Państwo krytyczne pod nadzorem. Nowe przepisy pokażą, ile wolności kosztuje odporność.

Nowelizacja wzmacnia państwową kontrolę nad usługami kluczowymi i infrastrukturą krytyczną, ale jej prawdziwy test polega na tym, czy bezpieczeństwo nie stanie się wygodnym uzasadnieniem dla nadmiernego gromadzenia danych, zbyt szerokiej uznaniowości i słabej kontroli nad kontrolującymi.

Szybka mapa faktów Element Znaczenie Druk 2355 Rządowy projekt ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw, skierowany do Sejmu 6 marca 2026 r. Etap legislacyjny Senat przyjął uchwałę 21 maja 2026 r.; sejmowa Komisja Administracji i Spraw Wewnętrznych rozpatrywała ją 27 maja 2026 r. w druku 2592.

Podstawa UE Projekt wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2557 o odporności podmiotów krytycznych. RCB Dyrektor Rządowego Centrum Bezpieczeństwa ma opracowywać m.in. Krajową Ocenę Ryzyka i przekazywać wytyczne organom oraz podmiotom uczestniczącym w systemie.

Sektory Projekt wymienia 13 sektorów organów do spraw podmiotów krytycznych, m.in. energię, transport, bankowość, zdrowie, wodę, infrastrukturę cyfrową, administrację, kosmos, żywność, ICT, chemię, pocztę i odpady. Incydenty i sankcje Podmiot krytyczny ma zgłaszać incydent istotny nie później niż w 24 godziny; wybrane naruszenia obowiązków mogą skutkować karą do 200 000 zł.

Dane Operator infrastruktury krytycznej może żądać informacji o karalności oraz danych biometrycznych pracownika na szczególnych stanowiskach dostępowych.

Rządowy projekt ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz kilkudziesięciu innych ustaw trafił do Sejmu jako druk nr 2355. Po pracach parlamentarnych Senat 21 maja 2026 r. przyjął uchwałę w tej sprawie, a 27 maja sejmowa Komisja Administracji i Spraw Wewnętrznych rozpatrzyła uchwałę Senatu. Formalnie to kolejny etap legislacyjny. Faktycznie to przebudowa dużego fragmentu państwowej architektury bezpieczeństwa.

Projekt wdraża dyrektywę CER, czyli unijne przepisy o odporności podmiotów krytycznych. W praktyce chodzi o podmioty i usługi, bez których normalne życie państwa zaczyna się kruszyć: energię, transport, zdrowie, wodę, bankowość, infrastrukturę cyfrową, administrację publiczną, żywność, pocztę, odpady, chemię, ICT i sektor kosmiczny. To nie jest katalog dla specjalistów od tabel. To lista miejsc, w których awaria zamienia się w problem obywatela.

Politycznie za projekt odpowiada rząd. Do prezentowania stanowiska rządu w toku prac parlamentarnych upoważniono Prezesa Rady Ministrów. Instytucjonalnie centralną rolę otrzymuje Rządowe Centrum Bezpieczeństwa, którego dyrektor ma przygotowywać Krajową Ocenę Ryzyka, wytyczne, informacje dla Komisji Europejskiej i elementy systemu odporności podmiotów krytycznych.

Odpowiedzialność rozkłada się jednak szerzej. Projekt wymienia organy sektorowe: ministrów właściwych dla energii, transportu, zdrowia, gospodarki wodnej, administracji publicznej, finansów, rolnictwa, klimatu, gospodarki czy informatyzacji, a także KNF i UKE. To oznacza, że w sytuacji kryzysowej nie wystarczy jeden komunikat z centrum. System ma działać na styku wielu instytucji, sektorów i operatorów, a właśnie na takich stykach państwo najczęściej pokazuje swoją prawdziwą sprawność albo chaos.

Projekt definiuje odporność podmiotu krytycznego jako zdolność do zapobiegania incydentowi, ochrony, reagowania, absorbowania skutków, adaptacji i odtwarzania infrastruktury niezbędnej do świadczenia usługi kluczowej. To język techniczny, ale jego sens jest prosty: państwo chce wiedzieć wcześniej, co może się wysypać, kto ma temu przeciwdziałać i kto ma meldować, gdy problem już się pojawi.

Najbardziej konkretne obowiązki dotyczą operatorów infrastruktury krytycznej i podmiotów krytycznych. Muszą m.in. wyznaczać koordynatorów ochrony, przygotowywać dokumentację, raportować incydenty, współdziałać z organami i poddawać się kontroli. W projekcie pojawia się termin 24 godzin na zgłoszenie incydentu istotnego od momentu jego wystąpienia lub wykrycia. To tempo właściwe dla państwa, które rozumie, że kryzys nie czeka na obieg pisma.

