Nowelizacja ustawy o KSC przygotowana przez Ministerstwo Cyfryzacji weszła w życie w piątek. Regulacja wdraża w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem.

W odpowiedzi na rosnącą liczbę cyberataków na infrastrukturę krytyczną oraz zwiększającą się skalę dezinformacji tworzymy nowy ekosystem, który zapewni większe bezpieczeństwo państwa i obywateli. Nowelizacja ustawy o KSC wchodzi w życie w zbliżonym czasie, co Strategia Cyberbezpieczeństwa. Te dwa dokumenty razem zwiększą odporność w cyberprzestrzeni oraz poprawią bezpieczeństwo Polski - podkreślił wicepremier i minister cyfryzacji Krzysztof Gawkowski podczas niedawnej konferencji prasowej.

Firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego

Zgodnie z nowelizacją, firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna - będą zobowiązane zarejestrować się w wykazie podmiotów KSC. Jak przekazał Gawkowski, wykaz dla prywatnych firm zostanie otwarty 7 maja, a podmioty będą mogły się w nim rejestrować przez kolejnych 6 miesięcy, czyli do 3 października br. Za niewywiązanie się z tego obowiązku przedsiębiorcom będą grozić kary finansowe.

Aby ułatwić zadanie samoidentyfikacji, na stronie cyber.gov.pl resort cyfryzacji opublikował 131 szczegółowych pytań i odpowiedzi dla firm i podmiotów objętych nowymi przepisami. - To nie jest katalog zamknięty. Jeśli ktoś - podmiot, firma, osoba fizyczna, gazeta - zada pytanie, które nie jest umieszczone na te liście, to udzielimy indywidualnej odpowiedzi i może się tak zdarzyć, że to pytanie i odpowiedź na nie trafią na listę - podkreślił podczas spotkania z dziennikarzami wiceminister cyfryzacji Paweł Olszewski.

Przedstawiciele resortu poinformowali też, że będą starali się docierać do firm, które mogą nie zdawać sobie sprawy z nowych obowiązków. Resort będzie to robić m.in. przez komunikaty, kampanie informacyjne, przekazywanie informacji mediom czy przez portal biznes.gov.pl.

Obowiązek samoidentyfikacji nie dotyczy podmiotów publicznych. Jak przekazał szef MC, 13 kwietnia rozpocznie się proces, w którym Minister Cyfryzacji będzie z urzędu wpisywał podmioty do wykazu. Będzie to dotyczyło - oprócz jednostek publicznych - przedsiębiorców komunikacji elektronicznej oraz dotychczasowych operatorów usług kluczowych.

Część zmian rozłożona w czasie

Do 3 kwietnia 2027 r. podmioty kluczowe i ważne muszą wdrożyć obowiązki związane z cyberbezpieczeństwem, wynikające z nowych przepisów - podał resort. Wśród nowych obowiązków znalazło się m.in.: wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkowe będzie też zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania, czy niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.

Podmioty objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowela wymienia polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe czy szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP). Mają też zapewnić ciągłość działania podmiotu i możliwość świadczenia usług w przypadku wystąpienia incydentu

Z kolei do 3 kwietnia 2028 r. podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.

CSIRT ma ruszyć z pomocą

Nowela przewiduje również utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty objęte KSC w obsłudze incydentów cyberbezpieczeństwa.

Zgodnie z ustawą zostanie wprowadzony Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Minister cyfryzacji będzie mógł natomiast wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego. W jego ramach może np. nakazać podmiotowi przeprowadzenie analizy ryzyka czy zabezpieczenie określonych informacji.

Za nieprzestrzeganie przepisów na przedsiębiorców objętych KSC będą nakładane kary pieniężne. Kara na podmioty kluczowe może wynieść 2 proc. przychodów firmy; minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł). Natomiast kary na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy; min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).

Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.

Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Podstawicie Ministerstwa Cyfryzacji podkreślili w rozmowie z dziennikarzami, że system kar nie ma charakteru opresyjnego, a procedura w tej sprawie jest wieloetapowa. Obejmuje m.in. kontrole, wystąpienia pokontrolne, zgłaszanie zastrzeżeń oraz wzywanie do usunięcia nieprawidłowości. Resort zadeklarował, że kary finansowe mają być więc ostatecznością, a nie punktem wyjścia.

W trakcie prac sejmowych nad ustawą przyjęto zmiany, które doprecyzowały wybrane rozwiązania. Jedna z nich wprowadziła obowiązek udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.

Kolejna przewidywała, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z nowelizacji ustawy o KSC będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie noweli. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.

19 lutego br. prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz skierował ją do Trybunału Konstytucyjnego. Wątpliwości głowy państwa budzą m.in. przepisy regulujące zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. poleceń zabezpieczających. „Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel” - podał prezydent. Nawrocki wskazał również, że przewidziany ustawą system kar jest - według niego - restrykcyjny, a ich wysokość „ma wręcz charakter samodzielnych środków karnych”. 

źrodło PAP 4 kwiecień 2026  mbl/ drag/