Dzieje się Ten wpis stanowi część relacji na żywo z 31.10.2025
NEWSROOM XYZ
Archiwalny
31.10.2025 10:17

Polska wprowadza przepisy o „dostawcach wysokiego ryzyka”. Nowe narzędzie ochrony przed cyberatakami

Rząd przyjął projekt ustawy, który pozwoli wskazać producentów sprzętu i oprogramowania mogących zagrażać bezpieczeństwu państwa. Nowe przepisy mają chronić kluczowe systemy – od energetyki po bankowość – przed ingerencją z zewnątrz.

Nowe przepisy o cyberbezpieczeństwie

21 października 2025 r. Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Dokument wprowadza pojęcie „dostawcy wysokiego ryzyka” – czyli producenta sprzętu lub oprogramowania, który może stanowić zagrożenie dla bezpieczeństwa publicznego.

Nowe przepisy pozwolą wycofać z użycia produkty ICT uznane za niebezpieczne w podmiotach kluczowych dla funkcjonowania państwa. Chodzi o takie sektory jak energetyka, bankowość czy ochrona zdrowia.

Minister cyfryzacji będzie mógł wydać decyzję wskazującą dostawcę wysokiego ryzyka. Wtedy instytucje publiczne i firmy kluczowe nie będą mogły kupować jego produktów ani usług. Jeśli już z nich korzystają, będą musiały wycofać je w ciągu 7 lat, a w przypadku krytycznych funkcji telekomunikacyjnych – w ciągu 4 lat.

Ministerstwo Cyfryzacji podkreśla, że regulacja ma charakter prewencyjny – nie oznacza automatycznego zakazu działalności żadnej firmy, lecz tworzy narzędzie do reagowania na potencjalne zagrożenia.

Cel i znaczenie ustawy

Celem nowych przepisów jest ochrona infrastruktury krytycznej i kluczowych usług, z których korzystają obywatele – od dostaw energii i wody po dostęp do bankowości internetowej.

Obecnie w Polsce brakuje przepisów, które pozwalałyby wycofać z rynku produkty stwarzające ryzyko dla bezpieczeństwa narodowego. Zgodnie z komunikatem resortu, atak na niebezpieczny system mógłby sparaliżować działanie państwa i doprowadzić do przejęcia ogromnych ilości danych.

Nowe regulacje wpisują się w europejskie standardy cyberbezpieczeństwa. Podobne przepisy funkcjonują już w większości państw Unii Europejskiej. Ministerstwo zaznacza, że ustawa nie jest wymierzona w firmy z żadnego konkretnego kraju – decyzje będą dotyczyły konkretnych podmiotów, niezależnie od ich pochodzenia.

Jak będzie wyglądało postępowanie?

Postępowanie w sprawie uznania firmy za dostawcę wysokiego ryzyka będzie mógł rozpocząć minister cyfryzacji – z własnej inicjatywy lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa.

W toku postępowania Kolegium przygotuje opinię o potencjalnych zagrożeniach dla bezpieczeństwa narodowego. W skład zespołu wejdą przedstawiciele administracji i Urząd Ochrony Konkurencji i Konsumentów (UOKiK). Swoje stanowisko będą mogły przedstawić również organizacje społeczne.

Minister rozpatrzy sprawę na podstawie obiektywnych przesłanek, takich jak incydenty bezpieczeństwa, podatności sprzętu czy certyfikaty jakości. Jeśli uzna, że dostawca stanowi zagrożenie, wskaże w decyzji konkretne typy produktów lub usług ICT, które mają zostać wycofane.

Przejrzyste zasady i gwarancje dla przedsiębiorców

Decyzja o uznaniu danego podmiotu za dostawcę wysokiego ryzyka będzie wynikiem wieloetapowego i transparentnego postępowania. Kolegium ds. Cyberbezpieczeństwa oceni m.in. czy działalność dostawcy może zagrozić obronności państwa, bezpieczeństwu publicznemu lub zobowiązaniom wobec sojuszników – NATO i UE.

Analizie podlegać będą także powiązania kapitałowe i właścicielskie firmy, liczba wykrytych podatności czy nadzór nad procesem produkcji. Każdy przedsiębiorca objęty postępowaniem zachowa prawo do obrony – będzie mógł przedstawiać dowody i własne stanowisko. Jeśli zostanie uznany za dostawcę wysokiego ryzyka, będzie miał prawo odwołać się do sądu administracyjnego.

Kogo obejmą nowe przepisy?

Decyzje ministra będą wiążące dla podmiotów kluczowych i ważnych dla funkcjonowania państwa. To m.in. przedsiębiorstwa energetyczne, banki i dostawcy wody pitnej.

W sektorze telekomunikacyjnym obowiązek wycofania sprzętu obejmie tylko firmy, których roczne przychody przekroczyły 10 mln zł. Podmioty objęte regulacją będą miały kilka lat na dostosowanie się do nowych wymogów.

Do czasu pełnego wycofania sprzętu lub oprogramowania będzie można z nich korzystać, naprawiać je i modernizować – o ile nie zwiększy to ryzyka dla bezpieczeństwa. Dzięki temu organizacje będą mogły utrzymać ciągłość działania i zaplanować wydatki na wymianę sprzętu w dłuższej perspektywie.

Sankcje za brak działań

Podmioty, które nie zastosują się do decyzji ministra, zapłacą kary finansowe.
Dla podmiotów kluczowych minimalna kara wyniesie 20 tys. zł, a dla podmiotów ważnych – 15 tys. zł.

Wysokość sankcji będzie ustalana indywidualnie – kwotowo lub jako procent przychodów firmy. W przypadkach szczególnie poważnych naruszeń, powodujących zagrożenie dla obronności, bezpieczeństwa państwa lub życia i zdrowia ludzi, kara może sięgnąć 100 mln zł.

Resort podkreśla, że kary mają charakter ostateczności i będą stosowane wyłącznie wobec podmiotów, które uporczywie nie wywiązują się z obowiązków.

Termin wejścia w życie

Projekt ustawy został przyjęty przez Radę Ministrów 21 października 2025 r. i wkrótce trafi do Sejmu. Nowe przepisy wejdą w życie miesiąc po ich ogłoszeniu w Dzienniku Ustaw.

Ministerstwo Cyfryzacji zapewnia, że ustawa ma wzmocnić odporność państwa na cyberzagrożenia i zwiększyć bezpieczeństwo obywateli. Dzięki niej Polska – podobnie jak większość krajów UE – zyska narzędzie do eliminowania niebezpiecznych technologii z infrastruktury krytycznej.

Resort podsumowuje, że regulacja to inwestycja w stabilność i bezpieczeństwo cyfrowe państwa, która ma chronić obywateli przed konsekwencjami ataków z zewnątrz.

Źródło: Ministerstwo Cyfryzacji

Na zdjęciu ekrany komputerowe
Ministerstwo Cyfryzacji zapewnia, że ustawa ma wzmocnić odporność państwa na cyberzagrożenia i zwiększyć bezpieczeństwo obywateli. Dzięki niej Polska – podobnie jak większość krajów UE – zyska narzędzie do eliminowania niebezpiecznych technologii z infrastruktury krytycznej. Fot. Selcuk Acar/Anadolu via Getty Images