Odporność infrastruktury krytycznej po nowemu - projekt nowelizacji Ustawy o Zarządzaniu Kryzysowym w Sejmie

Kontakt lokalny

13 mar 2026

Temat Serwis Audytorów Śledczych

Kategorie Prawo

Jurysdykcje Polska

Odporność i bezpieczeństwo infrastruktury krytycznej

Istotność bezpieczeństwa infrastruktury krytycznej rośnie wraz ze wzrostem zagrożeń atakami hybrydowymi i terrorystycznymi. Jak zapewnić ochronę infrastruktury krytycznej i zgodność z ustawą o zarządzaniu kryzysowym?
Przeczytaj więcej
Ochrona sygnalistów (whistleblowing)

Zapewnij ochronę sygnalistów zgodnie z prawem. Wdrożenie kanałów zgłaszania, ochrony i procedur. Skontaktuj się z nami, aby dowiedzieć się więcej o whistleblowing!
Przeczytaj więcej
EY Virtual Compliance Officer (EY VCO)

Dowiedz się jak EY Virtual Compliance Officer może wesprzeć pracę działu compliance w Twojej organizacji.
Przeczytaj więcej
Zarządzanie zgodnością i etyką (Compliance & Integrity)

Etyka i compliance to fundamenty zdrowych relacji biznesowych. Poznaj nasze rozwiązania wspierające zarządzanie zgodnością i budowanie etycznej kultury organizacyjnej.
Przeczytaj więcej

6 marca do Sejmu został przekazany długo oczekiwany projekt nowelizacji Ustawy o Zarządzaniu Kryzysowym (dalej „UZK”) oraz innych ustaw. Obecnie dokument znajduje się na etapie opiniowania przed skierowaniem do Marszałka Sejmu. UZK ma transponować postanowienia unijnej dyrektywy CER do polskiego systemu prawnego.

Dyrektywa CER (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. dotycząca odporności podmiotów krytycznych) została ustanowiona w celu zapewnienia ciągłości świadczenia usług kluczowych dla funkcjonowania podstawowych struktur społecznych oraz działalności gospodarczej na rynku wewnętrznym Unii Europejskiej. Przepisy dyrektywy mają również na celu zwiększenie odporności podmiotów krytycznych realizujących te zadania. Dyrektywa weszła w życie 16 stycznia 2023 roku, natomiast państwa członkowskie UE, w tym Polska, zobowiązane były do jej transpozycji do krajowego porządku prawnego do 17 października 2024 roku.

W Polsce prace nad transpozycją powierzono Rządowemu Centrum Bezpieczeństwa. Opracowany przez RCB projekt przewiduje nowelizację ponad dwudziestu aktów prawnych, przy czym najbardziej daleko idące zmiany dotyczą wspomnianej UZK.

Poniżej przedstawiamy podsumowanie kluczowych założeń projektu:

1. Wprowadzenie kategorii Operatora Infrastruktury Krytycznej (dalej „OIK”) oraz Podmiotu Krytycznego (dalej „PK”). Status Podmiotu Krytycznego uzyskuje OIK, który świadczy usługę kluczową. Sektory, podsektory i kategorie podmiotów objęte ustawą określa załącznik do ustawy. O uzyskaniu statusu OIK/PK podmioty zostaną zawiadomione przez odpowiednie organy i od tego czasu zacznie biec czas na wdrożenie rozwiązań zgodnych z określonym na drodze rozporządzenia standardem minimum (o których w dalszej części artykułu).

2. Wprowadzane rozwiązania powinny być adekwatne do systematycznie przeprowadzanej Analizy zagrożeń (OIK) i Oceny ryzyka (PK) aktualizowanej co najmniej raz na 2 lata.

3. Obowiązek zapewnienia ochrony infrastruktury krytycznej (OIK) / wdrożenia zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej (PK) poprzez zastosowanie rozwiązań w obszarach:

bezpieczeństwa fizycznego;
bezpieczeństwa technicznego;
bezpieczeństwa osobowego;
cyberbezpieczeństwa;
bezpieczeństwa prawnego;
ciągłości działania i odtwarzania;
ochrony informacji niejawnych w zakresie realizacji przedsięwzięć związanych z ochroną infrastruktury krytycznej / zdolności do ochrony informacji niejawnych w niezbędnym zakresie do zapewnienia świadczenia usługi kluczowej;
polityk zarządzania ryzykiem;
szkoleń i ćwiczeń personelu w celu jego przygotowania na różnego rodzaju zagrożenia i incydenty;
certyfikacji.

