I. DYREKTYWA NIS2 I NOWELIZACJA USTAWY O KSC – KLUCZOWE WYMAGANIA CYBERBEZPIECZEŃSTWA DLA FIRM I ZARZĄDÓW
Dyrektywa NIS2 a dokładnie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dalej: NIS-2), oraz znowelizowana ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej: UKSC2) wprowadzają istotne zmiany w podejściu do zarządzania cyberbezpieczeństwem w przedsiębiorstwach. Celem obu regulacji jest podniesienie odporności organizacji na incydenty cybernetyczne, ujednolicenie wymagań dotyczących cyberbezpieczeństwa w Unii Europejskiej oraz wzmocnienie odpowiedzialności kierownictwa za bezpieczeństwo systemów informacyjnych. Nowe przepisy mają bezpośredni wpływ na decyzje strategiczne firm w zakresie ładu korporacyjnego, zarządzania ryzykiem i ciągłości działania.
NIS2, która weszła w życie na poziomie UE w styczniu 2023 r., a państwa członkowskie zostały zobowiązane do jej transpozycji do 17 października 2024 r. z założenia nie obowiązuje bezpośrednio a wyznacza ramy, które muszą zostać wdrożone do prawa krajowego przez państwa członkowskie UE. W praktyce dla przedsiębiorstw działających w Polsce kluczowe znaczenie ma moment wejścia w życie UKSC2.
Nowelizacja stanowi zasadniczą przebudowę dotychczasowej ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej: UKSC) i jest podstawowym źródłem konkretnych, wiążących obowiązków dla firm działających w Polsce. To właśnie UKSC2, a nie sama NIS2, będzie podstawą kontroli, decyzji administracyjnych i ewentualnych sankcji wobec podmiotów gospodarczych. Z punktu widzenia zarządów kluczowe jest rozróżnienie ról obu regulacji: NIS2 określa „co” ma zostać osiągnięte, natomiast UKSC2 precyzuje „kogo, w jakim zakresie i na jakich zasadach” obowiązki dotyczą w Polsce.
Zakres podmiotowy regulacji został znacząco rozszerzony i obejmuje nie tylko dotychczasowych operatorów usług kluczowych, lecz także średnie i duże przedsiębiorstwa działające m.in. w sektorach energetyki, transportu, ochrony zdrowia, finansów, ICT, usług cyfrowych oraz produkcji przemysłowej o znaczeniu krytycznym. NIS2 oraz UKSC2 wprowadzają podział na podmioty kluczowe i podmioty ważne, co determinuje zakres obowiązków oraz intensywność nadzoru.
Szczególnie istotną zmianą jest wprowadzenie bezpośredniej odpowiedzialności kadry kierowniczej za zapewnienie zgodności z wymaganiami NIS2. Zarządy zobowiązane są do zatwierdzania środków zarządzania ryzykiem cyberbezpieczeństwa, a brak wdrożenia może skutkować wysokimi karami administracyjnymi, sięgającymi do 10 mln euro lub 2% rocznego światowego obrotu, a także dodatkowymi środkami nadzorczymi przewidzianymi w nowelizacji UKSC2.
Z perspektywy biznesowej wdrożenie wymagań NIS2 i UKSC2 należy traktować nie tylko jako obowiązek prawny, lecz jako element zarządzania ryzykiem strategicznym. Regulacje te wpływają na stabilność operacyjną, relacje z partnerami oraz możliwość udziału w łańcuchach dostaw, w których zgodność z NIS2 staje się nowym standardem. Wczesne podjęcie decyzji o wdrożeniu pozwala ograniczyć koszty, zmniejszyć ryzyko sankcji oraz zapewnić zarządowi realną kontrolę nad obszarem cyberbezpieczeństwa.
II. USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA – POLSKIE „PONAD MINIMUM” REGULACYJNE
O ile NIS-2 oraz UKSC2 zachowują pełną wzajemną spójność co do podstawowych założeń wyznaczonych przez wspólne europejskie ramy o tyle w szczegółach UKSC2 realnie „podnosi poprzeczkę” wprowadzając mechanizmy, które wykraczają poza literalne minimum NIS2, wzmacniając rolę państwa w nadzorze i ingerencji w decyzje organizacyjne przedsiębiorstw. To właśnie te elementy będą w praktyce najczęściej oceniane przez regulatora i najbardziej odczuwalne dla biznesu.
