Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa dostosowująca polskie prawo do dyrektywy NIS 2 weszła w życie 3 kwietnia 2026 r. Celem ustawy jest zwiększenie odporności podmiotów publicznych oraz innych podmiotów o szczególnym znaczeniu na incydenty cyberbezpieczeństwa.
Jedną z najistotniejszych zmian jest wyraźne przypisanie odpowiedzialności kierownika podmiotu kluczowego lub ważnego za realizację obowiązków z zakresu cyberbezpieczeństwa. Kierownik ma również obowiązek odbycia stosownego szkolenia z zakresu cyberbezpieczeństwa, a za niewywiązywanie się z ustawowych obowiązków mogą zostać nałożone kary (wójtowie, burmistrzowie i starostowie będą mogli zostać ukarani grzywną do wysokości 100% wynagrodzenia, obliczanego według ekwiwalentu za urlop).
Dla JST nowelizacja oznacza konieczność potraktowania cyberbezpieczeństwa jako obszaru zarządczego, a nie wyłącznie technicznego. Z perspektywy organizacyjnej zasadne jest pilne zweryfikowanie, czy urząd lub jednostka organizacyjna podlega kwalifikacji jako podmiot kluczowy albo ważny, czy posiada formalny system zarządzania bezpieczeństwem informacji oraz czy ma przygotowane procedury incydentowe, rejestrowe i szkoleniowe.
