← Polska

Uchwała nr 92 Rady Ministrów z dnia 10 marca 2026 r. w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej

W skrócie

Niniejsza uchwała Rady Ministrów przyjmuje Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, która określa kierunki działań w zakresie cyberbezpieczeństwa. Ma ona na celu zapewnienie bezpieczeństwa w cyberprzestrzeni dla państwa, obywateli i przedsiębiorców.

Co reguluje

Kogo dotyczy

Kluczowe punkty

📄 Tekst ustawy
MONITOR POLSKI DZIENNIK URZĘDOWY RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 23 marca 2026 r. Poz. 309 UCHWAŁA NR 92 RADY MINISTRÓW z dnia 10 marca 2026 r. w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej Na podstawie art. 68 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2026 r. poz. 20 i 252) Rada Ministrów uchwala, co następuje: § 1. Przyjmuje się Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, zwaną dalej „Strategią Cyberbezpieczeństwa”, stanowiącą załącznik do uchwały. § 2. Członkowie Rady Ministrów oraz organy i jednostki organizacyjne im podległe lub przez nich nadzorowane współpracują z ministrem właściwym do spraw informatyzacji przy realizacji Strategii Cyberbezpieczeństwa. § 3. Minister właściwy do spraw informatyzacji przedstawia Radzie Ministrów, w terminie do dnia 30 września danego roku, informację o realizacji Strategii Cyberbezpieczeństwa. § 4. Pierwszą informację o realizacji Strategii Cyberbezpieczeństwa minister właściwy do spraw informatyzacji przedstawi Radzie Ministrów w terminie sześciu miesięcy od dnia wejścia w życie niniejszej uchwały. § 5. Uchwała wchodzi w życie z dniem następującym po dniu ogłoszenia. Prezes Rady Ministrów: D. Tusk  Monitor Polski –2– Poz. 309 Załącznik Załącznik do uchwały nr 92 Rady Ministrów do uchwały nr 92 z dnia 10 marca 2026 r. (M.P. poz. 309) Rady Ministrów z dnia 10 marca 2026 r. (M.P. poz. …) Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej Strona 1 z 74  Monitor Polski –3– Poz. 309 Spis treści Spis treści ....................................................................................................................................................... 2 Wykaz stosowanych skrótów ......................................................................................................................... 4 1. Wstęp – przesłanki do działań zwiększających cyberbezpieczeństwo .................................................... 7 2. Kontekst strategiczny cyberbezpieczeństwa w Rzeczypospolitej Polskiej ............................................. 8 3. Zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej ....................................................... 10 4. Wizja, cel główny, cele szczegółowe .................................................................................................... 11 4.1. Wizja ................................................................................................................................................. 11 4.2. Cel główny ........................................................................................................................................ 11 4.3. Cele szczegółowe .............................................................................................................................. 11 5. Cel szczegółowy 1. Rozwój krajowego systemu cyberbezpieczeństwa ................................................ 13 5.1. Doskonalenie krajowego systemu cyberbezpieczeństwa .................................................................. 13 5.2. Podniesienie efektywności krajowego systemu cyberbezpieczeństwa.............................................. 15 5.3. Rozwój zintegrowanego systemu wymiany informacji na potrzeby zapewnienia ciągłości funkcjonowania administracji państwowej, bezpieczeństwa narodowego i ochrony ludności ......... 17 5.4. Zwiększanie cyberbezpieczeństwa podmiotów nadzorowanych przez organy właściwe do spraw cyberbezpieczeństwa ......................................................................................................................... 18 5.5. Wypracowanie i wdrożenie metodyki szacowania ryzyka na poziomie krajowym .......................... 19 6. Cel szczegółowy 2. Przeciwdziałanie i zwalczanie cyberprzestępczości oraz uzyskanie zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni ................................................................. 20 6.1. Wprowadzenie regulacji skuteczniej pozwalających zwalczać cyberprzestępczość ......................... 20 6.2. Wzmocnienie wyspecjalizowanych struktur zwalczania cyberprzestępczości ................................. 22 6.3. Podnoszenie zdolności analitycznych organów ścigania, służb specjalnych i wymiaru sprawiedliwości przy wykorzystaniu nowych technologii ................................................................ 22 6.4. Podniesienie skuteczności wymiaru sprawiedliwości i organów ścigania przez wymianę wiedzy i doświadczeń z zakresu cyberbezpieczeństwa oraz metod wykorzystywanych przez sprawców cyberprzestępstw ............................................................................................................................... 23 6.5. Zwalczanie cyberterroryzmu i cyberszpiegostwa.............................................................................. 23 Strona 2 z 74  Monitor Polski –4– Poz. 309 6.6. Uzyskanie zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni ...................... 24 7. Cel szczegółowy 3. Podniesienie poziomu odporności systemów informacyjnych w sferze publicznej (w tym militarnej) oraz prywatnej ......................................................................................................... 27 7.1. Podniesienie poziomu odporności systemów informacyjnych .......................................................... 27 7.2. Rozwój krajowej kryptologii, w tym migracja do kryptografii postkwantowej oraz rozwój technologii kwantowych.................................................................................................................... 28 7.3. Rozwiązania chmurowe dla wzmocnienia odporności systemów informacyjnych .......................... 29 7.4. Rozwój zdolności do skutecznego zapobiegania i reagowania na incydenty cyberbezpieczeństwa . 30 7.5. Rozwój standaryzacji w cyberbezpieczeństwie................................................................................. 30 7.6. Współpraca publiczno-prywatna w obszarze cyberbezpieczeństwa ................................................. 31 8. Cel szczegółowy 4. Zwiększanie potencjału krajowej bazy technologiczno-przemysłowej oraz wzmocnienie suwerenności technologicznej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa ............................................................................................................................. 32 8.1. Wzmocnienie bezpieczeństwa łańcucha dostaw na poziomie krajowym i międzynarodowym ........ 32 8.2. Stymulowanie badań, rozwoju i innowacji w obszarze cyberbezpieczeństwa .................................. 