Nowe obowiązki ustawowe - odpowiadamy na najczęstsze pytania dot. infrastruktury krytycznej!
13.07.2026
Do Rządowego Centrum Bezpieczeństwa wpływają pytania dotyczące nowych obowiązków ustawowych związanych z infrastrukturą krytyczną. Przedstawiamy odpowiedzi.
Pytanie (P): Zarządzam przedsiębiorstwem działającym w jednym z sektorów wymienionych w załączniku do ustawy. Czy to oznacza, że moje przedsiębiorstwo jest automatycznie infrastrukturą krytyczną?
Odpowiedź (O): Nie. Trzeba spełniać kryteria z uchwały Rady Ministrów (art. 6r ust. 5) i zostać wpisanym do wykazu infrastruktury krytycznej przez dyrektora RCB (art. 6s ust. 1). Próg zależy od organu identyfikującego: minister i Komisja Nadzoru Finansowego wymagają łącznie kryterium sektorowego i co najmniej jednego kryterium przekrojowego (art. 6t ust. 2, art. 6v ust. 2), wojewoda tylko co najmniej jednego kryterium przekrojowego (art. 6u ust. 2). Sama przynależność sektorowa nie wystarcza.
P: Czy podmiot musi sam wskazać się jako infrastruktura krytyczna, czy identyfikacji dokonuje właściwy organ z urzędu?
O: Identyfikacja jest procesem inicjowanym przez organ administracji, nie przez sam podmiot. Minister kierujący działem administracji rządowej, wojewoda lub Komisja Nadzoru Finansowego, we współpracy z dyrektorem Rządowego Centrum Bezpieczeństwa, samodzielnie identyfikują obiekty mogące stanowić infrastrukturę krytyczną (art. 6t ust. 1, art. 6u ust. 1, art. 6v ust. 1). W tym celu organ może wystąpić do właściciela lub posiadacza obiektu o udzielenie informacji niezbędnych do oceny, czy spełnia on kryteria z art. 6r ust. 5 (art. 6t ust. 3).
P: Otrzymałem pismo od ministra z prośbą o informacje potrzebne do oceny, czy moja firma spełnia kryteria infrastruktury krytycznej. Ile czasu mam na odpowiedź i czy mogę odmówić?
O: Minister ma obowiązek przekazać przy wystąpieniu dokumenty niezbędne do udzielenia informacji oraz wskazać termin odpowiedzi nie krótszy niż 14 dni od dnia otrzymania wystąpienia (art. 6t ust. 3–4). Te same zasady stosuje się do wojewody i Komisji Nadzoru Finansowego (art. 6u ust. 2, art. 6v ust. 2) oraz do identyfikacji potencjalnej infrastruktury krytycznej na etapie budowy (art. 6za).
Art. 6t nie przewiduje odrębnej sankcji za brak odpowiedzi, ale to nie czyni wystąpienia fakultatywnym: minister może oprzeć ocenę na innych dostępnych informacjach i mimo braku odpowiedzi złożyć wniosek o wpis obiektu do wykazu infrastruktury krytycznej (art. 6s ust. 1). Brak reakcji oznacza więc utratę wpływu na przebieg identyfikacji, nie jej zablokowanie.
P: Skoro obowiązki operatora infrastruktury krytycznej lub podmiotu krytycznego, np. analiza ryzyka czy dokumentacja, liczą się dopiero od dnia otrzymania informacji o wpisie do właściwego wykazu, czy należy coś przygotować wcześniej, przed otrzymaniem informacji o wpisie?
O: Ustawa nie nakłada obowiązków przed otrzymaniem informacji o wpisie, bo wszystkie kluczowe terminy liczone są właśnie od tego momentu, nie od dnia identyfikacji ani nawet od samego dnia wpisu do wykazu. Między wpisem a doręczeniem informacji o nim może upłynąć do 30 dni, zarówno dla infrastruktury krytycznej (art. 6w ust. 1), jak i dla podmiotów krytycznych (art. 6zr ust. 3). Operator infrastruktury krytycznej ma 6 miesięcy na analizę zagrożeń licząc od dnia otrzymania informacji o wpisie (art. 6ze ust. 2), a podmiot krytyczny ma 9 miesięcy na ocenę ryzyka licząc od tego samego typu zdarzenia dla wykazu podmiotów krytycznych (art. 6zt ust. 3). Mimo braku formalnego obowiązku, warto już wcześniej zapoznać się z wymaganiami ustawy i przeanalizować swoją sytuację, żeby po otrzymaniu informacji o wpisie sprawnie przystąpić do realizacji obowiązków w wyznaczonych terminach.
P: W jakim terminie po wpisie do wykazu infrastruktury krytycznej trzeba wyznaczyć koordynatora ochrony infrastruktury krytycznej?