4. Obowiązek sporządzania w terminie do dnia 31 marca każdego roku raportu o stanie ochrony infrastruktury krytycznej za rok ubiegły (OIK).

5. Obowiązek przeprowadzania audytów systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej (PK)

Regularnych: co najmniej raz na trzy lata
Incydentalnych: W przypadku wystąpienia incydentu istotnego, organ do spraw podmiotów krytycznych może nakazać podmiotowi krytycznemu przeprowadzenie zewnętrznego audytu

6. Utrzymywanie odpowiedniej dokumentacji, której zakres i wymogi określa ustawa.

7. Wyznaczenie urzędników łącznikowych w terminie 30 dni od dnia otrzymania informacji o ujęciu w odpowiednim wykazie:

koordynatora ochrony infrastruktury krytycznej oraz jego zastępcy w celu realizacji zadań operatora infrastruktury krytycznej,
pełnomocnika bezpieczeństwa usługi kluczowej oraz jego zastępcy w celu realizacji zadań podmiotu krytycznego.

8. Obowiązki z zakresu zgłaszania i zarządzania incydentami.

9. Obowiązki z zakresu współpracy i wymiany informacji.

Pakiet dokumentów przekazanych do rozpatrzenia przez Sejm zawiera:

projekt nowelizacji UZK i innych ustaw,
załącznik do projektu nowelizacji UZK określający sektory, podsektory i kategorie podmiotów, które po spełnieniu określonych kryteriów (sektorowych i przekrojowych) mogą zostać uznane za infrastrukturę krytyczną,
dokumenty związane z procesem legislacyjnym.

Ponadto, na wcześniejszych etapach procesu legislacyjnego na stronie Rządowego Centrum Legislacyjnego udostępniano projekty aktów wykonawczych do UZK. Dokumenty te prezentują proponowany kształt aktów prawnych, które mogą zostać ostatecznie uchwalone przez Radę Ministrów. Rozporządzenia te określają m.in.:

Standard minimum: Rozporządzenie Rady Ministrów w sprawie minimalnych wymagań w zakresie bezpieczeństwa fizycznego, technicznego, osobowego, cyberbezpieczeństwa, prawnego oraz ciągłości działania infrastruktury krytycznej pełniące rolę wytycznych przy wdrażaniu rozwiązań z zakresu zapewnienia ochrony infrastruktury krytycznej
Wykaz norm, które PK uwzględnia przy wdrażaniu rozwiązań organizacyjno-technicznych
Wymogi dla osoby mogącej pełnić funkcję pełnomocnika do spraw ochrony infrastruktury krytycznej
Progi uznania incydentu za istotny
Wykaz usług kluczowych oraz progi istotności skutku zakłócającego incydentu dla świadczenia usług
Wymogi dla audytorów mogących przeprowadzać audyty systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej

Rozwiązania przewidziane w projekcie przekazanym do Sejmu znacząco rozbudują system zarządzania kryzysowego w kontekście infrastruktury krytycznej oraz podmiotów krytycznych. Spowoduje to poszerzenie zakresu podmiotów objętych UZK, a także zwiększy liczbę obowiązków związanych z ochroną infrastruktury krytycznej i zapewnieniem ciągłości świadczenia usług kluczowych. Da także podmiotom szereg możliwości, w tym m.in. w zakresie prowadzenia postępowań zakupowych oraz weryfikacji pracowników (w tym – w uzasadnionych przypadkach, z uwzględnieniem danych biometrycznych lub informacji z Krajowego Rejestru Karnego).

W związku z opóźnieniami w transpozycji dyrektywy CER do polskiego prawa oraz aktualną sytuacją geopolityczną można oczekiwać, że prawodawca nada priorytetowy charakter procesowi legislacyjnemu. W efekcie podmioty, które zostaną objęte ustawą, będą dysponować ograniczonym czasem na przeprowadzenie analiz i wdrożenie odpowiednich środków.

O dalszych postępach prac legislacyjnych oraz praktycznych implikacjach projektowanych zmian będziemy informować w naszym serwisie.

Zakres usług EY związanych z ochroną i bezpieczeństwem infrastruktury krytycznej prezentujemy na naszej stronie internetowej – tutaj.

Zobacz również

Bezpieczeństwo i odporność podmiotów krytycznych w Polsce w kontekście nowych regulacji

Bezpieczeństwo i odporność podmiotów krytycznych w Polsce w kontekście nowych regulacji.

