do ministra cyfryzacji
w sprawie wdrażania nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz skutków implementacji dyrektywy NIS2
Zgłaszający: Marcin Skonieczka
Data wpływu: 30-01-2026
Szanowny Panie Ministrze,
w dniu 23 stycznia 2026 r. Sejm Rzeczypospolitej Polskiej uchwalił nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), której celem jest wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) oraz wzmocnienie bezpieczeństwa teleinformatycznego w sektorze publicznym i prywatnym.
Dyrektywa NIS2 w sposób istotny rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa, wprowadza podział na podmioty kluczowe oraz ważne, zaostrza wymagania organizacyjne i techniczne, a także zwiększa odpowiedzialność kadry zarządzającej za zapewnienie odpowiedniego poziomu ochrony systemów informacyjnych.
W debacie publicznej oraz w środowiskach branżowych zwraca się uwagę, że wdrożenie nowych regulacji – choć niezbędne z punktu widzenia bezpieczeństwa państwa – wiąże się z istotnymi wyzwaniami praktycznymi, w szczególności dotyczącymi harmonogramu implementacji przepisów, kosztów dostosowania systemów teleinformatycznych oraz dostępności zasobów kadrowych.
Jednostki samorządu terytorialnego, a także operatorzy usług kluczowych i inne podmioty objęte nowymi regulacjami podkreślają, że realizacja obowiązków wynikających z nowelizacji KSC wymaga nie tylko modernizacji infrastruktury informatycznej, lecz także przeszkolenia personelu, aktualizacji procedur zarządzania ryzykiem i ciągłości działania, a także zapewnienia stabilnego finansowania tych działań. Wiele gmin i instytucji sygnalizuje ponadto potrzebę uzyskania jednoznacznych wytycznych operacyjnych i wsparcia technicznego, aby uniknąć ryzyka rozbieżnych interpretacji przepisów oraz nadmiernego obciążenia organizacyjnego.
W świetle powyższego zasadne jest uzyskanie informacji dotyczących harmonogramu wdrażania nowych regulacji, planowanych form wsparcia dla podmiotów objętych ustawą oraz działań koordynacyjnych prowadzonych przez Ministerstwo Cyfryzacji.
W związku z powyższym zwracam się z uprzejmą prośbą o odpowiedź na następujące pytania:
1. Jaki jest aktualny harmonogram wdrażania obowiązków wynikających z dyrektywy NIS2 oraz nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, w szczególności w odniesieniu do jednostek samorządu terytorialnego oraz podmiotów zaliczanych do kategorii podmiotów kluczowych i ważnych, w tym z uwzględnieniem ewentualnych okresów przejściowych oraz terminów rozpoczęcia egzekwowania poszczególnych obowiązków?
2. Czy Ministerstwo Cyfryzacji przeprowadziło ocenę kosztów dostosowania się do nowych wymogów przez jednostki samorządu terytorialnego oraz inne podmioty objęte nowelizacją KSC, a jeżeli tak – jakie są jej główne wnioski oraz czy przewidywane są mechanizmy wsparcia finansowego, szkoleniowego lub technicznego dla tych podmiotów?
3. Czy planowane jest przygotowanie ujednoliconych wytycznych operacyjnych, dobrych praktyk lub zestawu narzędzi referencyjnych, które pomogą jednostkom samorządu terytorialnego oraz operatorom usług kluczowych i innym podmiotom objętym regulacją w zgodnym i efektywnym wdrożeniu przepisów w celu ograniczenia ryzyka niespójnych interpretacji oraz nadmiernych obciążeń administracyjnych?
Z poważaniem
Marcin Skonieczka
Poseł na Sejm RP