34 9. Cel szczegółowy 5. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa oraz obywateli i przedsiębiorców ......................................................... 36 9.1. Zwiększenie świadomości i wiedzy oraz wzmocnienie kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa ........................................................................................................... 36 9.2. Rozwój świadomości i wiedzy obywateli i przedsiębiorców z zakresu cyberbezpieczeństwa ......... 37 10. Cel szczegółowy 6. Wzmocnienie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa .............................................................................................................. 40 10.1. Aktywna współpraca międzynarodowa na poziomie strategiczno-politycznym i prawnym .......... 40 10.2. Aktywna współpraca międzynarodowa na poziomie operacyjnym i technicznym ........................ 41 10.3. Koordynacja działań na arenie międzynarodowej w zakresie współpracy cywilno-wojskowej w obszarze cyberbezpieczeństwa .......................................................................................................... 42 11. Zarządzanie Strategią Cyberbezpieczeństwa Rzeczypospolitej Polskiej .............................................. 43 12. Finansowanie ......................................................................................................................................... 44 Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej ..................... 45 Strona 3 z 74  Monitor Polski –5– Poz. 309 Wykaz stosowanych skrótów 1) ABW – Agencja Bezpieczeństwa Wewnętrznego; 2) akt o cyberbezpieczeństwie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013; 3) akt o cyberodporności – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828; 4) AW – Agencja Wywiadu; 5) B+R – badania i rozwój; 6) B+R+I – badania, rozwój i innowacje; 7) CBZC – Centralne Biuro Zwalczania Cyberprzestępczości; 8) CPPC – Centrum Projektów Polska Cyfrowa; 9) CSAM – treści przedstawiające wykorzystywanie seksualne dzieci; 10) CSIRT – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego; 11) CTI – rozpoznawanie zagrożeń w cyberprzestrzeni; 12) DEP – Program Cyfrowa Europa; 13) DKWOC – Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni; 14) DLT – technologia rozproszonego rejestru; 15) DUC – dostawca usług cyfrowych; 16) dyrektywa 2022/2556 – dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego; 17) dyrektywa CER – dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE; 18) dyrektywa NIS – dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii; 19) dyrektywa NIS 2 – dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148; 20) EBSI – Europejska Infrastruktura Usług Blockchain; 21) ECCC – Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa; 22) ECSC – Eksperckie Centrum Szkolenia Cyberbezpieczeństwa; 23) ENISA – Agencja Unii Europejskiej ds. Cyberbezpieczeństwa; 24) EUCC – Europejski system certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach; 25) ICS – przemysłowe systemy sterowania; 26) ICT – technologie informacyjno-telekomunikacyjne; 27) IK – infrastruktura krytyczna; Strona 4 z 74  Monitor Polski –6– Poz. 309 28) IŁ – Instytut Łączności – Państwowy Instytut Badawczy; 29) Inicjatywa WIIP – Inicjatywa „Wspólna Infrastruktura Informatyczna Państwa”; 30) IoT – Internet Rzeczy; 31) ISAC – Centrum Wymiany i Analizy Informacji; 32) IT – technologie informacyjne; 33) JST – jednostki samorządu terytorialnego; 34) Kodeks Sieci – rozporządzenie delegowane Komisji (UE) 2024/1366 z dnia 11 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej; 35) KNF – Komisja Nadzoru Finansowego; 36) KG PSP – Komenda Główna Państwowej Straży Pożarnej; 37) KG SG – Komenda Główna Straży Granicznej; 38) Kodeks karny – ustawa z dnia 6 czerwca 1997 r. – Kodeks karny; 39) KSC – krajowy system cyberbezpieczeństwa; 40) MAP – Ministerstwo Aktywów Państwowych, urząd obsługujący ministra właściwego do spraw aktywów państwowych; 41) MC – Ministerstwo Cyfryzacji, urząd obsługujący ministra właściwego do spraw informatyzacji; 42) MEN – Ministerstwo Edukacji Narodowej, urząd obsługujący ministra właściwego do spraw oświaty i wychowania; 43) MF – Ministerstwo Finansów, urząd obsługujący ministra właściwego do spraw budżetu, ministra właściwego do spraw finansów publicznych i ministra właściwego do spraw instytucji finansowych; 44) MI – Ministerstwo Infrastruktury, urząd obsługujący ministra właściwego do spraw transportu, ministra właściwego do spraw gospodarki morskiej, ministra właściwego do spraw żeglugi śródlądowej i ministra właściwego do spraw gospodarki wodnej; 45) ME – Ministerstwo Energii, urząd obsługujący ministra właściwy do spraw energii i ministra właściwego do spraw gospodarki surowcami energetycznymi; 46) MKSS – Minister Koordynator Służb Specjalnych; 47) MNiSW – Ministerstwo Nauki i Szkolnictwa Wyższego, urząd obsługujący ministra właściwego do spraw szkolnictwa wyższego i nauki; 48) MON – Ministerstwo Obrony Narodowej; 49) MRiT – Ministerstwo Rozwoju i Technologii, urząd obsługujący ministra właściwego do spraw gospodarki oraz ministra właściwego do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa; 50) MS – Ministerstwo Sprawiedliwości; 51) MSWiA – Ministerstwo Spraw Wewnętrznych i Administracji, urząd obsługujący ministra właściwego do spraw wewnętrznych, ministra właściwego do spraw administracji publicznej i ministra właściwego do spraw wyznań religijnych oraz mniejszości narodowych i etnicznych; 52) MSZ – Ministerstwo Spraw Zagranicznych, urząd obsługujący ministra właściwego do spraw zagranicznych i ministra właściwego do spraw członkostwa Rzeczypospolitej Polskiej w Unii Europejskiej; 53) MZ – Ministerstwo Zdrowia, urząd obsługujący ministra właściwego do spraw zdrowia; 54) NASK – Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy; 55) NATO – Organizacja Traktatu Północnoatlantyckiego; 56) NCBR – Narodowe Centrum Badań i Rozwoju; 57) NCC-PL – Krajowe Centrum Kompetencji Cyberbezpieczeństwa; Strona 5 z 74  Monitor Polski –7– Poz. 309 58) NCH – Krajowy Cyber Hub; 59) OChK – Operator Chmury Krajowej; 60) ONZ – Organizacja Narodów Zjednoczonych; 61) OUK – operator usługi kluczowej; 62) organ właściwy – organ właściwy do spraw cyberbezpieczeństwa, o którym mowa w art. 41 ustawy o KSC; 63) OT – technologie operacyjne; 64) QKD – kwantowa dystrybucja klucza; 65) PCOC – Połączone Centrum Operacyjne Cyberbezpieczeństwa; 66) Pełnomocnik – Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa; 67) Plan działań – Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej; 68) PK – Prokuratura Krajowa; 69) PWCyber – Program Współpracy w Cyberbezpieczeństwie; 70) PZP – ustawa z dnia 11 września 2019 r. – Prawo zamówień publicznych; 71) RM – Rada Ministrów; 72) RCB – Rządowe Centrum Bezpieczeństwa; 73) RP – Rzeczpospolita Polska; 74) RON – resort obrony narodowej; 