Zmiany w przepisach o cyberbezpieczeństwie – ustawa wdrażająca rozporządzenie DORA i kolejne wersje projektu ustawy implementującej dyrektywę NIS2

Ustawa wdrażająca DORA

6 sierpnia 2025 r. w Dzienniku Ustaw ogłoszono ustawę z 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich obligacji³. Jednym z jej głównych celów jest zapewnienie pełnego stosowania rozporządzenia DORA oraz towarzyszącej mu dyrektywy 2022/2556⁴.

Na wstępie warto przypomnieć, że rozporządzenia unijne – w tym DORA – obowiązują bezpośrednio w krajach członkowskich i co do zasady nie wymagają implementacji do prawa krajowego. Natomiast, aby DORA mogła być w pełni stosowana, konieczne było m.in. wyznaczenie właściwego organu krajowego odpowiedzialnego za nadzór nad podmiotami finansowymi w zakresie zgodności z DORA oraz określenie jego kompetencji.

Zgodnie z nową ustawą organem odpowiedzialnym za nadzór nad przestrzeganiem DORA przez podmioty finansowe została Komisja Nadzoru Finansowego (KNF). Do jej zadań należy m.in.:

• Prowadzenie postępowań kontrolnych wobec podmiotów finansowych w zakresie realizacji wymogów wynikających z DORA. Ustawa z 25 czerwca 2025 r. określa m.in. uprawnienia pracowników Urzędu Komisji Nadzoru Finansowego przeprowadzających kontrolę, wymogi dotyczące sporządzania protokołu pokontrolnego, zasady wydawania zaleceń pokontrolnych oraz realizacji innych uprawnień nadzorczych przez KNF.
• Przekazywanie podmiotom finansowym informacji o ryzyku zidentyfikowanym w zaleceniach wydawanych kluczowym zewnętrznym dostawcom usług ICT w rozumieniu DORA, a w szczególnych przypadkach wydawanie decyzji nakazującej podmiotowi finansowemu tymczasowe zawieszenie korzystania z usługi świadczonej przez takiego dostawcę albo nakazującą podmiotowi finansowemu wypowiedzenie postanowień umowy z dostawcą.
• Przyjmowanie zgłoszeń o poważnych incydentach ICT, a w przypadku podmiotów finansowych kwalifikowanych jako podmioty kluczowe lub podmioty ważne – przekazywanie takich zgłoszeń również do właściwych zespołów CSIRT.
• Decydowanie o nakazaniu określonym podmiotom finansowym przeprowadzenia testów penetracyjnych ukierunkowanych przez analizę zagrożeń (TLPT). Komisja może m.in. zlecić podmiotowi finansowemu zmniejszenie albo zwiększenie częstotliwości przeprowadzania tego rodzaju testów, zatwierdza ocenę podmiotu finansowego określającą które krytyczne lub istotne funkcje należy objąć zaawansowanymi testami oraz posiada kompetencje do zatwierdzania zamiaru korzystania z testerów zewnętrznych.

Polski ustawodawca postanowił nie korzystać z tzw. opcji narodowej przewidzianej w art. 2 ust. 4 DORA, która umożliwia wyłączenie określonych instytucji – takich jak spółdzielcze kasy oszczędnościowo-kredytowe (SKOK-i) czy Bank Gospodarstwa Krajowego (BGK) – z obowiązku stosowania DORA. W uzasadnieniu wskazano, że działalność SKOK-ów jest w dużej mierze zbliżona do działalności banków, a tym samym narażona na podobne ryzyka w obszarze cyberbezpieczeństwa. Ustawodawca wyłączył również możliwość stosowania uproszczonych zasad zarządzania ryzykiem ICT (art. 16 DORA) wobec SKOK-ów, które przekraczają pułapy określone dla średnich przedsiębiorstw.

Kolejne projekty zmian UKSC (implementacja NIS2)

W drugiej połowie sierpnia 2025 r. opublikowano kolejną, siódmą już, wersję projektu ustawy o krajowym systemie cyberbezpieczeństwa, mającej na celu wdrożenie do prawa polskiego dyrektywy NIS2⁵ („Projekt UKSC”). Projekt został datowany na 12 sierpnia 2025 r. Z kolei 18 września 2025 r. na stronach Rządowego Centrum Legislacji pojawiła się kolejna wersja Projektu UKSC z datą 16 września 2025 r.⁶

Najważniejsze zmiany wynikające z Projektu UKSC z 12 sierpnia 2025 r. w stosunku do jego poprzedniej wersji:

• Każdy organ właściwy do spraw cyberbezpieczeństwa będzie odpowiedzialny za prowadzenie własnego wykazu podmiotów kluczowych i podmiotów ważnych w zakresie nadzorowanego sektora (i w tym zakresie będzie administratorem danych zawartych w wykazie). Równocześnie Minister właściwy do spraw informatyzacji ma prowadzić centralny system teleinformatyczny, w którym będą prowadzone poszczególne wykazy.
• Rozszerzono katalog podmiotów uprawnionych do wymiany informacji dotyczących cyberbezpieczeństwa, w tym informacji o cyberzagrożeniach, podatnościach, wrogich taktykach, grupach przestępczych itp. Oprócz podmiotów kluczowych i podmiotów ważnych katalog rozszerzono m.in. o odpowiednie CSIRT, dostawców sprzętu lub oprogramowania dla tych podmiotów czy organizacje społeczne zrzeszające podmioty kluczowe lub podmioty ważne.
• Określono katalog przypadków, w których ocena bezpieczeństwa przeprowadzana przez odpowiedni CSIRT, w stosunku do podmiotów krajowego systemu cyberbezpieczeństwa, nie będzie mogła być przeprowadzona. Należą do nich przypadki, gdy podmiot krajowego systemu cyberbezpieczeństwa nie posiada kopii bezpieczeństwa badanego systemu, istnieje zagrożenie nieodwracalnego zniszczenia danych przetwarzanych w systemie, czy czas potrzebny na przywrócenie systemu z kopii bezpieczeństwa może w istotny sposób zakłócić pracę systemu lub ograniczyć jego dostępność. 
• Wprowadzono możliwość wniesienia skargi na decyzję organu właściwego do spraw cyberbezpieczeństwa dotyczącej m.in. wstrzymania udzielenia koncesji, ograniczenia jej zakresu, wstrzymania działalności podmiotu kluczowego, wstrzymania zezwolenia na prowadzenie działalności, nakładanej w przypadku, gdy podmiot nie dostosował się odpowiednich decyzji lub nakazów.
• Wyznaczenie podmiotów kluczowych lub podmiotów ważnych spośród jednostek podległych Ministrowi Obrony Narodowej będzie następować na podstawie jego decycji, która nie podlega ujawnieniu.

Jeśli chodzi o Projekt UKSC z 16 września 2025 r. to wprowadza on przede wszystkim zmiany o charakterze redakcyjnym lub technicznym. Warto podkreślić, że termin implementacji dyrektywy NIS2 minął już 17 października 2024 r., a Polska nadal znajduje się na etapie prac rządowych – przed skierowaniem projektu do Sejmu. To opóźnienie zwiększa ryzyko wszczęcia przez Komisję Europejską postępowania wobec Polski za niewdrożenie przepisów unijnych.

Przypisy:

¹ Rozporządzenie z Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej „DORA”).

² Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dalej „NIS2”)

³ Ustawa z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji, Dz. U. 2025 poz. 1069 (dalej „Ustawa z 25 czerwca 2025 r.”).

⁴ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego.

⁵ Źródło: https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055232

⁶ Ibidem.