Ale dokument idzie dalej. Operator infrastruktury krytycznej może żądać od pracowników na szczególnych stanowiskach informacji o karalności, a także danych biometrycznych, takich jak odciski linii papilarnych, głos, obraz rogówki, sieć żył palców lub biometria twarzy, jeśli jest to odpowiednie do wdrożonych środków kontroli dostępu. To nie jest drobiazg. Bezpieczeństwo infrastruktury zaczyna dotykać bardzo wrażliwych danych konkretnych ludzi.

Napięcie w tej ustawie jest klasyczne dla państwa bezpieczeństwa: im bardziej realne zagrożenia, tym łatwiej zaakceptować nowe narzędzia kontroli. Wojna, sabotaż, cyberataki, awarie energetyczne, zakłócenia transportu i kryzysy wodne nie są abstrakcją. Problem w tym, że każde narzędzie stworzone na czas zagrożenia zostaje później w systemie i zaczyna żyć własnym życiem.

Dlatego najważniejsze pytanie brzmi nie: czy państwo ma chronić infrastrukturę krytyczną. Odpowiedź brzmi: ma. Pytanie brzmi: jak głęboko może wejść w dane, dokumenty, procedury i decyzje prywatnych oraz publicznych operatorów, aby nie zamienić odporności w administracyjną wszechwładzę. Projekt przewiduje kontrole, dostęp do dokumentów, przetwarzanie danych osobowych, kary i decyzje z rygorem natychmiastowej wykonalności. To wymaga dokładnego nadzoru.

Mechanizm projektowanej regulacji wygląda następująco. Najpierw państwo identyfikuje sektory i podmioty, których usługi są krytyczne dla funkcjonowania społeczeństwa. Następnie RCB i organy sektorowe budują ocenę ryzyka, strategię odporności i wykazy infrastruktury. Potem operator otrzymuje obowiązki: ma wyznaczyć koordynatora, wdrożyć zabezpieczenia, prowadzić dokumentację, zgłaszać incydenty i poddać się kontroli. Na końcu pojawia się sankcja, gdy system uzna, że obowiązki nie zostały wykonane.

Z punktu widzenia obywatela to może brzmieć odlegle. Nie jest. Jeżeli przestaje działać wodociąg, sieć energetyczna, system płatniczy, szpital, transport kolejowy, komunikacja elektroniczna albo administracja publiczna, obywatel nie pyta o numer dyrektywy. Pyta, dlaczego państwo nie przewidziało ryzyka i kto odpowiada za przywrócenie działania. Ta ustawa próbuje przesunąć państwo z trybu gaszenia pożaru do trybu budowania odporności przed pożarem.

Dla obywatela znaczenie tej ustawy mierzy się nie liczbą artykułów, ale tym, czy w kryzysie ktoś odbierze telefon, poda wodę, zapewni prąd, ochroni dane i powie prawdę. Infrastruktura krytyczna jest niewidzialna, dopóki działa. Gdy przestaje, staje się najważniejszą rzeczą w państwie. Projekt ma potencjał poprawić koordynację i odpowiedzialność.

Ale ma też potencjał rozszerzyć obszar kontroli, zwłaszcza tam, gdzie pojawiają się dane biometryczne, obowiązki raportowania, dostęp kontrolerów do dokumentów i decyzje administracyjne z rygorem natychmiastowej wykonalności. Obywatel powinien rozumieć tę wymianę: więcej odporności może oznaczać więcej państwa w miejscach, które dotąd były rozproszone między urzędami, spółkami i operatorami.

Dyrektywa CER nie powstała w próżni. Europa po doświadczeniach pandemii, wojny, cyberataków i ataków na infrastrukturę wie, że tradycyjne zarządzanie kryzysowe nie wystarcza. Problem nie polega już wyłącznie na tym, czy państwo ma straż pożarną, policję i wojewodę. Problem polega na tym, czy umie przewidzieć zależności między energią, bankowością, zdrowiem, transportem, wodą, cyfryzacją i administracją.

Tym bardziej trzeba uważać na język. Hasło odporności brzmi dobrze, bo nikt rozsądny nie chce państwa kruchego. Ale odporność nie może być słowem-wytrychem, które zamyka debatę o granicach kontroli. Im bardziej wrażliwe narzędzia dostaje administracja, tym jaśniejsze muszą być przesłanki, nadzór, terminy przechowywania danych, ścieżki odwoławcze i odpowiedzialność za błędy.