Dotychczasowe doświadczenia z obowiązywania pierwszej wersji UKSC oraz praktyki rynkowej pokazały, że podejście oparte wyłącznie na ogólnych obowiązkach i deklaratywnej odpowiedzialności nie zapewnia wystarczającej odporności państwa i gospodarki na incydenty cybernetyczne. Ustawodawca wychodzi z założenia, że cyberbezpieczeństwo przestało być wyłącznie problemem technicznym pojedynczych organizacji, a stało się elementem bezpieczeństwa publicznego, ciągłości usług i stabilności gospodarczej. Stąd w UKSC2 pojawiają się rozwiązania „ponad dyrektywę”, takie jak silniejszy nadzór państwa, formalizacja relacji z dostawcami wysokiego ryzyka czy obowiązkowa identyfikacja podmiotów objętych regulacją. Mają one ograniczyć sytuacje, w których kluczowe usługi zależą od niekontrolowanych technologii, niezweryfikowanych dostawców lub biernej postawy przedsiębiorstw.
W praktyce dla firm oznacza to istotną zmianę podejścia do cyberbezpieczeństwa. W obszarze zarządzania cyberbezpieczeństwem NIS2 posługuje się podejściem risk-based, wskazując katalog obszarów, które mają być objęte środkami ochrony. Polska ustawa idzie dalej, wprowadzając obowiązek wdrożenia sformalizowanego systemu zarządzania bezpieczeństwem informacji, z rozbudowaną dokumentacją normatywną i operacyjną oraz możliwością narzucania szczegółowych, sektorowych wymagań w drodze aktów wykonawczych. W efekcie UKSC2 wymusza model bardziej formalny, audytowalny i kontrolowalny niż minimalny standard wynikający z dyrektywy. Zarządzanie ryzykiem ICT przestało być wewnętrzną sprawą organizacji, a stało się obszarem podlegającym zewnętrznej ocenie i ingerencji regulatora. Decyzje dotyczące architektury systemów, wyboru dostawców czy sposobu reagowania na incydenty mogą mieć konsekwencje regulacyjne, a nie wyłącznie operacyjne. Podobnie w zakresie zarządzania incydentami: terminy raportowania wynikają bezpośrednio z NIS2, natomiast UKSC2 znacząco rozbudowuje procedurę zgłoszeń, wprowadzając dodatkowe etapy, szczegółowe wymogi treściowe oraz obowiązek korzystania z jednego, centralnego systemu teleinformatycznego do komunikacji z organami i CSIRT. Zwiększa to obciążenie organizacyjne po stronie podmiotów, ale jednocześnie wzmacnia nadzór państwa. Wzrasta znaczenie dokumentacji, procedur i formalnych decyzji zarządczych, które będą stanowiły podstawowy dowód dochowania należytej staranności. Podniesienie wymagań zmienia również rolę kierownictwa przedsiębiorstw. UKSC2, w ślad za NIS2, przesuwa odpowiedzialność za cyberbezpieczeństwo na poziom kierownictwa podmiotu, ale jednocześnie ogranicza możliwość delegowania ryzyka „w dół organizacji” bez realnego nadzoru. Odpowiedzialność kierownictwa istnieje nawet wtedy, gdy zadania są delegowane na inne osoby lub outsourcowane. W praktyce oznacza to konieczność świadomych decyzji strategicznych: czy organizacja spełnia kryteria podmiotu kluczowego lub ważnego, jakie ryzyka akceptuje, z jakimi dostawcami współpracuje i jakie środki ochrony uznaje za adekwatne. Z perspektywy biznesowej skutkiem podniesienia wymagań jest także zmiana relacji rynkowych. Zgodność z UKSC2 i NIS2 staje się elementem wiarygodności kontraktowej, a brak dostosowania może prowadzić do wykluczenia z łańcuchów dostaw, projektów infrastrukturalnych czy współpracy z podmiotami regulowanymi. Ustawodawca zakłada, że tylko poprzez wyższe, jednoznacznie egzekwowalne wymagania możliwe jest podniesienie ogólnego poziomu odporności cyfrowej – nawet kosztem większych obciążeń organizacyjnych po stronie przedsiębiorstw.
III. KOGO OBEJMUJE NOWELIZACJA UKSC I JAK TO USTALIĆ W PRAKTYCE?
UKSC2 wprowadza obowiązek samoidentyfikacji oraz wpisu do wykazu lub rejestru podmiotów objętych regulacją – to na podmiocie spoczywa obowiązek ustalenia, czy spełnia kryteria podmiotu kluczowego lub ważnego, oraz dokonania odpowiedniego zgłoszenia w określonym terminie. Brak zgłoszenia nie zwalnia z obowiązków – przeciwnie, może zostać potraktowany jako naruszenie przepisów. Z perspektywy zarządu oznacza to, że pierwszym realnym krokiem w kierunku zgodności z UKSC2 nie jest wdrożenie środków technicznych, lecz świadoma decyzja kwalifikacyjna i formalne zajęcie stanowiska wobec regulatora. W praktyce odpowiedź na pytanie „czy moja firma musi wdrażać UKSC2/NIS2” nie sprowadza się do prostego „tak” lub „nie”. Nowelizacja UKSC2 wymaga od kierownictwa aktywnej analizy sektora, skali działalności, roli w łańcuchach dostaw oraz struktury grupy kapitałowej. Dopiero na tej podstawie możliwe jest określenie zakresu obowiązków i podjęcie decyzji o dalszych działaniach, które – w przypadku błędnej oceny – mogą mieć bezpośrednie konsekwencje regulacyjne i finansowe.
