Prezydent Karol Nawrocki podpisał rządową ustawę uszczelniającą krajowy system cyberbezpieczeństwa poprzez wykluczenie dostawców „wysokiego ryzyka” – szczególnie z krajów spoza NATO, takich jak Chiny – z sektorów gospodarki uznawanych za kluczowe dla funkcjonowania państwa.
Ustawa wdrażająca dyrektywę Unii Europejskiej i ciesząca się poparciem ponadpartyjnym wywołała gniew niektórych grup biznesowych, które twierdzą, że poniosą koszty dostosowania się do nowych przepisów.
Powołując się na te obawy, Nawrocki z chwilą jej podpisania skierował projekt ustawy do Trybunału Konstytucyjnego (TK) do rozpatrzenia.
Ustawy podpisane przez Prezydenta RP Karola Nawrockiego. pic.twitter.com/9zdUuOYxlD
— Kancelaria Prezydenta RP (@prezydentpl) 19 lutego 2026 r
Nawrocki podkreślił, że bezpieczeństwo cyfrowe jest obecnie elementem szerszej obronności państwa, wskazując na „dramatycznie” rosnącą liczbę cyberataków, z którymi boryka się Polska.
„Żyjemy w czasach, w których wojna nie zawsze zaczyna się od wystrzału, czasem zaczyna się od kliknięcia” – powiedział prezydent. „Ustawa ta wzmacnia mechanizmy obronne, poprawia współpracę instytucjonalną i pozwala na eliminowanie dostawców wysokiego ryzyka”.
Z zeszłorocznego raportu Microsoft Digital Defense Report wynika, że Polska padła ofiarą największej liczby cyberataków spośród krajów UE. Jednym z niedawnych incydentów był atak na polską sieć energetyczną, który miał miejsce pod koniec grudnia, a rząd stwierdził, że kraj był „bardzo bliski przerwy w dostawie prądu”.
Pod koniec grudnia Polska doświadczyła poważnego cyberataku na swoją sieć energetyczną i „była bardzo bliska przerwy w dostawie prądu”, ujawnił rząd.
„Wszystko wskazuje na rosyjski sabotaż” – mówi minister cyfryzacji https://t.co/5FznlYfQww
Dyskusja nad ustawą, o której mowa, była po raz pierwszy omawiana za czasów byłego narodowo-konserwatywnego rządu Prawa i Sprawiedliwości (PiS). Po dojściu do władzy w 2023 roku nowej koalicji rządzącej pod przewodnictwem premiera Donalda Tuska, prace wznowiono i w tym roku projekt ustawy został ostatecznie zatwierdzony przez parlament.
W zeszłym miesiącu w głosowaniu w Sejmie, potężniejszej izbie niższej parlamentu, za głosowało 407 parlamentarzystów, a tylko dziesięciu – głównie ze skrajnie prawicowej partii Konfederacja (Konfederacja) – było przeciw.
Wszyscy ministrowie cyfryzacji ostatniej dekady, zarówno z obecnego rządu, jak i byłej administracji PiS, namawiali prezydenta sprzymierzonego z prawicową opozycją do podpisania ustawy – podaje Rzeczpospolita codziennie.
Rząd twierdzi, że nowe prawo jest zarówno odpowiedzią na rosnącą liczbę cyberataków, jak i koniecznością wdrożenia unijnej dyrektywy nr 2 (NIS 2) dotyczącej sieci i systemów informatycznych, co miało nastąpić do października 2024 r.
Główna zmiana tworzy kategorię dostawców „wysokiego ryzyka”, którym zabrania się dostarczania towarów lub usług do sektorów uznawanych za kluczowe dla państwa. Jednym z kryteriów takiego oznaczenia jest pochodzenie dostawcy i to, czy jest on kontrolowany przez kraj spoza NATO.
W dyskusjach medialnych często wymieniano chińską firmę telekomunikacyjną Huawei jako prawdopodobny cel przepisów, co spowodowało, że prawo to zostało nieformalnie nazwane „Lex Huawei”.
Spółka wyraziła swój sprzeciw wobec nowych przepisów. W piśmie do Tuska i jego ministrów spraw zagranicznych, obrony, cyfryzacji i finansów przestrzegł, że zastrzega sobie prawo do arbitrażu, jeżeli zmiany naruszą jego interesy gospodarcze.
Polska zakazała wjazdu pojazdom chińskiej produkcji do wszystkich chronionych obiektów wojskowych, powołując się na zagrożenia bezpieczeństwa związane z gromadzeniem wrażliwych danych.
