Strona główna  »  Publikacje   »   Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa przyniesie wiele zmian dla podmiotów działających w określonych sektorach gospodarki. Poniższy artykuł przedstawia przegląd nowych rozwiązań, które wejdą w życie już w najbliższym czasie.

Implementacja dyrektywy NIS2 do Krajowego Systemu Cyberbezpieczeństwa

Od momentu obowiązywania ustawy z dnia 5 lipca 2018 r. dotyczącej funkcjonowania Krajowego Systemu Cyberbezpieczeństwa, zwanego dalej „KSC”, polski rząd przyjął jedną z największych reform tego systemu. Reforma ta dotyczy wdrożenia dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., zwanej dalej „NIS2”.

W dniu 19 lutego 2026 r., Prezydent RP podpisał ustawę nowelizującą, dalej w ramach kontroli następczej odesłał ja do Trybunału Konstytucyjnego. Skierowanie ustawy do takiej kontroli nie wstrzymuje jej wejścia w życie ani nie wpływa na wynikające z niej obowiązki. Może jednak spowodować, po wyroku Trybunału Konstytucyjnego, że ustawa ta zmieni swoją treść. Ustawa nowelizująca KSC wejdzie w życie po upływie miesiąca od dnia ogłoszenia.

Nowe kategorie podmiotów

Zmiany wprowadzone nowelizacją ustawy o KSC, obejmują przede wszystkim zastąpienie dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów.

Do nowo wprowadzonych podmiotów zaliczają się:

  • podmioty kluczowe
  • podmioty ważne

Do podmiotów kluczowych zaliczać się będą m.in.:

  1. duże firmy działające w sektorach kluczowych np. przedsiębiorcy komunikacji elektronicznej;
  2. kwalifikowani dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa;
  3. niezależnie od wielkości podmioty takie jak podmioty krytyczne, dostawcy usług DNS, podmioty świadczące usługi rejestracji nazw domen.

Z kolei do podmiotów ważnych zaliczać się będą m.in.:

  1. średnie przedsiębiorstwa z wybranych branż określonych w załączniku do znowelizowanej ustawy;
  2. mniejsi czy mikro przedsiębiorcy komunikacji elektronicznej;
  3. cześć podmiotów publicznych.

Obowiązki podmiotów kluczowych i ważnych

Podstawowym obowiązkiem podmiotów zakwalifikowanych jako podmioty kluczowe albo ważne będzie rejestracja w nowym systemie.

Podmiot kluczowy lub ważny będzie zobligowany do złożenia wniosku o wpisu w wykazie prowadzonym przez ministra właściwego do spraw cyfryzacji, w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.

Po dokonaniu wpisu, podmioty będą zobowiązane m.in. do:

  • zapewnienia bezpieczeństwa posiadanych systemów teleinformatycznych poprzez wdrożenie systemu zarządzania bezpieczeństwem informacji w procesach świadczenia usług przez te podmioty,
  • w zależności od zakwalifikowania jako kluczowego albo ważnego, będą obowiązane wyznaczyć jedną lub dwie osoby odpowiedzialne za utrzymywanie kontaktu z podmiotami zarządzającymi KSC,
  • opracowania, stosowania i aktualizowania dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia przez nich usług,
  • przekazywania informacji o incydentach, udzielania wyjaśnień, udziału w działaniach obsługi incydentu, informowania użytkowników swoich usług o incydencie poważnym, gdy ten incydent ma niekorzystny wpływ na świadczenie tych usług przed podmiot,
  • dla podmiotów kluczowych istotne będzie przeprowadzenie audytu bezpieczeństwa systemu informatycznego, który powinien się odbyć raz na 3 lata.

Podkreślić należy, że przyszłościowe szczegółowe wymagania dla systemu zarządzania bezpieczeństwem informacji mogą zostać określone w drodze rozporządzenia przez Radę Ministrów.

Większa odpowiedzialność kierownictwa

Nowelizacja ustawy o KSC wprowadza pojęcia kierownika podmiotu kluczowego lub ważnego, a to jest ściśle powiązane z założeniami dyrektywy NIS2, w której zwiększona została odpowiedzialność kierownictwa za cyberbezpieczeństwo. Kierownikiem jednego z omawianych podmiotów może być organ wieloosobowy.

Kierownik podmiotu kluczowego lub podmiotu ważnego będzie odpowiedzialny za działania systemu zarządzania bezpieczeństwem informacji w podmiocie. Taka osoba bądź grupa osób raz w roku będzie zobowiązana przechodzić szkolenie z cyberbezpieczeństwa.

Kary pieniężne wynikające z nowelizacji KSC

Nowelizacja ustawy, zgodnie z dyrektywą NIS2 przewiduje możliwość nakładania kar administracyjnych za naruszenia przez podmioty kluczowe lub ważne. Naruszenia te zostały szczegółowo wymienione w nowelizacji. Kary za niedotrzymanie obowiązków mają szeroką rozbieżność kwotową.

  • Minimalna wysokość kary pieniężnej dla podmiotu kluczowego nie może być niższa niż 20.000,00 złotych. Górna wysokość kary pieniężnej nie może przekroczyć 10.000,000 EUR wyrażonej w złotych przy zastosowania odpowiednich przeliczników lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej,
  • Dla podmiotów ważnych kara nie może być niższa niż 15.000,00 złotych. Kara może wynieść maksymalnie 7.000,000 EUR wyrażonej w złotych przy zastosowaniu odpowiednich przeliczników lub 1,4% przychodów osiągniętych z działalności gospodarczej,
  • Najbardziej rygorystyczną karą za naruszenie przepisów ustawy powodujące cyberzagrożenie albo zagrożenie wywołania poważnej szkody jest kara pieniężna w wysokości 100.000.000,00 zł.

Dodatkowo nowelizacja wprowadzi też kary dla kierowników podmiotów kluczowych lub ważnych, która będzie wyrażona procentowo względem otrzymywanego wynagrodzenia.