implementującej tę dyrektywę, objęto nowe
sektory gospodarki mające kluczowe znaczenie dla działalności społecznej i gospodarczej państwa.
Oprócz rozszerzenia zakresu podmiotowego dyrektywa NIS 2 wprowadziła również m.in. znacznie
rozbudowany katalog obowiązków, którym podlegają podmioty kluczowe i podmioty ważne.
Zobowiązanie podmiotów kluczowych i podmiotów ważnych do wdrożenia środków zarządzania
ryzykiem w cyberbezpieczeństwie przyczyni się w znacznym stopniu do zwiększenia poziomu
cyberbezpieczeństwa tych podmiotów, a tym samym bezpieczeństwa na poziomie krajowym, przez
osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do
świadczenia usług oraz zapewnienie obsługi incydentów.
Wzrost liczby cyberataków wymaga podjęcia konkretnych działań strategicznych wpływających na
zwiększenie poziomu cyberbezpieczeństwa podmiotów kluczowych oraz podmiotów ważnych. CSIRT
będą zapewniać właściwe wsparcie (w tym prowadzenie działań proaktywnych) w zakresie
cyberbezpieczeństwa i bezpieczeństwa podmiotów kluczowych i podmiotów ważnych. Szczególna
uwaga będzie zwrócona na podmioty powiązane funkcjonalnie/technologicznie z IK, administracją
publiczną oraz instytucjami bezpieczeństwa i obronności państwa, jako potencjalne cele ataku.
Szkolenia dla podmiotów KSC obejmą także kwestie zabezpieczenia interesów podmiotów od strony
prawnej w sytuacji wystąpienia incydentu poważnego.
Cyberbezpieczeństwo podmiotów kluczowych i podmiotów ważnych zostanie zwiększone również
przez zapewnienie skutecznego nadzoru nad tymi podmiotami, który będzie sprawowany przez organy
właściwe do spraw cyberbezpieczeństwa prewencyjnie lub następczo – w zależności od rodzaju
podmiotu. Wyposażenie organów właściwych do spraw cyberbezpieczeństwa w szersze kompetencje
nadzorcze pozwoli na zapewnienie odpowiednio wysokiego poziomu cyberbezpieczeństwa,
w szczególności przez wydawanie poleceń co do obsługi incydentu, wdrożenia zaleceń z audytu czy
nakazanie zapewnienia zgodności środków zarządzania ryzykiem w cyberbezpieczeństwie. Ważną rolę
w zapewnianiu cyberbezpieczeństwa podmiotów kluczowych i podmiotów ważnych będzie pełnić
nadzór o charakterze prewencyjnym, który ma na celu zapewnienie, że podmioty kluczowe będą zdolne
do uniknięcia cyberzagrożeń i naruszeń przepisów ustawy o KSC, które mogą prowadzić do wystąpienia
incydentów. Ponadto podmiotom tym zostanie udostępniony system S46, co umożliwi im m.in. bardziej
efektywne zarządzanie cyberbezpieczeństwem oraz współpracę i wymianę informacji z innymi
podmiotami KSC. Wdrożone zostaną postanowienia Kodeksu Sieci, których stosowanie umożliwią
przepisy przygotowanej nowelizacji ustawy o KSC. Kodeks Sieci zapewnia dodatkowy katalog
obowiązków w celu zwiększania cyberbezpieczeństwa dla podmiotów, które mają wpływ na
transgraniczne przepływy energii elektrycznej, jak i katalog uprawnień nadzorczych i obowiązków
w zakresie współpracy krajowej i międzynarodowej dla wyznaczonego w tym zakresie organu
właściwego. Efektem tych działań będzie wzmocnienie współpracy między poszczególnymi
podmiotami oraz właściwymi organami w dziedzinie energii elektrycznej i cyberbezpieczeństwa,
a także ułatwienie zapobiegania kryzysom elektroenergetycznym, których podstawową przyczyną może
być incydent cyberbezpieczeństwa.
Strona 18 z 74
Monitor Polski
– 20 –
Poz. 309
W cyklicznie odbywających się ćwiczeniach cyberbezpieczeństwa na większą skalę będą uczestniczyć
także podmioty kluczowe i podmioty ważne.
Udzielone zostanie również wsparcie dla 500 podmiotów KSC w modernizacji i rozbudowie
infrastruktury cyberbezpieczeństwa w sieciach IT, w tym wsparcie podmiotów wykorzystujących
technologie informacyjne (IT) oraz technologie operacyjne (OT) stosowane w przemysłowych
systemach sterowania (ICS).
5.5.
Wypracowanie i wdrożenie metodyki sza …
Wyjaśnienie AI na podstawie urzędowego tekstu ustawy. Orientacyjne, nie zastępuje porady prawnej.