Polski Sejm uchwalił 15 maja 2026 roku nowelizację Kodeksu karnego, która ma wzmocnić walkę z cyberprzestępczością. Projekt ustawy, będący implementacją unijnej dyrektywy 2013/40/UE Parlamentu Europejskiego i Rady w sprawie ataków na systemy informatyczne, rozszerza odpowiedzialność karną za działania związane z atakami na systemy informatyczne. Nowe przepisy penalizują nie tylko same ataki, ale także przygotowanie i udostępnianie narzędzi służących do ich przeprowadzenia. Ustawa, po uchwaleniu przez Sejm, trafiła do Senatu i oczekuje na podpis Prezydenta Karola Nawrockiego.
Co zmienia nowelizacja Kodeksu karnego w zakresie cyberprzestępczości?
Nowelizacja Kodeksu karnego rozszerza katalog czynów karalnych związanych z cyberprzestępczością, penalizując udostępnianie narzędzi hakerskich oraz przygotowanie do ataków na systemy informatyczne. Zmiany stanowią implementację dyrektywy 2013/40/UE Parlamentu Europejskiego i Rady w sprawie ataków na systemy informatyczne. Kluczowa modyfikacja dotyczy art. 269b § 1 Kodeksu karnego, który dotychczas penalizował wytwarzanie, pozyskiwanie, zbywanie i udostępnianie narzędzi służących do popełniania cyberprzestępstw jedynie w odniesieniu do art. 267 § 3 k.k. Nowelizacja poszerza zakres tego przepisu na cały katalog czynów z art. 267 § 1, 3 k.k. Obejmuje to nie tylko nielegalny dostęp, ale także przechwytywanie danych i naruszanie prywatności. W efekcie karalne będzie również udostępnianie narzędzi, haseł i kodów dostępu umożliwiających przełamywanie lub omijanie zabezpieczeń informatycznych w celu uzyskania nieuprawnionego dostępu do informacji. Przepisy pozwalają ścigać nie tylko sprawców ataków, ale także twórców i dystrybutorów narzędzi hakerskich.
Jakie zagrożenia cybernetyczne uzasadniają zaostrzenie przepisów?
Zaostrzenie przepisów wynika z rosnącej skali cyberprzestępczości w Polsce, gdzie w 2025 roku odnotowano znaczący wzrost zgłoszeń cyberzagrożeń i incydentów. W 2025 roku liczba osób, którym przedstawiono zarzuty karne w związku z cyberprzestępczością, wyniosła 1374, co stanowi wzrost o 30% w porównaniu do 2024 roku (dane Centralnego Biura Zwalczania Cyberprzestępczości, CBZC). Funkcjonariusze CBZC podjęli ponad 2,6 tys. czynności służbowych, ustalając ponad 2,5 tys. osób potrzebujących pomocy, w tym 1500 małoletnich.
Dodatkowo, CERT Polska zarejestrował w 2025 roku 658,3 tys. zgłoszeń cyberzagrożeń oraz 260,8 tys. incydentów cyberbezpieczeństwa (dane CERT Polska). W III kwartale 2025 roku odnotowano 3 629 prób wyłudzeń kredytów na łączną kwotę 78,3 mln zł, ze średnią 39 prób dziennie (dane Związku Banków Polskich, ZBP). Te statystyki potwierdzają bezprecedensowy wzrost zagrożeń cyberprzestępczych w 2025 roku, co wymagało zwiększonego zaangażowania służb i nowych narzędzi prawnych. Od 1 marca 2026 roku w Polsce działają wydziały do walki z przestępczością cyfrową w komendach wojewódzkich Policji, a w grudniu 2025 roku uruchomiono portal cyber.gov.pl jako centralną platformę dla obywateli, firm i instytucji publicznych.
Jakie są konsekwencje dla twórców i dystrybutorów narzędzi hakerskich?
Nowelizacja Kodeksu karnego rozszerza odpowiedzialność karną na osoby, które wytwarzają, pozyskują, zbywają lub udostępniają programy i narzędzia służące do nieuprawnionego dostępu do systemów informatycznych. Głównym celem zmian jest “wytrącenie broni z ręki” sprawców ataków, co oznacza penalizację nie tylko samych ataków, ale także przygotowania i udostępniania narzędzi do ich popełnienia. Rozszerzenie katalogu zabronionych narzędzi na cały zakres art. 267 § 1, 3 k.k. istotnie poszerza katalog zabronionych programów i danych dostępowych. Obejmuje to wszelkie narzędzia, hasła i kody dostępu, które mogą być wykorzystane do przełamywania lub omijania zabezpieczeń informatycznych. Projekt ustawy został pozytywnie zaopiniowany przez Komisję Sprawiedliwości i Praw Człowieka, co podkreśla konsensus w kwestii zaostrzenia walki z cyberprzestępczością.
Kiedy nowe przepisy wejdą w życie i co to oznacza dla przedsiębiorców?
Nowe przepisy wejdą w życie po upływie 14 dni od dnia ogłoszenia ustawy w Dzienniku Ustaw, co wymaga monitorowania statusu legislacyjnego. Nowelizacja Kodeksu karnego została uchwalona przez Sejm 15 maja 2026 roku i trafiła do Senatu, a następnie oczekuje na podpis Prezydenta Karola Nawrockiego. Zgodnie z procedurą, po podpisaniu, ustawa zostanie opublikowana w Dzienniku Ustaw. Przedsiębiorcy, zwłaszcza ci działający w sektorze IT oraz dostawcy oprogramowania, muszą śledzić ten proces. Zwiększone ryzyko prawne dotyczy osób i firm zajmujących się oprogramowaniem, które mogłoby być wykorzystane do celów przestępczych. Konieczne będzie dostosowanie wewnętrznych procedur bezpieczeństwa oraz weryfikacja legalności narzędzi i oprogramowania, aby uniknąć ryzyka odpowiedzialności karnej za nieświadome wspieranie cyberprzestępczości.
Przedsiębiorcy i podmioty działające w sektorze IT powinni śledzić proces legislacyjny nowelizacji Kodeksu karnego. Po jej wejściu w życie, konieczne będzie dostosowanie wewnętrznych procedur bezpieczeństwa oraz weryfikacja legalności narzędzi i oprogramowania, aby uniknąć ryzyka odpowiedzialności karnej za nieświadome wspieranie cyberprzestępczości.
