Ministerstwo cyfryzacji: Cyfrowa wojna trwa, coraz więcej cyberataków, więc coraz więcej firm na liście istotnych dla państwa
- Cyberataki w Polsce 2025: liczba incydentów wzrosła o 144% rok do roku, co oznacza rosnące zagrożenie dla państwa, firm i obywateli.
- Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (wdrażająca dyrektywę NIS2): wprowadza podział na podmioty kluczowe i ważne oraz znacząco rozszerza listę sektorów objętych regulacjami (m.in. energetyka, transport, zdrowie, finanse, IT, produkcja).
- Nowe obowiązki dla firm i instytucji: nawet 38 tys. podmiotów (w tym 27 tys. publicznych) musi dostosować procedury cyberbezpieczeństwa w ciągu 12 miesięcy, aby zwiększyć odporność Polski na cyberzagrożenia.
- Rok 2025 był rekordowy pod względem ataków i incydentów, które spadły na Polskę, których Polska doświadczyła. Cyfrowa wojna, która w Polsce i z Polską toczona przez inne państwa trwa, jest coraz bardziej widoczna w faktach — przestrzega wicepremier i minister cyfryzacji Krzysztof Gawkowski. Jak wynika ze sprawozdania o stanie cyberbezpieczeństwa Polski w 2025 r., w ubiegłym roku zarejestrowano 682 tys. zgłoszeń i obsłużono 273 tys. incydentów. Ich liczba w porównaniu z 2024 r. wzrosła o blisko 144 proc.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Zastąpiono dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne. A to oznacza, że lista podmiotów działających w sektorach istotnych dla funkcjonowania państwa, gospodarki oraz obywateli zostanie znacznie rozszerzona.
Cyberodporność państwa
Według szacunków, Krajowy System Cyberbezpieczeństwa może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych. Zgodnie z nowym podziałem storzone zostaną dwa sektory: podmiotów kluczowych i podmiotów ważnych.
Sektory kluczowe to:
1. Energia:
- wydobywanie kopalin
- energia elektryczna
- ciepło
- ropa i paliwa
- gaz
- energetyka jądrowa
- wodór
2. Transport:
- lotniczy
- kolejowy
- wodny
- drogowy
3. Bankowość i infrastruktura rynków finansowych
4. Ochrona zdrowia:
- udzielanie świadczeń zdrowotnych i zdrowie publiczne
- produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych
5. Zaopatrzenie w wodę pitną i jej dystrybucja
6. Zbiorowe odprowadzanie ścieków
7. Infrastruktura cyfrowa:
- infrastruktura cyfrowa z wyłączeniem
- komunikacji elektronicznej komunikacja elektroniczna
8. Zarządzanie usługami ICT
9. Przestrzeń kosmiczna
10. Podmioty publiczne
Sektory ważne
1. Usługi pocztowe
2. Inwestycje energetyki jądrowej
3. Gospodarowanie odpadami:
- zbieranie odpadów
- transport odpadów
- przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
- działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
4. Produkcja, wytwarzanie i dystrybucja chemikaliów
5. Produkcja, wytwarzanie i dystrybucja żywności
6. Produkcja:
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
- komputerów, wyrobów elektronicznych i optycznych
- urządzeń elektrycznych
- maszyn i urządzeń, gdzie indziej niesklasyfikowana
- pojazdów samochodowych, przyczep i naczep
- pozostałego sprzętu transportowego
7. Dostawcy usług cyfrowych
8. Badania naukowe
9. Podmioty publiczne, inne niż wymienione w Załączniku nr 1
Obecnie trwa 12-miesięczny okres dostosowawczy. A to oznacza, że firmy będą musiały przygotować wewnętrzne procesy i procedury, które będą zgodne z nowymi przepisami. W najbliższych dniach Minister Cyfryzacji przekaże do konsultacji publicznych projekt zestawienia wymogów dokumentów normalizacyjnych, w tym norm, przydatnych dla ustalenia szczegółowych wymagań dla poszczególnych sektorów kluczowych i sektorów ważnych w świetle Krajowego Systemu Cyberbezpieczeństwa.