75) rozporządzenie 2022/2554 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011; 76) SBŁP – System Bezpiecznej Łączności Państwowej; 77) SKW – Służba Kontrwywiadu Wojskowego; 78) Strategia – Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej; 79) SWW – Służba Wywiadu Wojskowego; 80) SZ RP – Siły Zbrojne Rzeczypospolitej Polskiej; 81) UE – Unia Europejska; 82) UKE – Urząd Komunikacji Elektronicznej; 83) ustawa o KSC – ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa; 84) ustawa o KSCC – ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa; 85) WIŁ – Wojskowy Instytut Łączności – Państwowy Instytut Badawczy. Strona 6 z 74  Monitor Polski –8– Poz. 309 1. Wstęp – przesłanki do działań zwiększających cyberbezpieczeństwo Od czasu przyjęcia uchwałą nr 125 Rady Ministrów z dnia 22 października 2019 r.1) Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej (Strategia) na lata 2019–2024, rozwój społeczny i gospodarczy niezmiennie pozostaje zależny od szybkiego i nieskrępowanego dostępu do informacji oraz jej wykorzystania w zarządzaniu, produkcji, sektorze usług oraz sektorze publicznym. Działania podjęte na podstawie Strategii na lata 2019–2024 pozwoliły, aby wszystkie sektory polskiej gospodarki rozwijały się w wymiarze cyfrowym, a społeczeństwo i państwo funkcjonowały w sposób zapewniający możliwy do osiągnięcia poziom cyberbezpieczeństwa. Poziom zagrożeń w cyberprzestrzeni nadal jednak wzrasta w wymiarze globalnym i krajowym, gdyż pojawiają się nowe rodzaje zagrożeń oraz wzrasta aktywność grup prowadzących nielegalne działania w świecie cyfrowym, począwszy od haktywistów, przez grupy cyberprzestępcze o charakterze zarobkowym, po grupy powiązane z innymi państwami lub wręcz bezpośrednio działające w ramach instytucji nieprzyjaznych państw. Zagrożenia te mają wpływ na codzienne funkcjonowanie, bezpieczeństwo i prywatność obywateli (w szczególności dzieci, młodzieży oraz seniorów), przedsiębiorstw i instytucji publicznych. Diametralne zmiany w środowisku bezpieczeństwa skutkują m.in. trwającymi nieustannie wrogimi i szkodliwymi działaniami w cyberprzestrzeni. Rosyjska pełnoskalowa agresja na Ukrainę wiązała się także z wysokim natężeniem cyberataków na jej systemy informacyjne i infrastrukturę informatyczną. Obiektem coraz liczniejszych cyberataków stała się również polska cyberprzestrzeń, których część jest elementem niespotykanych dotychczas na taką skalę działań hybrydowych podejmowanych wobec Rzeczypospolitej Polskiej (RP) oraz innych krajów Unii Europejskiej (UE) i Organizacji Traktatu Północnoatlantyckiego (NATO). Tocząca się walka o dominację gospodarczą, obejmująca m.in. produkty i surowce niezbędne dla rozwoju technologii (w tym tzw. wojna o chipy), digitalizacja i rozwój usług cyfrowych dodatkowo przyspieszone przez pandemię COVID-19, rozwój nowych i przełomowych technologii (takich jak sztuczna inteligencja czy technologie kwantowe), mających wpływ na wszystkie obszary funkcjonowania społeczeństw, gospodarek i systemów bezpieczeństwa narodowego, to najważniejsze czynniki przyczyniające się do diametralnego przeobrażania się świata. Mają one również wpływ na bezpieczeństwo cyberprzestrzeni. Poważne kryzysy, takie jak pandemia COVID-19 oraz wojna Federacji Rosyjskiej z Ukrainą, pokazały, jak ważne jest zapewnienie bezpieczeństwa łańcucha dostaw i jak jego zakłócenia mogą mieć negatywne wielosektorowe i transgraniczne skutki gospodarcze i społeczne. Wobec powyższego zapewnienie cyberbezpieczeństwa łańcucha dostaw na potrzeby utrzymania krytycznej działalności społecznej i gospodarczej, ciągłości działania administracji publicznej i Sił Zbrojnych Rzeczypospolitej Polskiej (SZ RP) oraz usług realizowanych na ich rzecz staje się kluczowym wyzwaniem, przed jakim stoi RP. W obliczu nowych zagrożeń i rosnącej ich skali, biorąc pod uwagę ich transgraniczny charakter, szczególne znaczenie ma współpraca na arenie międzynarodowej w ramach organizacji międzynarodowych, takich jak UE, NATO czy Organizacja Narodów Zjednoczonych (ONZ), oraz w formacie dwustronnym i wielostronnym, w szczególności z najbliższymi sojusznikami i partnerami. Rolą państwa jest podjęcie działań, które pozwolą systemowo zwiększać poziom cyberbezpieczeństwa krajowego i ograniczać ryzyka związane z cyberprzestrzenią, a w szczególności zapewnić odporność na zagrożenia kluczowych zasobów i usług z punktu widzenia działalności społecznej, gospodarczej, administracji publicznej oraz bezpieczeństwa i obronności państwa. Przyjęcie nowej Strategii wynika z 5-letnich ram czasowych określonych w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa2) (ustawa o KSC) oraz jest podyktowane zmianami, jakie zachodzą na świecie. Przyjęcie nowej Strategii musi być także spójne z innymi dokumentami strategicznymi oraz polityką państwa wewnętrzną i zagraniczną we wszystkich obszarach funkcjonowania. 1) 2) M.P. poz. 1037. Dz. U. z 2026 r. poz. 20 i 252. Strona 7 z 74  Monitor Polski –9– Poz. 309 2. Kontekst strategiczny cyberbezpieczeństwa w Rzeczypospolitej Polskiej Niniejsza Strategia jest kontynuacją i rozszerzeniem działań, podejmowanych przez administrację rządową, mających na celu podniesienie poziomu cyberbezpieczeństwa w RP. W zakresie aktów legislacyjnych poprzednie działania obejmowały wejście w życie ustawy o KSC wraz z jej nowelizacjami. Ustawa ta wdrożyła do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS)3). Zakończyły się prace legislacyjne nad nowelizacją ustawy o KSC, która ma na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)4). W rezultacie znacząco zostanie zmodyfikowany krajowy system cyberbezpieczeństwa (KSC), w szczególności przez rozszerzenie katalogu podmiotów objętych tymi regulacjami. Ponadto ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa5) (ustawa o KSCC) dostosowywała polski porządek prawny do obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie)6). Regulacje te stanowią ważne uzupełnienie KSC w zakresie certyfikacji. W zakresie dokumentów strategicznych poprzednie działania obejmowały przyjęcie przez rząd: 1) w 2013 r. Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, przyjętej uchwałą nr 111/2013 Rady Ministrów z dnia 25 czerwca 2013 r. w sprawie Polityki Ochrony Cyberprzestrzeni Rzeczpospolitej Polskiej7); 2) w 2017 r. Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022, przyjętych uchwałą nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–20228); 3) w 2019 r. Strategii na lata 2019–2024, przyjętej uchwałą nr 125 Rady Ministrów z dnia 22 października 2019 r. w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–20249). Kwestia cyberbezpieczeństwa ujęta jest także w Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej zatwierdzonej w 2020 r. przez Prezydenta Rzeczypospolitej Polskiej, jak również będzie uwzględniona w przygotowywanej nowej Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej, w związku z czym zostanie zachowana spójność strategiczna między niniejszą Strategią a Strategią Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej. Przy opracowywaniu Strategii wzięto także pod uwagę trwające prace nad Strategią Rozwoju Polski do 2035 r. – nową średniookresową strategią rozwoju kraju. Dz. Urz. UE L 194 z 19.07.2016, str. 1. Dz. Urz. UE L 333 z 27.12.2022, str. 80 oraz Dz. Urz. UE L 2025/90884 z 06.11.2025. 