Ustawa o zarządzaniu kryzysowym po nowelizacji – najważniejsze zmiany

Ustawa o zarządzaniu kryzysowym po nowelizacji – najważniejsze zmiany

Od 4 lipca 2026 r. obowiązuje ustawa z 29 maja 2025 r. wprowadzająca zmiany w systemie zarządzania kryzysowego. Nowelizacja ma na celu wzmocnienie odporności państwa na zagrożenia oraz wdrożenie przepisów prawa Unii Europejskiej, w szczególności dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 w sprawie odporności podmiotów krytycznych, a także uwzględnia rozwiązania wynikające z decyzji Parlamentu Europejskiego i Rady dotyczącej Unijnego Mechanizmu Ochrony Ludności (UMOL).

Nowe regulacje opierają system zarządzania kryzysowego na zintegrowanym podejściu do zarządzania ryzykiem, obejmującym ocenę zagrożeń, planowanie działań, zapobieganie oraz reagowanie na sytuacje kryzysowe.

Krajowa Strategia Odporności Podmiotów Krytycznych

Nowelizacja wprowadza Krajową Strategię Odporności Podmiotów Krytycznych (KSOPK), która zastępuje dotychczasowy Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK). Jej celem jest zwiększenie odporności podmiotów krytycznych. Strategia będzie przyjmowana przez Radę Ministrów w drodze uchwały.

KSOPK będzie określać:

  • cele strategiczne i priorytety dotyczące zapewnienia niezakłóconego świadczenia usług kluczowych przez podmioty krytyczne oraz funkcjonowania infrastruktury krytycznej, z uwzględnieniem zagrożeń transgranicznych i zależności międzysektorowych;
  • zakres i formy działań podejmowanych przez właściwe organy administracji oraz inne podmioty zaangażowane we wdrażanie Strategii;
  • procesy identyfikacji podmiotów krytycznych;
  • środki służące zwiększaniu odporności podmiotów krytycznych, w tym opis oceny ryzyka wynikającej z Krajowej Oceny Ryzyka;
  • procesy wspierania podmiotów krytycznych przez właściwe organy;
  • środki ułatwiające realizację obowiązków przez małe i średnie przedsiębiorstwa zidentyfikowane jako podmioty krytyczne;
  • zasady koordynacji działań organów właściwych do spraw podmiotów krytycznych z organami właściwymi w sprawach cyberbezpieczeństwa.

Projekt KSOPK będzie opracowywany przez Dyrektora Rządowego Centrum Bezpieczeństwa na podstawie propozycji przekazywanych przez właściwe organy administracji. Przed przedłożeniem Radzie Ministrów projekt zostanie poddany 30-dniowym konsultacjom publicznym, a raport z ich przebiegu zostanie opublikowany w Biuletynie Informacji Publicznej RCB.

KSOPK będzie opracowywana i aktualizowana co 3 lata. Po jej przyjęciu przez Radę Ministrów Dyrektor Rządowego Centrum Bezpieczeństwa przekaże Strategię Komisji Europejskiej w terminie 3 miesięcy.

Realizacja postanowień Strategii będzie monitorowana przez Dyrektora Rządowego Centrum Bezpieczeństwa, który do 31 marca każdego roku będzie przedstawiał Radzie Ministrów sprawozdanie z jej wdrażania za rok poprzedni.

Nowa definicja sytuacji kryzysowej

Nowelizacja wprowadza nową definicję sytuacji kryzysowej. Zgodnie z ustawą należy przez nią rozumieć „sytuację wpływającą negatywnie na poziom bezpieczeństwa ludzi, mienia w znacznych rozmiarach, środowiska lub dziedzictwa kulturowego, wywołującą znaczne ograniczenia w działaniu właściwych organów administracji publicznej ze względu na nieadekwatność posiadanych sił i środków lub zakłócenia w obsłudze tych organów”.

Dostawca krytyczny

Ustawa wprowadza również pojęcie dostawcy krytycznego, przez którego należy rozumieć podmiot dostarczający produkty, usługi lub technologie, których zakłócenie może spowodować incydent istotny u podmiotu krytycznego.

Obowiązki podmiotów krytycznych

Nowe przepisy przewidują szczególne obowiązki dla podmiotów świadczących usługi uznane za usługi krytyczne. Do podstawowych obowiązków tych podmiotów należeć będzie:

  • przeprowadzanie oceny ryzyka co najmniej raz na dwa lata;
  • wdrażanie środków technicznych i organizacyjnych zwiększających odporność;
  • zarządzanie incydentami;
  • bieżąca współpraca z organami właściwymi w zakresie zarządzania kryzysowego.

Obowiązkowe audyty bezpieczeństwa

Podmioty krytyczne będą zobowiązane do przeprowadzania kompleksowych audytów bezpieczeństwa co najmniej raz na trzy lata oraz finansowania ich z własnych środków. Audyty obejmą między innymi bezpieczeństwo informacji, ochronę fizyczną infrastruktury oraz odporność systemów teleinformatycznych. W razie wystąpienia incydentu istotnego organ nadzorczy będzie mógł nakazać przeprowadzenie dodatkowego audytu zewnętrznego.

Zmiany dotyczące infrastruktury krytycznej

Nowelizacja wprowadza zmiany w zakresie ochrony infrastruktury krytycznej. Dotychczasowe plany ochrony infrastruktury krytycznej zostaną zastąpione niejawną dokumentacją ochrony infrastruktury krytycznej.

Operatorzy infrastruktury krytycznej zostaną zobowiązani do składania corocznych raportów o stanie ochrony infrastruktury krytycznej w terminie do 31 marca każdego roku.

Zadania Rządowego Centrum Bezpieczeństwa

W związku z wejściem w życie nowych przepisów rozszerzony został zakres zadań Dyrektora Rządowego Centrum Bezpieczeństwa. Do jego kompetencji należeć będzie m.in. prowadzenie Pojedynczego Punktu Kontaktowego do współpracy transgranicznej oraz monitorowanie realizacji Krajowej Strategii Odporności Podmiotów Krytycznych.

Terminy wdrożenia

Ustawa weszła w życie po upływie 14 dni od dnia ogłoszenia, tj. 4 lipca 2026 r., natomiast wdrażanie poszczególnych rozwiązań zostało rozłożone w czasie.

W terminie 6 miesięcy od wejścia ustawy w życie mają zostać opracowane Krajowa Ocena Ryzyka oraz Krajowa Strategia Odporności Podmiotów Krytycznych. Pierwsza identyfikacja podmiotów krytycznych ma nastąpić w ciągu 9 miesięcy, natomiast Krajowy Plan Zarządzania Ryzykiem powinien zostać przyjęty w terminie 12 miesięcy od dnia wejścia w życie ustawy.

Ogłoszony tekst ustawy:

https://dziennikustaw.gov.pl/D2026000081501.pdf

Solidarni z Ukrainą CZYTAJ WIĘCEJ