EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Jak EY może pomóc
-
Istotność bezpieczeństwa infrastruktury krytycznej rośnie wraz ze wzrostem zagrożeń atakami hybrydowymi i terrorystycznymi. Jak zapewnić ochronę infrastruktury krytycznej i zgodność z ustawą o zarządzaniu kryzysowym?
Przeczytaj więcej -
Zapewnij ochronę sygnalistów zgodnie z prawem. Wdrożenie kanałów zgłaszania, ochrony i procedur. Skontaktuj się z nami, aby dowiedzieć się więcej o whistleblowing!
Przeczytaj więcej -
Dowiedz się jak EY Virtual Compliance Officer może wesprzeć pracę działu compliance w Twojej organizacji.
Przeczytaj więcej -
Etyka i compliance to fundamenty zdrowych relacji biznesowych. Poznaj nasze rozwiązania wspierające zarządzanie zgodnością i budowanie etycznej kultury organizacyjnej.
Przeczytaj więcej
26 marca 2026 r. Komisja Administracji i Spraw Wewnętrznych przeprowadziła pierwsze czytanie rządowego projektu nowelizacji Ustawy o zarządzaniu kryzysowym („UZK”) oraz niektórych innych ustaw (druk nr 2355). Projekt, przygotowany przez Rządowe Centrum Bezpieczeństwa, stanowi kluczowy element budowy odporności państwa i formalnie otwiera parlamentarny etap transpozycji do polskiego porządku prawnego dyrektywy CER.
Dyrektywa CER (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. dotycząca odporności podmiotów krytycznych) została ustanowiona w celu zapewnienia ciągłości świadczenia usług kluczowych dla funkcjonowania podstawowych struktur społecznych oraz działalności gospodarczej na rynku wewnętrznym Unii Europejskiej. Dyrektywa weszła w życie 16 stycznia 2023 roku, natomiast państwa członkowskie UE, w tym Polska, zobowiązane były do jej transpozycji do krajowego porządku prawnego do 17 października 2024 roku.
Podczas posiedzenia komisji podkreślono, że Projekt nowelizacji Ustawy o Zarządzaniu Kryzysowym nie jest wyłącznie techniczną implementacją prawa UE - ma charakter systemowy i uzupełnia wcześniejszą ustawę o ochronie ludności. Jego celem jest przejście do modelu opartego na zapobieganiu, planowaniu i zarządzaniu ryzykiem.
Projekt zakłada istotną przebudowę systemu planowania w obszarze zarządzania kryzysowego. Kluczową zmianą jest wprowadzenie krajowej oceny ryzyka, która ma zastąpić dotychczasowy raport o zagrożeniach bezpieczeństwa narodowego. Dokument ten ma mieć charakter jawny, co – jak wskazano w dyskusji – zwiększy jego praktyczną użyteczność. Równolegle następuje rozdzielenie planów zarządzania ryzykiem od planów reagowania kryzysowego oraz jednoznaczne osadzenie całego procesu planistycznego w UZK. Ma to znaczenie nie tylko operacyjne, lecz także finansowe – skuteczne ramy zarządzania ryzykiem są warunkiem korzystania z części środków unijnych w perspektywie 2021–2027.
Projekt UZK odnosi się do nowych kategorii zagrożeń, wprowadzając podstawy prawne do reagowania na incydenty z użyciem bezzałogowych obiektów latających, pływających i lądowych, które mogą być wykorzystywane do oddziaływania na infrastrukturę krytyczną. Projekt zakłada pełną implementację dyrektywy CER i zapewnia spójność z dyrektywą NIS 2 dotyczącą cyberbezpieczeństwa.
Projekt rozszerza definicję infrastruktury krytycznej, obejmując obiekty w budowie (tzw. potencjalna infrastruktura krytyczna), umożliwiając jej identyfikację na poziomie lokalnym oraz wzmacniając ochronę kluczowych obiektów dla społeczności. Zmiany te są bezpośrednio powiązane z nowelizacją ustawy o ochronie osób i mienia oraz wynikami kontroli NIK, wskazującymi na luki bezpieczeństwa na poziomie lokalnym.
Istotną zmianą jest również utworzenie Centrum Bezpieczeństwa Morskiego – międzyagencyjnej struktury koordynacyjnej, wzorowanej na Centrum Antyterrorystycznym ABW. CBM ma odpowiadać na rosnące zagrożenia dla infrastruktury krytycznej na Morzu Bałtyckim, w szczególności w obszarze energetyki i przesyłu danych.
Uzupełnieniem UZK będą jej akty wykonawcze. Jednym z ważniejszych rozporządzeń w tym zakresie będzie tzw. Standard minimum: Rozporządzenie Rady Ministrów w sprawie minimalnych wymagań w zakresie bezpieczeństwa fizycznego, technicznego, osobowego, cyberbezpieczeństwa, prawnego oraz ciągłości działania infrastruktury krytycznej (tzw. „sześciopak”) pełniące rolę wytycznych przy wdrażaniu rozwiązań z zakresu zapewnienia ochrony infrastruktury krytycznej.
Projekt UZK został przez przedstawicieli wszystkich klubów parlamentarnych oceniony jako potrzebny i kierunkowo właściwy. W dyskusji pojawiły się jednak pytania dotyczące skali obciążeń dla sektora prywatnego, kosztów wdrożenia nowych obowiązków oraz zasad raportowania informacji wrażliwych, w tym wobec Komisji Europejskiej. Projektodawcy podkreślili, że raportowanie będzie ograniczone do streszczeń wymaganych prawem UE, a zakres obowiązków był szeroko konsultowany z podmiotami publicznymi i prywatnymi. Komisja zdecydowała o skierowaniu projektu do stałej podkomisji ds. funkcjonowania zarządzania kryzysowego, co oznacza wejście w fazę szczegółowych prac legislacyjnych i potencjalnych poprawek.
Zmiany przewidziane w projekcie znacząco rozbudowują system zarządzania kryzysowego i ochrony infrastruktury krytycznej. Poszerzają krąg podmiotów objętych regulacją oraz zwiększają zakres obowiązków w obszarze planowania, audytów, zarządzania ryzykiem i ciągłości działania. Jednocześnie – co istotne – tworzą ramy prawne umożliwiające bardziej uporządkowane inwestycje w bezpieczeństwo oraz efektywniejszą współpracę z administracją publiczną.
Biorąc pod uwagę opóźnienie w transpozycji dyrektywy CER oraz priorytet nadany pracom parlamentarnym, można oczekiwać, że podmioty objęte nowymi regulacjami będą miały relatywnie krótki czas na przygotowanie się do ich wdrożenia.
O dalszym przebiegu prac legislacyjnych oraz praktycznych implikacjach projektowanych zmian będziemy informować na bieżąco.