5) Dz. U. poz. 1017. 6) Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025. 7) Uchwała niepublikowana w M.P. 8) Uchwała niepublikowana w M.P. 9) M.P. poz. 1037. 3) 4) Strona 8 z 74  Monitor Polski – 10 – Poz. 309 Strategia jest spójna z głównymi celami i działaniami określonymi w Strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę10). Jej realizacja, przez wzmocnienie krajowego systemu cyberbezpieczeństwa, przełoży się również na podniesienie poziomu cyberodporności UE. Niniejsza Strategia zastąpi Strategię na lata 2019–2024, obejmując działania od 2025 r., na okres kolejnych 5 lat, to jest do 2029 r. Zamierzeniem niniejszego dokumentu jest określenie celów strategicznych oraz odpowiednich środków politycznych i regulacyjnych, mających na celu podniesienie poziomu odporności w wymiarze cyberbezpieczeństwa, zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym, prywatnym oraz promowanie wiedzy i dobrych praktyk umożliwiających obywatelom lepszą ochronę ich własnych danych i informacji. Realizacja celów strategicznych ma również wpływać na podniesienie poziomu bezpieczeństwa narodowego, zdolności do rozpoznawania cyberzagrożeń i osiągnięcie zdolności do prowadzenia działań w cyberprzestrzeni defensywnych i ofensywnych, neutralizacji zagrożeń ze strony grup hakerskich powiązanych z obcymi państwami, zwiększenie skuteczności organów ścigania i wymiaru sprawiedliwości w wykrywaniu i zwalczaniu cyberprzestępstw oraz działań o charakterze hybrydowym (w tym działań o charakterze terrorystycznym) i szpiegowskim w cyberprzestrzeni. Ważnym uzupełnieniem, istotnym dla całego bezpieczeństwa narodowego, są zdolności przewidywania i prognozowania rozwoju sytuacji (foresight) oraz wnioskowania na podstawie danych (data science). Strategia jest spójna z prowadzonymi działaniami dotyczącymi bezpieczeństwa systemów teleinformatycznych operatorów infrastruktury krytycznej (IK) oraz zmianami systemowymi wynikającymi z przygotowywanego wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylającej dyrektywę Rady 2008/114/WE (dyrektywa CER)11). Uwzględnia również potrzeby zapewnienia SZ RP zdolności do prowadzenia działań militarnych w układzie krajowym, sojuszniczym i koalicyjnym w przypadku zagrożenia cyberbezpieczeństwa powodującego konieczność działań obronnych. Podejmując działania mające na celu wdrożenie Strategii, rząd będzie w pełni gwarantował prawo do prywatności oraz stał na stanowisku, że wolny i otwarty internet jest istotnym elementem funkcjonowania współczesnego społeczeństwa. Jednocześnie istotne jest, aby prawo do prywatności nie utrudniało identyfikacji cyberprzestępców oraz ich ścigania i nie zapewniało im bezkarności. Wspólny komunikat do Parlamentu Europejskiego i Rady „Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę”, Bruksela, 16.12.2020 r., JOIN (2020) 18 final. 11) Dz. Urz. UE L 333 z 27.12.2022, str. 164. 10) Strona 9 z 74  Monitor Polski – 11 – Poz. 309 3. Zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej Strategia obejmuje w szczególności12): 1) cele i priorytety w zakresie cyberbezpieczeństwa; 2) podmioty zaangażowane we wdrażanie i realizację Strategii; 3) środki służące realizacji celów Strategii; 4) określenie środków w zakresie gotowości, reagowania i przywracania stanu normalnego, w tym zasady współpracy między sektorem publicznym i prywatnym; 5) podejście do oceny ryzyka; 6) działania odnoszące się do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących cyberbezpieczeństwa; 7) działania odnoszące się do planów badawczo-rozwojowych w zakresie cyberbezpieczeństwa. Strategia uwzględnia również materię przeciwdziałania i zwalczania cyberprzestępczości oraz uzyskania zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni. Ponadto Strategia uwzględnia międzynarodową współpracę w zakresie cyberbezpieczeństwa. Strategia, przyjęta w drodze uchwały Rady Ministrów (RM), oddziałuje w sposób bezpośredni na podmioty administracji rządowej, a w sposób pośredni, po przyjęciu z inicjatywy RM przepisów prawa powszechnie obowiązującego, na pozostałe podmioty, w tym m.in. na przedsiębiorców i obywateli. Cyberbezpieczeństwo jest pośrednio związane z zagadnieniami takimi jak bezpieczeństwo przestrzeni informacyjnej, wojna kognitywna i dezinformacja. Uwzględniając zakres Strategii określony w ustawie o KSC, ustawową definicję cyberbezpieczeństwa oraz całość ustawy o KSC, które nie obejmują bezpośrednio tych zagadnień, Strategia uwzględnia je wyłącznie w odniesieniu do działań dotyczących wzmacniania odporności na zagrożenia hybrydowe, które łączą kampanie dezinformacyjne z cyberatakami, oraz w odniesieniu do budowania świadomości obywateli w zakresie cyberbezpieczeństwa i odporności społecznej na wrogie działania w cyberprzestrzeni. 12) Art. 69 ust. 1 i 2 ustawy o KSC. Strona 10 z 74  Monitor Polski – 12 – Poz. 309 4. Wizja, cel główny, cele szczegółowe 4.1. Wizja Zapewnienie bezpieczeństwa oraz pomyślny rozwój RP, wzrost jej zasobności, efektywności gospodarki, sprawności działania instytucji, podmiotów, w tym aktywność społeczna oraz codzienne funkcjonowanie każdego członka społeczeństwa, są związane ze sprawnym i bezpiecznym działaniem systemów informacyjnych i środków komunikacji elektronicznej. Dlatego w ramach działań zaplanowanych w Strategii rząd będzie systematycznie wzmacniał i rozwijał KSC. Działania uwzględniają systemowe rozwiązania organizacyjne, finansowe, operacyjne, technologiczne, prawne, kreowanie postaw społecznych oraz prowadzenie badań naukowych i prac rozwojowych, jak również rozwój polskiej branży cyberbezpieczeństwa, w sposób zapewniający spełnienie wysokich standardów cyberbezpieczeństwa w obszarze oprogramowania, urządzeń i usług cyfrowych. Działania rządu będą podejmowane z poszanowaniem praw i wolności obywateli oraz przez budowę zaufania między administracją rządową a poszczególnymi sektorami rynkowymi. W obszarze międzynarodowym działania rządu będą ukierunkowane na wzajemnie korzystną współpracę oraz promowanie i ochronę otwartej, wolnej, stabilnej i bezpiecznej cyberprzestrzeni opartej na prawach człowieka, podstawowych wolnościach, demokracji i praworządności. 4.2. Cel główny Podniesienie poziomu odporności krajowych podmiotów przez zwiększenie poziomu ochrony informacji oraz zwiększenie zdolności do wykrywania i reagowania na zagrożenia, promowanie wiedzy i dobrych praktyk oraz podnoszenie kompetencji w zakresie cyberbezpieczeństwa w sektorze publicznym (w tym militarnym), prywatnym, a także wśród obywateli. 