Bezpieczeństwo w centrum uwagi: jak zaplanować i sfinansować inwestycje związane z obszarem bezpieczeństwa?

Nowelizacja ustawy o zarządzaniu kryzysowym, implementująca Dyrektywę CER rozszerzy lub wprowadzi obowiązki dla wielu firm w Polsce. Zapraszamy do udziału w webcaście.

EY TV dla Grup Kapitałowych: Odporność i bezpieczeństwo infrastruktury krytycznej. Nowe obowiązki dla przedsiębiorstw

Trwają prace nad nowymi przepisami, które uporządkują zasady ochrony infrastruktury krytycznej w Polsce. Zapraszamy do udziału w webcaście.

White-Collar Crime Webcast: Czy Twoja organizacja jest przygotowana na atak ransomware?

W ostatnich miesiącach polskie przedsiębiorstwa stały się celem coraz bardziej zaawansowanych ataków ransomware, a rok 2025 przyniósł kolejną zmianę jakościową w działaniach cyberprzestępców.

Zarządzanie kryzysowe w obliczu incydentu cyberbezpieczeństwa

Incydent cyberbezpieczeństwa potrafi sparaliżować działanie organizacji w ciągu kilku minut i wymaga precyzyjnej, skoordynowanej reakcji.

Systemy antydronowe - współczesny filar strategii bezpieczeństwa biznesu i ochrony infrastruktury krytycznej

Dowiedz się, jak systemy antydronowe mogą zwiększyć bezpieczeństwo firm i ochronę infrastruktury krytycznej. Zarejestruj się na webcast i poznaj kluczowe aspekty wdrożenia.

Dezinformacja jako element zagrożeń hybrydowych dla biznesu

Dezinformacja stała się codziennością. Niemal każdego dnia możemy natknąć się na fałszywe informacje, które mogą wpływać na podejmowane decyzje, reputację firm oraz zaufanie klientów.

Inteligentna Automatyzacja zadań i czynności w Dziale Finansów i nie tylko

Rosnąca złożoność regulacji, potrzeba szybkiego dostosowywania się do zmieniających się warunków rynkowych oraz presja na obniżenie kosztów operacyjnych - to tylko niektóre z czynników, które wpływają na codzienną pracę zespołów finansowych.

White-Collar Crime Webcast: Postępowania wyjaśniające – praktyczne wyzwania i nowe możliwości technologiczne

Postępowania wyjaśniające są instrumentem często stosowanym do zbadania podejrzeń nieprawidłowości w organizacji. Mogą one również posłużyć w celu ustalenia stanu faktycznego w z związku z planowanym lub toczącego się postępowaniem sądowym czy też przed właściwymi organami. Prowadzenie takich postępowań jest również jednym z działań następczych w związku ze zgłoszeniami sygnalistów.

Przewidywalne taktyki, nieprzewidywalne konsekwencje – jak informatyka śledcza pomaga walczyć z przestępcami?

Serdecznie zapraszamy na czwarty webcast z serii Miesiąc Cyberbezpieczeństwa EY 2024, poświęcony tematom związanym z informatyką śledczą.

Zarządzanie ryzykiem nadużyć

Dowiedz się więcej o Dziale Zarządzania Ryzykiem Nadużyć oraz o tym, jak pomagamy firmom realizować cele z zakresu uczciwości w biznesie.

Ustawa o ochronie sygnalistów - o co pytają przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. "Ustawa o ochronie sygnalistów - o co pytają przedsiębiorcy?"

Ustawa o ochronie sygnalistów - czy to już ostatnia prosta?

Serdecznie zapraszamy do udziału w webcaście pt. "Ustawa o ochronie sygnalistów - czy to już ostatnia prosta?"

Ochrona sygnalistów (whistleblowing)

Zapewnij ochronę sygnalistów zgodnie z prawem. Wdrożenie kanałów zgłaszania, ochrony i procedur. Skontaktuj się z nami, aby dowiedzieć się więcej o whistleblowing!

Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Serdecznie zapraszamy do udziału w pierwszym webcaście z cyklu Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Praktyczne aspekty cyberbezpieczeństwa w zastosowaniu AI do dochodzeń wewnętrznych

Serdecznie zapraszamy na kolejny webcast z serii Miesiąc Cyberbezpieczeństwa EY. AI podnosi bezpieczeństwo danych i informacji podczas wykorzystywania eDiscovery i informatyki śledczej do prowadzenia postępowań wyjaśniających.

Prawda czy mit? Sprawdź, co wiesz o prowadzeniu wewnętrznych dochodzeń!