O: 30 dni od dnia otrzymania informacji o wpisie do wykazu (art. 6zi ust. 2). W tym samym terminie należy wyznaczyć również zastępcę koordynatora, ponieważ ustawa traktuje oba stanowiska łącznie (art. 6zi ust. 1–2). O wyznaczeniu koordynatora operator informuje właściwego ministra, wojewodę, Komisję Nadzoru Finansowego oraz dyrektora Rządowego Centrum Bezpieczeństwa (art. 6zi ust. 6).
P: Czy jeśli moja firma zostanie uznana za podmiot krytyczny, to automatycznie stanę się też podmiotem podlegającym ustawie o krajowym systemie cyberbezpieczeństwa, nawet jeśli jestem małą firmą, która wcześniej nie podlegała tej ustawie?
O: Tak. Podmiot uznany za podmiot krytyczny w rozumieniu ustawy o zarządzaniu kryzysowym automatycznie staje się podmiotem kluczowym w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa, niezależnie od wielkości przedsiębiorstwa (art. 5 ust. 1 pkt 4 lit. c ustawy o KSC). Konsekwentnie, nowelizowana ustawa nakazuje podmiotowi krytycznemu opracowanie dokumentacji cyberbezpieczeństwa zgodnie z wymogami dla podmiotów kluczowych z ustawy o KSC (art. 6zu ust. 2 pkt 5), co potwierdza, że oba statusy traktowane są łącznie.
P: Ile czasu mam na przeprowadzenie analizy zagrożeń i wdrożenie zabezpieczeń po wpisaniu mojego obiektu do wykazu infrastruktury krytycznej?
O: Na analizę zagrożeń dla infrastruktury krytycznej operator ma 6 miesięcy od dnia otrzymania informacji o wpisie do wykazu (art. 6ze ust. 2). Na wdrożenie rozwiązań adekwatnych do wyników tej analizy, w sześciu obszarach: bezpieczeństwo fizyczne, techniczne, osobowe, cyberbezpieczeństwo, bezpieczeństwo prawne oraz ciągłość działania i odtwarzania, operator ma kolejne 6 miesięcy, licząc od dnia przeprowadzenia analizy (art. 6ze ust. 3). Łącznie daje to około 12 miesięcy od wpisu do pełnego wdrożenia zabezpieczeń, a następnie rozwiązania te aktualizuje się stosownie do potrzeb.
P: Kiedy muszę mieć gotową dokumentację ochrony infrastruktury krytycznej?
O: W terminie 15 miesięcy od dnia uzyskania informacji o wpisie do wykazu infrastruktury krytycznej operator przedkłada dyrektorowi Centrum oraz właściwemu ministrowi, wojewodzie lub Komisji Nadzoru Finansowego oświadczenie o opracowaniu tej dokumentacji (art. 6zf ust. 5). Jeżeli nie da się wdrożyć wszystkich wymaganych rozwiązań, operator może do oświadczenia dołączyć informację o przyczynie tego braku wraz z uzasadnieniem i uzgodnić z właściwym organem działania naprawcze (art. 6zf ust. 6).
P: Czy dotychczasowy jednolity wykaz infrastruktury krytycznej i moje istniejące plany ochrony IK tracą ważność z dniem wejścia w życie nowelizacji?
O: Nie. Jednolity wykaz obiektów, instalacji, urządzeń i usług, prowadzony na podstawie uchylonego art. 5b, pozostaje w mocy do czasu sporządzenia nowego wykazu infrastruktury krytycznej, o którym mowa w art. 6r, i może być w tym czasie aktualizowany (art. 31 ust. 1 przepisów przejściowych). Podobnie dotychczasowe plany ochrony infrastruktury krytycznej pozostają w mocy do czasu dokonania wpisu do nowego wykazu oraz opracowania nowej dokumentacji ochrony infrastruktury krytycznej z art. 6zf, i mogą być w tym czasie aktualizowane (art. 31 ust. 2). Do tego czasu właściciele oraz posiadacze samoistni i zależni obiektów ujętych w dotychczasowym wykazie realizują swoje zadania na podstawie uchylonego art. 6 ustawy, w jego dotychczasowym brzmieniu (art. 32 ust. 1).
P: Jestem operatorem infrastruktury krytycznej, moje przedsiębiorstwo nie zostało wpisane do wykazu podmiotów krytycznych. Czy firmie grożą kary pieniężne za niewykonywanie obowiązków związanych z ochroną IK?
O: Co do zasady nie. Katalog kar pieniężnych z art. 6zzr dotyczy wyłącznie podmiotów krytycznych, czyli operatorów infrastruktury krytycznej dodatkowo wpisanych do wykazu podmiotów krytycznych (art. 3 pkt 1a). Sam operator infrastruktury krytycznej bez tego statusu nie podlega temu rozdziałowi.