4.3. Cele szczegółowe Cel szczegółowy 1. Rozwój krajowego systemu cyberbezpieczeństwa. Cel szczegółowy 2. Przeciwdziałanie i zwalczanie cyberprzestępczości oraz uzyskanie zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni. Cel szczegółowy 3. Podniesienie poziomu odporności systemów informacyjnych w sferze publicznej (w tym militarnej) oraz prywatnej. Cel szczegółowy 4. Zwiększanie potencjału krajowej bazy technologiczno-przemysłowej oraz wzmocnienie suwerenności technologicznej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa. Cel szczegółowy 5. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa oraz obywateli i przedsiębiorców. Cel szczegółowy 6. Wzmocnienie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa. Strona 11 z 74 Kierunki interwencji Cele szczegółowe Cel główny Monitor Polski – 13 – Strona 12 z 74 Podniesienie poziomu odporności krajowych podmiotów przez zwiększenie poziomu ochrony informacji oraz zwiększenie zdolności do wykrywania i reagowania na zagrożenia, promowanie wiedzy i dobrych praktyk oraz podnoszenie kompetencji w zakresie cyberbezpieczeństwa w sektorze publicznym (w tym militarnym), prywatnym, a także wśród obywateli 1. Rozwój krajowego systemu 2. Przeciwdziałanie i zwalczanie 3. Podniesienie poziomu 4. Zwiększanie potencjału 5. Budowanie świadomości, 6. Wzmocnienie silnej pozycji cyberbezpieczeństwa cyberprzestępczości oraz odporności systemów krajowej bazy wiedzy i kompetencji kadr międzynarodowej uzyskanie zdolności do informacyjnych w sferze technologicznopodmiotów krajowego Rzeczypospolitej Polskiej prowadzenia pełnego spektrum publicznej (w tym militarnej) przemysłowej oraz systemu cyberbezpieczeństwa w obszarze działań w cyberprzestrzeni oraz prywatnej wzmocnienie suwerenności oraz obywateli cyberbezpieczeństwa technologicznej i przedsiębiorców Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa 1.1 Doskonalenie krajowego 2.1 Wprowadzenie regulacji 3.1 Podniesienie poziomu 4.1 Wzmocnienie bezpieczeństwa 5.1 Zwiększenie świadomości 6.1 Aktywna współpraca systemu skuteczniej pozwalających odporności systemów łańcucha dostaw na poziomie i wiedzy oraz wzmocnienie międzynarodowa na cyberbezpieczeństwa zwalczać cyberprzestępczość informacyjnych krajowym kompetencji kadr podmiotów poziomie strategicznoi międzynarodowym krajowego systemu politycznym i prawnym cyberbezpieczeństwa 1.2 Podniesienie efektywności 2.2 Wzmocnienie 3.2 Rozwój krajowej kryptologii, 4.2 Stymulowanie badań, rozwoju 5.2 Rozwój świadomości i wiedzy 6.2 Aktywna współpraca krajowego systemu wyspecjalizowanych struktur w tym migracja do i innowacji w obszarze obywateli i przedsiębiorców międzynarodowa na cyberbezpieczeństwa cyberbezpieczeństwa z zakresu zwalczania kryptografii postkwantowej poziomie operacyjnym cyberbezpieczeństwa cyberprzestępczości oraz rozwój technologii i technicznym kwantowych 1.3 Rozwój zintegrowanego 2.3 Podnoszenie zdolności 3.3 Rozwiązania chmurowe dla 6.3 Koordynacja działań na systemu wymiany informacji analitycznych organów wzmocnienia odporności arenie międzynarodowej na potrzeby zapewnienia ścigania, służb specjalnych w zakresie współpracy systemów informacyjnych ciągłości funkcjonowania i wymiaru cywilno-wojskowej sprawiedliwości administracji państwowej, w obszarze przy wykorzystaniu nowych bezpieczeństwa narodowego cyberbezpieczeństwa technologii i ochrony ludności 1.4 Zwiększanie 2.4 Podniesienie skuteczności 3.4 Rozwój zdolności do cyberbezpieczeństwa organów ścigania przez skutecznego zapobiegania i podmiotów nadzorowanych reagowania na incydenty wymianę wiedzy przez organy właściwe do cyberbezpieczeństwa i doświadczeń z zakresu spraw cyberbezpieczeństwa cyberbezpieczeństwa oraz metod wykorzystywanych przez sprawców cyberprzestępstw 1.5 Wypracowanie i wdrożenie 2.5 Zwalczanie cyberterroryzmu 3.5 Rozwój standaryzacji w metodyki szacowania ryzyka i cyberszpiegostwa cyberbezpieczeństwie na poziomie krajowym 2.6 Uzyskanie zdolności do 3.6 Współpraca publicznoprowadzenia pełnego prywatna w obszarze spektrum działań cyberbezpieczeństwa w cyberprzestrzeni Tabela 1. Układ celów i kierunków interwencji  Poz. 309  Monitor Polski – 14 – Poz. 309 5. Cel szczegółowy 1. Rozwój krajowego systemu cyberbezpieczeństwa 5.1. Doskonalenie krajowego systemu cyberbezpieczeństwa KSC formalnie został ustanowiony w 2018 r. przez uchwalenie ustawy o KSC. Jednak system ten w praktyce istniał od lat i wciąż ewoluuje. Istotne zmiany w funkcjonowaniu KSC nastąpią wraz z nowelizacją ustawy o KSC, która zaimplementuje do polskiego porządku prawnego dyrektywę NIS 2, przyjętą w 2022 r. Jednak przygotowywane zmiany ustawowe nie dotyczą tylko implementacji prawa UE, ale są też odpowiedzią na zidentyfikowane potrzeby zmian, jak również wynikają z postępu technologicznego, nowych zagrożeń i ewolucji środowiska bezpieczeństwa. Najważniejsze zmiany wynikające z implementacji dyrektywy NIS 2 są związane z zastąpieniem przez ten akt prawny dotychczasowego podziału na operatorów usług kluczowych (OUK) i dostawców usług cyfrowych (DUC), na podmioty kluczowe i podmioty ważne. Ponadto rozszerzeniu ulegnie katalog sektorów objętych dyrektywą NIS 2. Dyrektywa ta określa również szereg obowiązków podmiotów kluczowych i podmiotów ważnych. Jako podstawowy obowiązek należy wskazać stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Przez nowelizację ustawy o KSC zostaną wdrożone także postanowienia unijnego zestawu środków dla cyberbezpieczeństwa sieci 5G (Toolbox 5G). Ponadto uchwalona w dniu 23 stycznia 2026 r. nowelizacja ustawy o KSC dotyczy w szczególności: 1) rozszerzenia katalogu podmiotów KSC o nowe sektory gospodarki; 2) nałożenia obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2; 3) wprowadzenia obowiązku zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) sektorowych i CSIRT poziomu krajowego; 4) utworzenia CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa; 5) wzmocnienia kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa (organów właściwych); 6) wprowadzenia nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne; 7) wprowadzenia Krajowego planu reagowania w cyberbezpieczeństwie na dużą skalę; na incydenty i sytuacje kryzysowe 8) rozszerzenia kompetencji ministra właściwego do spraw informatyzacji (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego); 9) rozszerzenia kompetencji ministra właściwego do spraw informatyzacji i Ministra Obrony Narodowej o zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę; 10) rozszerzenia zakresu zadań CSIRT-ów poziomu krajowego (CSIRT MON, CSIRT NASK i CSIRT GOV), które będą mogły m.in. przeprowadzić ocenę bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmioty KSC i prowadzić działania w zakresie identyfikowania podatności systemów dostępnych w otwartych sieciach teleinformatycznych; Strona 13 z 74  Monitor Polski – 15 – Poz. 309 11) wprowadzenia odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa. Ocena KSC wskazuje na potrzebę lepszej koordynacji i zinstytucjonalizowanego zarządzania cyberbezpieczeństwem na poziomie