Moim zdaniem ten projekt jest potrzebny, ale nie powinien przechodzić przez debatę jako techniczna transpozycja unijnej dyrektywy. To jest ustawa o tym, jak państwo zagląda do krwiobiegu gospodarki i administracji. Jeżeli robi to precyzyjnie, może zwiększyć bezpieczeństwo ludzi. Jeżeli zrobi to niechlujnie, stworzy system ciężki, kosztowny i nadmiernie uznaniowy. Najsilniejszy argument za ustawą jest oczywisty: państwo musi wiedzieć, gdzie są jego krytyczne punkty i kto odpowiada za ich odporność. Najsilniejszy argument za ostrożnością jest równie oczywisty: bezpieczeństwo bywa najłatwiejszym uzasadnieniem dla rozbudowy kompetencji. Dojrzałe państwo nie wybiera między bezpieczeństwem a kontrolą. Dojrzałe państwo pokazuje, jak jedno ogranicza drugie.

Po rozpatrzeniu uchwały Senatu przez komisję sejmową projekt wraca na dalszą ścieżkę parlamentarną. Jeżeli ustawa wejdzie w życie, kluczowe będą akty wykonawcze, wykazy, strategie, wytyczne RCB oraz praktyka kontroli. Wtedy okaże się, czy projekt stworzył realny system odporności, czy kolejną gęstą mapę obowiązków, w której odpowiedzialność rozmywa się między centrum, ministerstwami, wojewodami i operatorami.

Najbardziej potrzebna będzie kontrola publiczna bez ujawniania danych wrażliwych. Obywatele nie muszą znać listy wszystkich zabezpieczeń infrastruktury. Muszą jednak wiedzieć, czy system działa, ile incydentów zgłoszono, jak szybko reagowano, jak często nakładano kary, czy dane biometryczne są przetwarzane proporcjonalnie i czy państwo potrafi rozliczyć własne błędy. Bez tego odporność będzie hasłem, a nie gwarancją.

W tej sprawie najważniejszym mechanizmem komunikacyjnym jest język bezpieczeństwa jako wzmacniacz kompetencji państwa. Gdy władza mówi o odporności, infrastrukturze krytycznej i usługach kluczowych, odbiorca naturalnie obniża poziom sceptycyzmu. Nikt nie chce być przeciwko bezpieczeństwu. To właśnie dlatego przepisy tego typu wymagają ostrzejszej kontroli redakcyjnej i obywatelskiej niż zwykła nowelizacja administracyjna. Mechanizm działa w kilku krokach. Najpierw wskazuje się realne zagrożenia: cyberatak, sabotaż, awarię, zakłócenie dostaw, przerwanie działania systemu.

Potem przedstawia się nowe obowiązki jako techniczne narzędzia odporności. Następnie wprowadza się dostęp do dokumentów, przetwarzanie danych, kary, obowiązek raportowania i możliwość natychmiastowej wykonalności decyzji. Na końcu obywatel słyszy, że wszystko jest po to, by państwo działało w kryzysie. To może być prawda, ale nie zwalnia z pytania o granice.

Elementem ukrytym w przekazie może być koszt administracyjny i społeczny. Operatorzy infrastruktury dostaną obowiązki, które trzeba finansować, obsługiwać i dokumentować. Pracownicy na wybranych stanowiskach mogą zostać objęci weryfikacją karalności i biometrią. Organy państwa uzyskają nowe ścieżki kontroli. Jeżeli ten system będzie dobrze zaprojektowany, zwiększy odporność. Jeżeli będzie nieprecyzyjny, stanie się biurokratyczną maszyną, która produkuje dokumenty szybciej niż realną gotowość.

Zwykły obywatel może dać się przekonać prostemu komunikatowi: skoro chodzi o bezpieczeństwo, nie ma o czym dyskutować. To błąd. Właśnie o bezpieczeństwie trzeba dyskutować najdokładniej, bo tam najłatwiej zaakceptować rozwiązania, których w normalnym czasie nikt by nie przepuścił bez pytań. Jak rozpoznać podobną technikę? Gdy pojawia się słowo „odporność”, trzeba natychmiast pytać: kto zbiera dane, na jakiej podstawie, na jak długo, kto kontroluje decyzje, jaka jest ścieżka odwołania i kto odpowiada za nadużycie.

Interes polityczny jest czytelny: każda władza chce pokazać, że buduje państwo sprawne, nowoczesne i odporne. To komunikacyjnie silne, szczególnie w czasach wojny hybrydowej i cyberzagrożeń. Skutek społeczny zależy od praktyki. Możemy otrzymać państwo lepiej przygotowane na kryzys. Możemy też otrzymać kolejną warstwę nadzoru, w której obywatel widzi tylko hasło bezpieczeństwa, a szczegóły działania systemu pozostają poza debatą.

Odporne państwo nie polega na tym, że ma coraz więcej narzędzi. Polega na tym, że wie, kiedy ich użyć i kto odpowiada, gdy użyje ich źle.