Zakazał także personelowi wojskowemu podłączania telefonów służbowych do systemów takich samochodów https://t.co/rtfTkKw6nM
Nowe przepisy obejmą wiele sektorów, w tym ścieki, usługi pocztowe, przestrzeń kosmiczną oraz produkcję chemiczną i spożywczą. Dotknięte przedsiębiorstwa będą musiały przestrzegać rygorystycznych wymogów, takich jak zgłaszanie incydentów, ocena ryzyka i zapewnienie odpowiedzialności kierownictwa.
Po wejściu w życie ustawy podmioty krytyczne dla państwa, które już korzystają z produktów od dostawców wysokiego ryzyka, będą zobowiązane do ich usunięcia w ciągu siedmiu lat.
Prezydent wyraził zaniepokojenie tą częścią projektu ustawy, stwierdzając, że przedsiębiorcy „są zobowiązani do wymiany sprzętu i oprogramowania bez odszkodowania i zabezpieczenia na ten cel środków finansowych” oraz że „przewidziany w projekcie system kar administracyjnych jest restrykcyjny”.
Polska ogłosiła utworzenie „cybertarczy” o wartości 700 mln euro w celu ochrony infrastruktury krytycznej w obliczu nasilających się ataków ze strony Rosji.
„Jesteśmy na pierwszej linii frontu cyberwojny z Rosją, która wyraźnie chce zdestabilizować sytuację w Europie” – mówi rząd https://t.co/QIO8HkK2iR
Nawrocki sceptycznie odniósł się także do faktu, że ustawa obejmuje 18 sektorów gospodarki, co jego zdaniem wykracza poza przepisy UE. Dlatego skierował sprawę do TK, do czego wezwali go przedstawiciele 11 organizacji biznesowych w piśmie na początku tego miesiąca.
Twierdzą, że zmuszanie do wymiany sprzętu, czasem na droższy zamiennik, zagraża konkurencyjności polskich firm i sprowadza się do tego, co nazywają „wywłaszczeniem”. Stanowi to, ich zdaniem, naruszenie konstytucyjnej ochrony przed nadmierną i nieproporcjonalną ingerencją w prawa własności.
Ustawy przesyłane przez Prezydenta do TK po podpisaniu są rozpatrywane bez określonego terminu iw międzyczasie wchodzą w życie. Jeśli i kiedy ostatecznie ogłosi wyrok, TK może pozostawić prawo w mocy lub uchylić je w całości lub w części.
Obecny rząd nie uznaje jednak i nie wykonuje orzeczeń TK, uznając ten organ za nielegalny ze względu na obecność sędziów powołanych niezgodnie z prawem za czasów PiS.
Prezydent @NawrockiKn zawetował ustawę zezwalającą na blokowanie treści w Internecie, argumentując, że wprowadziłaby ona „orwellowską cenzurę”.
Rząd twierdzi jednak, że weto „nie jest obroną wolności słowa”, ale ochroną „pedofilów i oszustów” https://t.co/OShO07U7SM
W zeszłym miesiącu Nawrocki zawetował odrębną ustawę rządową mającą na celu wdrożenie unijnej ustawy o usługach cyfrowych w Polsce, twierdząc, że zagraża ona wolności słowa, umożliwiając urzędnikom usuwanie treści online. Rząd argumentował, że prawo jest potrzebne, aby chronić użytkowników przed szkodliwymi treściami i dezinformacją.
Decyzję o podpisaniu najnowszej ustawy z zadowoleniem przyjął minister cyfryzacji Krzysztof Gawkowski, który nazwał ją „ważnym krokiem w stronę większego bezpieczeństwa Polski w cyberprzestrzeni” poprzez „dostarczenie konkretnych narzędzi ochrony danych, usług publicznych i infrastruktury krytycznej”.
Skrytykował jednak także skierowanie przez prezydenta projektu ustawy do TK, sugerując, że miało na to wpływ „zachęty zagranicznych lobbystów”.
„Dla wielu firm i instytucji oznacza to życie w ciągłej niepewności, konieczność odkładania inwestycji na później, przygotowanie się na różne spory prawne. Jednak państwo już wie, jak sobie poradzić z takimi zniszczeniami i szybko i skutecznie wdroży nowe rozwiązania, jakie daje KSC” – powiedział.
Po 6 latach pracy Polska będzie działać nowoczesny Krajowy System Cyberbezpieczeństwa👌💪 To wielki krok w stronę bezpieczeństwa Polski w cyberprzestrzeni. Zyskują obywatele, instytucje i firmy.
Powstały nowe sektorowe urządzenia CSIRT, wzmocniliśmy koordynację działań na…
— Krzysztof Gawkowski (@KGawkowski) 19 lutego 2026 r