krajowym. W związku z tym w nowelizacji ustawy o KSC zostanie wzmocniona rola Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa (Pełnomocnik), który otrzyma więcej uprawnień, aby lepiej zarządzać i koordynować KSC. Funkcja Pełnomocnika zostanie na stałe związana z urzędem obsługującym ministra właściwego do spraw informatyzacji. Pełnomocnik zostanie także przewodniczącym Zespołu do spraw Incydentów Krytycznych, a do urzędu go obsługującego zostanie przeniesiona obsługa tego Zespołu. Rola Pełnomocnika będzie dalej wzmacniana. Będzie on koordynował w porozumieniu z Ministrem Obrony Narodowej działania w zakresie współpracy cywilno-wojskowej w obszarze cyberbezpieczeństwa w czasie pokoju. Pozwoli to zwiększyć efektywność działań i należycie zsynchronizować aktywności w obszarze cyberbezpieczeństwa podejmowane zarówno w sferze wojskowej, jak i cywilnej, a przez to skuteczniej realizować cele strategiczne. W uchwalonej zmianie ustawy o KSC sformalizowane zostanie funkcjonowanie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa (PCOC), które działa od 2022 r. Formuła spotkań koordynacyjnych w formacie PCOC, w których biorą udział przedstawiciele kluczowych dla cyberbezpieczeństwa kraju instytucji, dzięki szybkiej wymianie informacji i sprawnemu reagowaniu na pojawiające się incydenty cyberbezpieczeństwa, stanowi istotną wartość dodaną dla KSC. W kolejnym kroku nastąpi rozszerzenie charakteru PCOC przez utworzenie pod tą nazwą komórki organizacyjnej w urzędzie obsługującym ministra właściwego do spraw informatyzacji, która będzie organizacyjnie i merytorycznie obsługiwać Pełnomocnika i spotkania PCOC, koordynować z ramienia Pełnomocnika działania instytucji zapewniających cyberbezpieczeństwo na poziomie krajowym oraz realizować część zadań ministra właściwego do spraw informatyzacji przewidzianych w ustawie o KSC. Docelowo PCOC zostanie przekształcone w centralną instytucję zapewniającą cyberbezpieczeństwo na poziomie krajowym, dysponującą odpowiednią pozycją ustrojową, kompetencjami, zasobami osobowymi, budżetem i infrastrukturą. Nowa instytucja będzie pełnić funkcję koordynującą w KSC, a także będzie stanowić „jedno okienko” dla podmiotów KSC i obywateli w zakresie zgłaszania incydentów, jak również będzie odpowiadać za wsparcie działań Pełnomocnika. Pozwoli to jeszcze bardziej zwiększyć efektywność systemu i zapewni sprawniejsze reagowanie na zagrożenia w cyberprzestrzeni. Wnioski krajowe oraz z innych państw pokazują, że potrzebne jest powołanie do życia nowej instytucji centralnej, odpowiedzialnej za cyberbezpieczeństwo w skali całego państwa, pozwalającej w sposób centralny zarządzać cyberbezpieczeństwem w RP. W związku z rozbudowywaniem i komplikacją przepisów dotyczących cyberbezpieczeństwa na poziomie UE, PCOC będzie wspierać działania mające na celu upraszczanie i harmonizację wdrażania przepisów dotyczących cyberbezpieczeństwa, w tym identyfikowanie obszarów przenikania się regulacji, synchronizację działań i uproszczenie procedur dla podmiotów zobowiązanych do stosowania regulacji związanych z cyberbezpieczeństwem. Jednocześnie ważnym uzupełnieniem KSC jest ustawa o KSCC, która wprowadziła system certyfikacji cyberbezpieczeństwa w RP oraz procedury niezbędne do zapewnienia prawidłowości procesów certyfikacyjnych. W obliczu rosnącej liczby aktów prawa UE i prawa krajowego dotyczących cyberbezpieczeństwa będą prowadzone działania, które pozwolą zadbać o ich należytą harmonizację i skoordynowane wdrażanie. Do porządku krajowego zaimplementowane zostaną lub zostanie zapewnione stosowanie także sektorowych regulacji UE, w tym rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (rozporządzenie 2022/2554)13) oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 13) Dz. Urz. UE L 333 z 27.12.2022, str. 1 oraz Dz. Urz. UE L 2024/90177 z 12.03.2024. Strona 14 z 74  Monitor Polski – 16 – Poz. 309 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego14). 5.2. Podniesienie efektywności krajowego systemu cyberbezpieczeństwa Wzrastająca skala zagrożeń oraz związane z tym zwiększanie zakresu działań w ramach KSC stwarzają konieczność ciągłego monitorowania i poprawiania efektywności całego systemu, aby należycie zapewniać bezpieczeństwo polskiej cyberprzestrzeni i koordynować służące temu działania. Podnoszenie efektywności funkcjonowania KSC jest realizowane m.in. przez uruchomiony z dniem 1 stycznia 2021 r. przez ministra właściwego do spraw informatyzacji system S46 wspierający: 1) współpracę podmiotów wchodzących w skład KSC; 2) generowanie i przekazywanie rekomendacji dotyczących działań podnoszących poziom cyberbezpieczeństwa; 3) zgłaszanie i obsługę incydentów cyberbezpieczeństwa; 4) szacowanie ryzyka na poziomie krajowym; 5) ostrzeganie o cyberzagrożeniach; 6) czynności nadzorcze organów właściwych; 7) dokonywanie zgłoszenia naruszenia ochrony danych osobowych. System S46 będzie rozwijany, w tym przez zwiększenie jego efektywności oraz wprowadzenie nowych funkcjonalności, takich jak gromadzenie informacji o podmiotach kluczowych i podmiotach ważnych (po wejściu w życie projektowanej nowelizacji ustawy o KSC), istotne z punktu widzenia zarządzania KSC. Ponadto do systemu S46 będą przyłączone kolejne podmioty KSC, w tym wszystkie podmioty kluczowe i podmioty ważne. System S46 będzie podstawą wymiany informacji między podmiotami kluczowymi, podmiotami ważnymi oraz instytucjami państwowymi. Informacje z tego systemu będą również przekazywane do organów odpowiedzialnych za zarządzanie kryzysowe. Zmodernizowany system S46 będzie też wykorzystywany przez PCOC dla zautomatyzowania wymiany informacji w ramach KSC. Uruchomiony został także portal cyber.gov.pl – nowoczesna, rządowa platforma stworzona z myślą o bezpieczeństwie cyfrowym obywateli, firm i instytucji publicznych. W jednym miejscu znajdują się wszystkie kluczowe usługi i narzędzia – od zgłaszania incydentów, przez monitorowanie zagrożeń, po dostęp do rozwiązań takich jak system Artemis, S46 czy aplikacji moje.cert.pl. Platforma oferuje również dostęp do bazy wiedzy, szkoleń, ostrzeżeń i praktycznych informacji o obowiązkach wynikających z ustawy o KSC i dyrektywy NIS 2. Dzięki integracji m.in. z węzłem krajowym identyfikacji elektronicznej, o którym mowa w art. 21a ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej15), logowanie i korzystanie z serwisu będzie łatwe i bezpieczne. Działaniem zmierzającym do budowania krajowego i europejskiego cyberbezpieczeństwa będzie wytworzenie w oparciu o system S46 oraz usługę wymiany informacji na temat incydentów bezpieczeństwa sieci n6 krajowej platformy wspomagającej wykrywanie i budowanie świadomości sytuacyjnej zagrożeń i incydentów cyberbezpieczeństwa dla sektora publicznego i prywatnego, stanowiącej Krajowy Cyber Hub (National Cyber Hub – NCH). Docelowo platforma ta stanie się elementem europejskiej sieci komunikacji o zagrożeniach cyberbezpieczeństwa (European Cybersecurity Alert