Dlaczego firmy obawiają się prowadzenia postępowań wyjaśniających? Jakie korzyści przynosi dochodzenie wewnętrzne? Jak skutecznie przeprowadzać rozmowy wyjaśniające?

Jarosław Grzegorz + 2

Greenwashing – czym grozi malowanie trawy na zielono?

Serdecznie zapraszamy do udziału w webcaście pt. "Greenwashing - czym grozi malowanie trawy na zielono?

Greenwashing, czyli czy warto malować trawę na zielono?

Nowe przepisy oraz szybki rozwój technologiczy przyzwyczaiły już przedsiębiorców to tego, że ocena ryzyka organizacji musi być przeprowadzana regularnie i obejmować szeroką perspektywę zewnętrzną.

EY Polska

Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko, co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. „Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?"

Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków

Serdecznie zapraszamy do udziału w webcaście pt. „Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków”

Compliance Roadmap: Regulacyjny sprint czy maraton zgodności?

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap. Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach compliance officera".

Dyrektywa o ochronie sygnalistów, a postępowania wyjaśniające

Jednym z nowych obowiązków nakładanych przez dyrektywę o ochronie sygnalistów jest konieczność prowadzenia wewnętrznych postępowań wyjaśniających.

Jarosław Grzegorz

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Dyrektywa o ochronie sygnalistów nakłada na organizacje obowiązek podjęcia działań, które łącznie zapewnią skuteczny system ochrony osób zgłaszających potencjalne naruszenia.

Jarosław Grzegorz

Dwie twarze informatyki śledczej

Celem informatyki śledczej jest dostarczanie i analiza dowodów zidentyfikowanych na elektronicznych nośnikach danych. Mówimy tu nie tylko o danych pozyskanych z komputerów czy telefonów komórkowych.

Zuzanna Hałemejko + 1

Ochrona sygnalistów przed odwetem

Najistotniejszym celem dyrektywy o ochronie sygnalistów, jest uniemożliwienie stosowania działań odetowych wobec sygnalisty zgłaszającego przypadki naruszenia prawa Unii Europejskiej.

Jarosław Grzegorz

Kto to jest sygnalista?

Polska jest w gronie państw, w których obowiązek wdrożenia rozwiązań umożliwiających zgłaszanie nieprawidłowości jest uregulowany tylko częściowo. Wynika to np. z ustaw regulujących działalność instytucji finansowych.

Mariusz Witalis + 1

Polska ustawa sankcyjna

16 kwietnia 2022 r. weszła w życie polska ustawa sankcyjna. Dotyczy szczególnych rozwiązaniań w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Jakie zmiany wprowadza?

EY Polska

Ryzyko sankcyjne. Co oznaczają sankcje gospodarcze dla przedsiębiorców?

Jak działają sankcje gospodarcze? Co to są listy sankcyjne i ryzyko sankcyjne? Sprawdź, jak wprowadzane sankcje wpływają na prowadzenie biznesu i jak bronić się przed ryzykiem sankcyjnym?

Michał Piekarczyk

Sankcje nałożone na Rosję z perspektywy polskich przedsiębiorstw

UE, USA i Wielka Brytania wprowadzają kolejne pakiety sankcje gospodarcze nałożone na Rosję., m.in. zakaz eksportu do Rosji i Białorusi. W konsekwencji zostały wprowadzone sankcje odwetowe Rosji. Co to oznacza dla polskich przedsiębiorców?

EY Polska

Klapki na oczach czy szerokie horyzonty?

Światowe Badanie Uczciwości w Biznesie 2022 ukazuje jak usprawnienie ładu korporacyjnego może zwiększyć uczciwość biznesu

EY Polska

Czas na ochronę sygnalistów - badanie EY

W przeddzień wejścia w życie Dyrektywy UE o ochronie sygnalistów* zapytaliśmy polskie spółki, które od 17 grudnia 2021 r. będą podlegały jej wymogom, o ich stopień gotowości oraz wyzwania, z którymi się zmagają.

Jarosław Grzegorz

Sankcje gospodarcze – zarządzanie ryzykiem (sklep online)

Od lutego 2022 firmy z UE muszą przestrzegać sankcji nałożonych na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w edukacji, weryfikacji kontrahentów i wdrażaniu procedur sankcyjnych, pomagając ograniczyć ryzyko kar finansowych i odpowiedzialności karnej.

Wstecz

Serwis Audytorów Śledczych

Dalej

Zarządzanie ryzykiem nadużyć

EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.