Dnia 14 października 2025 r. Minister Cyfryzacji Krzysztof Gawkowski przekazał do Rady Ministrów projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Dokument opracowany przez Ministerstwo Cyfryzacji został wpisany do wykazu prac legislacyjnych i programowych Rady Ministrów pod numerem UC32.
Projekt wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555, znaną jako dyrektywa NIS 2, która ustanawia nowe ramy dla zapewnienia wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej. Realizuje także kamień milowy C3.1 Krajowego Planu Odbudowy i Zwiększania Odporności.
Prace nad projektem trwały od początku 2024 r. Dokument przeszedł pełny proces uzgodnień, konsultacji publicznych i opiniowania. 20 maja 2025 r. został przyjęty przez Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego, a 4 września 2025 r. Stały Komitet Rady Ministrów zarekomendował jego rozpatrzenie przez Radę Ministrów. Komisja prawnicza zakończyła prace nad projektem w dniach 22–25 września, wprowadzając zmiany o charakterze legislacyjno-redakcyjnym.
Dnia 10 października projekt został przekazany do Kancelarii Prezesa Rady Ministrów, a 14 października na stronie Rządowego Centrum Legislacji opublikowano opinię Ministerstwa Spraw Zagranicznych, potwierdzającą zgodność projektu z prawem Unii Europejskiej. MSZ zwróciło przy tym uwagę na konieczność pilnego procedowania ustawy w związku z trwającym postępowaniem naruszeniowym Komisji Europejskiej dotyczącym braku wdrożenia dyrektywy NIS 2 przez Polskę.
Zgodnie z projektem, ustawa ma wejść w życie miesiąc po ogłoszeniu. Dla podmiotów kluczowych i ważnych przewidziano sześciomiesięczny okres dostosowawczy, umożliwiający przygotowanie się do nowych obowiązków.
Nowelizacja KSC stanowi kluczowy krok w dostosowaniu polskich regulacji do europejskich standardów cyberbezpieczeństwa i wzmocnieniu odporności infrastruktury krytycznej oraz usług kluczowych.