System). Wzmacniana będzie rola organów właściwych przez zwiększenie ich uprawnień związanych z nadzorem danego sektora, ponadto organ właściwy będzie ustanawiać CSIRT sektorowy. Oprócz możliwości przeprowadzania kontroli organy właściwe zyskają m.in. możliwość zobowiązania 14) 15) Dz. Urz. UE L 333 z 27.12.2022, str. 153. Dz. U. z 2024 r. poz. 1725 oraz z 2026 r. poz. 252. Strona 15 z 74  Monitor Polski – 17 – Poz. 309 podmiotu w drodze decyzji do przeprowadzenia audytu bezpieczeństwa czy uprawnienie do nakazania podmiotom podjęcia określonych czynności dotyczących obsługi incydentu. W określonych ustawowo sytuacjach organ właściwy będzie mógł z urzędu wpisać dany podmiot do wykazu podmiotów kluczowych i podmiotów ważnych. Organy właściwe będą ponadto odgrywać istotną rolę w zakresie oceny bezpieczeństwa łańcucha dostaw. Organy właściwe będą także zacieśniać współpracę między sobą, aby należycie synchronizować działania podejmowane w poszczególnych sektorach, zapewniać sobie wzajemną pomoc oraz w stosownych przypadkach prowadzić wspólne działania nadzorcze. Wzmacniana będzie efektywność zespołów cyberbezpieczeństwa podmiotów KSC, w szczególności tych, których systemy teleinformatyczne lub sieci teleinformatyczne są objęte jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład IK. Specjalistyczne ćwiczenia i warsztaty cyberbezpieczeństwa, w tym w formacie międzynarodowym, z wykorzystaniem nowoczesnych platform typu CyberRange i zaawansowanych scenariuszy adresujących współczesne wyzwania i zagrożenia w domenie cyberbezpieczeństwa, dadzą możliwość zgrywania zespołów cyberbezpieczeństwa oraz weryfikacji ich umiejętności w bezpośrednich działaniach. W ramach struktur Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (NASK), w ramach którego funkcjonuje jeden z CSIRT-ów poziomu krajowego (CSIRT NASK) – zostanie utworzone Centrum Cyberbezpieczeństwa NASK (CCN), na które złożą się jakościowo nowe tematyczne specjalistyczne centra, ośrodki i laboratoria kluczowe dla wzmocnienia KSC. Realizacja tego działania pozwoli na podniesienie poziomu bezpieczeństwa informacji, przez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych państwa oraz podmiotów mających kluczowe znaczenie dla gospodarki. Niezbędne zmiany zostaną również wprowadzone w strukturze Agencji Bezpieczeństwa Wewnętrznego (ABW), polegające na powołaniu nowej jednostki organizacyjnej posiadającej kompetencje w zakresie rozpoznawania, przeciwdziałania i zwalczania cyberterroryzmu i cyberszpiegostwa. Newralgicznym elementem KSC są jednostki samorządu terytorialnego (JST). Stworzone zostaną wojewódzkie zespoły specjalistów cyberbezpieczeństwa działających lokalnie i wspierających podmioty publiczne w obsłudze incydentów i odzyskiwaniu danych oraz prowadzeniu działań podnoszących świadomość o cyberbezpieczeństwie. Kontynuowany będzie program Cyberbezpieczny Samorząd obejmujący szkolenia i zakupy niezbędnego sprzętu i oprogramowania. Rząd będzie wspierać JST w budowie i rozbudowie samorządowych struktur odpowiedzialnych za cyberbezpieczeństwo tych jednostek, co jest szczególnie istotne, biorąc pod uwagę ograniczone zasoby poszczególnych JST. W celu ograniczenia deficytu specjalistów z obszaru cyberbezpieczeństwa w jednostkach samorządu terytorialnego zostanie uruchomione przedsięwzięcie budowy Lokalnych Centrów Cyberbezpieczeństwa, działających jako Centra Usług Wspólnych w obszarze IT, które zapewnią wysoki poziom cyberbezpieczeństwa dla wielu instytucji działających na szczeblu lokalnym i regionalnym. Prowadzone będą również działania zorientowane na wsparcie samorządów na poziomie wojewódzkim w zakresie realizacji przedsięwzięć w obszarze cyberbezpieczeństwa w ramach programów regionalnych. W kontekście podnoszenia poziomu cyberbezpieczeństwa kluczowe znaczenie ma zapewnienie dostępu do wiedzy eksperckiej dotyczącej cyberzagrożeń. Jednym ze sposobów na zapewnienie takiego dostępu jest tworzenie Centrów Wymiany i Analizy Informacji (ISAC) oraz ośrodków kompetencji. ISAC gromadzi informacje o podatnościach i cyberzagrożeniach, a następnie przekazuje te informacje oraz zestawy dobrych praktyk do podmiotów, które uczestniczą w systemie wymiany takich informacji. Funkcjonowanie ISAC w sektorach objętych zakresem ustawy o KSC, a także jej nowelizacji, które mają kluczowe znaczenie dla polskiej gospodarki, przyczyni się do wzmocnienia współpracy i zaufania między podmiotami z tego samego sektora. Tworzenie ISAC w dalszym ciągu będzie wspierane na zasadach ogólnych – na przykład w formie stowarzyszeń, fundacji, partnerstw publiczno-prywatnych lub innych jednostek organizacyjnych, bez regulowania tej materii w ustawie KSC. Kontynuowane będą działania dotyczące cyberbezpieczeństwa w ramach systemu zarządzania kryzysowego oraz zarządzania kryzysowego w cyberbezpieczeństwie w ramach KSC. Nowym elementem będzie przygotowanie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę oraz monitorowanie jego wykonania. Pozwoli to zbliżyć Strona 16 z 74  Monitor Polski – 18 – Poz. 309 regulacje KSC oraz zarządzania kryzysowego, zapewniając przepływ niezbędnych informacji i synergię działań. Działania te obejmować będą także zwiększenie cyberbezpieczeństwa IK. Zgodnie z rozporządzeniem delegowanym Komisji (UE) 2024/1366 z dnia 11 marca 2024 r. uzupełniającym rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej16) (Kodeks Sieci) w ramach Krajowego planu zostaną również uwzględnione kwestie zarządzania kryzysami i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej (art. 41 ust. 2 i 3 Kodeksu Sieci). Rozwijane będą zdolności analityczne w oparciu o dane na potrzeby określania dalszego kierunku rozwoju KSC oraz przewidywania i prognozowania rozwoju sytuacji w środowisku cyberbezpieczeństwa (cyber-foresight). Rozwiązania z zakresu technologii informacyjno-telekomunikacyjnych (ICT) wspierające działalność analityczną będą współdzielone przez podmioty KSC, jak również wzajemnie udostępniane będą uzyskane z użyciem tych rozwiązań produkty analityczne. 5.3. Rozwój zintegrowanego systemu wymiany informacji na potrzeby zapewnienia ciągłości funkcjonowania administracji państwowej, bezpieczeństwa narodowego i ochrony ludności Systemy bezpiecznej wymiany informacji na potrzeby kierowania bezpieczeństwem narodowym są konieczne nie tylko dla zapewnienia cyberbezpieczeństwa w kraju, ale także dla kompleksowego systemu bezpieczeństwa narodowego. Utworzony zostanie System Bezpiecznej Łączności Państwowej (SBŁP) zapewniający wymianę informacji między organami odpowiedzialnymi za realizację zadań z zakresu zarządzania kryzysowego, bezpieczeństwa państwa, ochrony porządku publicznego, ratownictwa, ochrony ludności i obrony cywilnej. Podsystemy tworzące SBŁP obejmą swoim zakresem jawną i niejawną łączność stacjonarną, infrastrukturę wideokonferencyjną, bezpieczną łączność mobilną, w tym niejawną łączność komórkową, łączność trankingową, łączność radiową oraz bezpieczną łączność satelitarną. Nastąpi wzmocnienie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach przepływu informacji. Zapewnione zostaną wydajne, bezpieczne i dostępne usługi systemów telekomunikacyjnych, pozwalające na dostarczanie usług łączności także w przypadkach relokowania stanowisk kierowania i dowodzenia w kontekście ochrony ludności, zwiększenia bezpieczeństwa obywateli i skuteczności reagowania na sytuacje kryzysowe. Rozwijane będą rozwiązania kryptograficzne, w tym mechanizmy szyfrowania i bezpiecznej transmisji danych. Powstanie hybrydowa infrastruktura umożliwiająca przełączanie między sieciami naziemnymi a systemami satelitarnymi w przypadku zakłóceń. Zostanie opracowana możliwość komunikacji między systemem a rozwiązaniami wojskowymi w czasie pokoju, kryzysu i konfliktu. Bezpośrednimi użytkownikami systemu będą organy administracji publicznej, urzędy obsługujące te organy oraz jednostki organizacyjne podległe tym organom lub przez nie nadzorowane wykonujące zadania z zakresu bezpieczeństwa państwa, ochrony porządku publicznego, ratownictwa, ochrony ludności i obrony cywilnej oraz zarządzania kryzysowego, powiadamiania, ostrzegania i alarmowania ludności. Kontynuowane będą zbudowane i wdrożone już rozwiązania bezpiecznej łączności mobilnej: system łączności mobilnej umożliwiający przetwarzanie informacji niejawnych do klauzuli „zastrzeżone” w oparciu o system CATEL (SKR-Z), bazujący na wytycznych dotyczących budowy i zasad funkcjonowania systemu CATEL, jak również „Komunikator” mający na celu zapewnienie bezpiecznej (jawnej) komunikacji rządowej i KSC na urządzeniach służbowych. Nacisk będzie położony na utrzymanie tych systemów na wysokim poziomie dostępności, z zapewnieniem ich dostępności cyfrowej oraz sukcesywne zwiększanie liczby użytkowników oraz wzbogacanie funkcjonalności 16) Dz. Urz. UE L 2024/1366 z 24.05.2024, Dz. Urz. UE L 2024/90558 z 16.09.2024 oraz Dz. Urz. UE L 2025/1759 z 25.08.2025. Strona 17 z 74  Monitor Polski – 19 – Poz. 309 systemu. Rozwijana będzie też platforma elektronicznego zarządzania dokumentami niejawnymi zabezpieczona krajowymi rozwiązaniami kryptograficznymi oraz dokonane zostaną niezbędne zmiany w przepisach prawa umożliwiające funkcjonowanie platformy zgodnie z wymogami dotyczącymi ochrony informacji niejawnych. Zostanie również stworzony komunikator narodowy na potrzeby administracji publicznej. Podejmowane będą działania, aby wykorzystywane, komercyjne rozwiązania komunikacyjne były zastępowane rozwiązaniami udostępnianymi przez instytucje państwowe. 5.4. Zwiększanie cyberbezpieczeństwa podmiotów nadzorowanych przez organy właściwe do spraw cyberbezpieczeństwa Uchwalona zmiana ustawy o KSC związana z wdrożeniem dyrektywy NIS 2 doprowadzi do zastąpienia OUK i DUC przez podmioty kluczowe i podmioty ważne. Dotychczasowy podział na OUK oraz DUC okazał się nieaktualny, ponieważ nie odzwierciedlał znaczenia danych sektorów oraz usług dla działalności społecznej i gospodarczej państw członkowskich UE. Dlatego zakresem obowiązywania dyrektywy NIS 2, a tym samym projektowanej ustawy implementującej tę dyrektywę, objęto nowe sektory gospodarki mające kluczowe znaczenie dla działalności społecznej i gospodarczej państwa. Oprócz rozszerzenia zakresu podmiotowego dyrektywa NIS 2 wprowadziła również m.in. znacznie rozbudowany katalog obowiązków, którym podlegają podmioty kluczowe i podmioty ważne. Zobowiązanie podmiotów kluczowych i podmiotów ważnych do wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie przyczyni się w znacznym stopniu do zwiększenia poziomu cyberbezpieczeństwa tych podmiotów, a tym samym bezpieczeństwa na poziomie krajowym, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz zapewnienie obsługi incydentów. Wzrost liczby cyberataków wymaga podjęcia konkretnych działań strategicznych wpływających na zwiększenie poziomu cyberbezpieczeństwa podmiotów kluczowych oraz podmiotów ważnych. CSIRT będą zapewniać właściwe wsparcie (w tym prowadzenie działań proaktywnych) w zakresie cyberbezpieczeństwa i bezpieczeństwa podmiotów kluczowych i podmiotów ważnych. Szczególna uwaga będzie zwrócona na podmioty powiązane funkcjonalnie/technologicznie z IK, administracją publiczną oraz instytucjami bezpieczeństwa i obronności państwa, jako potencjalne cele ataku. Szkolenia dla podmiotów KSC obejmą także kwestie zabezpieczenia interesów podmiotów od strony prawnej w sytuacji wystąpienia incydentu poważnego. Cyberbezpieczeństwo podmiotów kluczowych i podmiotów ważnych zostanie zwiększone również przez zapewnienie skutecznego nadzoru nad tymi podmiotami, który będzie sprawowany przez organy właściwe do spraw cyberbezpieczeństwa prewencyjnie lub następczo – w zależności od rodzaju podmiotu. Wyposażenie organów właściwych do spraw cyberbezpieczeństwa w szersze kompetencje nadzorcze pozwoli na zapewnienie odpowiednio wysokiego poziomu cyberbezpieczeństwa, w szczególności przez wydawanie poleceń co do obsługi incydentu, wdrożenia zaleceń z audytu czy nakazanie zapewnienia zgodności środków zarządzania ryzykiem w cyberbezpieczeństwie. Ważną rolę w zapewnianiu cyberbezpieczeństwa podmiotów kluczowych i podmiotów ważnych będzie pełnić nadzór o charakterze prewencyjnym, który ma na celu zapewnienie, że podmioty kluczowe będą zdolne do uniknięcia cyberzagrożeń i naruszeń przepisów ustawy o KSC, które mogą prowadzić do wystąpienia incydentów. Ponadto podmiotom tym zostanie udostępniony system S46, co umożliwi im m.in. bardziej efektywne zarządzanie cyberbezpieczeństwem oraz współpracę i wymianę informacji z innymi podmiotami KSC. Wdrożone zostaną postanowienia Kodeksu Sieci, których stosowanie umożliwią przepisy przygotowanej nowelizacji ustawy o KSC. Kodeks Sieci zapewnia dodatkowy katalog obowiązków w celu zwiększania cyberbezpieczeństwa dla podmiotów, które mają wpływ na transgraniczne przepływy energii elektrycznej, jak i katalog uprawnień nadzorczych i obowiązków w zakresie współpracy krajowej i międzynarodowej dla wyznaczonego w tym zakresie organu właściwego. Efektem tych działań będzie wzmocnienie współpracy między poszczególnymi podmiotami oraz właściwymi organami w dziedzinie energii elektrycznej i cyberbezpieczeństwa, a także ułatwienie zapobiegania kryzysom elektroenergetycznym, których podstawową przyczyną może być incydent cyberbezpieczeństwa. Strona 18 z 74  Monitor Polski – 20 – Poz. 309 W cyklicznie odbywających się ćwiczeniach cyberbezpieczeństwa na większą skalę będą uczestniczyć także podmioty kluczowe i podmioty ważne. Udzielone zostanie również wsparcie dla 500 podmiotów KSC w modernizacji i rozbudowie infrastruktury cyberbezpieczeństwa w sieciach IT, w tym wsparcie podmiotów wykorzystujących technologie informacyjne (IT) oraz technologie operacyjne (OT) stosowane w przemysłowych systemach sterowania (ICS). 5.5. Wypracowanie i wdrożenie metodyki sza …

🔗 Do źródła urzędowego

Wyjaśnienie AI na podstawie urzędowego tekstu ustawy. Orientacyjne, nie zastępuje porady prawnej.