Punktem wyjścia jest podział podmiotów objętych regulacją na podmioty kluczowe oraz podmioty ważne. Podmioty kluczowe to organizacje, których działalność ma fundamentalne znaczenie dla funkcjonowania państwa, gospodarki lub społeczeństwa, a zakłócenie ich usług mogłoby wywołać poważne skutki systemowe. Podmioty ważne to z kolei te, których działalność jest istotna, lecz potencjalny wpływ incydentu cyberbezpieczeństwa ma z reguły mniejszą skalę. W praktyce różnica ta przekłada się na intensywność nadzoru, zakres kontroli oraz potencjalne konsekwencje regulacyjne, przy czym podstawowe obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa dotyczą obu kategorii.
Nowelizacja UKSC objęła szeroki katalog sektorów, w których obowiązki powstają z mocy prawa, jeżeli spełnione są kryteria wielkościowe. Są to w szczególności sektory infrastrukturalne i regulowane, takie jak energetyka, transport, ochrona zdrowia, gospodarka wodna, bankowość i infrastruktura rynków finansowych, dostawcy usług cyfrowych i ICT, centra danych, usługi chmurowe, a także wybrane obszary produkcji przemysłowej i przetwórstwa o znaczeniu krytycznym. W tych branżach samo prowadzenie działalności w określonym zakresie powoduje objęcie reżimem UKSC2, bez potrzeby dodatkowej decyzji administracyjnej. Nowelizacja UKSC wymaga analizy progów wielkościowych i obowiązków nie tylko na poziomie pojedynczej spółki, lecz także z uwzględnieniem relacji dominacji i kontroli. W praktyce oznacza to, że spółka-córka, która samodzielnie nie spełnia kryteriów, może zostać uznana za podmiot objęty UKSC2 ze względu na swoją rolę w grupie lub znaczenie dla ciągłości usług świadczonych przez całość struktury. Dla kierownictwa oznacza to konieczność skoordynowanego podejścia na poziomie grupy, a nie punktowej analizy pojedynczych podmiotów.
Czy mała firma może podlegać UKSC2?
Co do zasady nowelizacja ustawy posługuje się progami wielkości opartymi na kategorii przedsiębiorstwa, przyjmując jako punkt odniesienia średnie i duże podmioty. Nowelizacja UKSC wprost wskazuje, że progi wielkościowe nie mają charakteru absolutnego i mogą zostać „przełamane” przez znaczenie faktycznej roli przedsiębiorstwa w gospodarce lub systemie usług krytycznych.
Typowym wyjątkiem jest sytuacja, w której mała firma świadczy usługi o istotnym znaczeniu systemowym, w szczególności w sektorach objętych UKSC2, takich jak ICT, usługi cyfrowe, centra danych, usługi chmurowe, technologie sieciowe czy wyspecjalizowane usługi wspierające infrastrukturę krytyczną. Jeżeli działalność małego podmiotu ma realny wpływ na ciągłość lub bezpieczeństwo usług świadczonych przez podmioty kluczowe, obowiązki UKSC2 mogą powstać niezależnie od jego wielkości. Drugim istotnym wyjątkiem jest rola w łańcuchu dostaw. Nowelizacja UKSC kładzie silny nacisk na bezpieczeństwo dostawców technologii, systemów i usług ICT. Mała firma, która jest kluczowym lub trudno zastępowalnym dostawcą dla podmiotów objętych UKSC2, może zostać objęta obowiązkami w praktyce poprzez swoje znaczenie operacyjne. Dla zarządu oznacza to, że relacje kontraktowe z podmiotami regulowanymi mogą pośrednio wymuszać zgodność z UKSC2, nawet jeśli ustawa nie wskazuje wprost takiego podmiotu jako adresata obowiązków. Kolejną sytuacją jest przynależność do grupy kapitałowej. Mała spółka-córka może zostać objęta obowiązkami UKSC2 nie z uwagi na własną skalę działalności, lecz ze względu na rolę, jaką pełni w grupie realizującej usługi kluczowe lub ważne. W praktyce oznacza to, że progi wielkościowe należy analizować w kontekście struktury właścicielskiej i funkcjonalnej, a nie wyłącznie na poziomie pojedynczej spółki.
Z perspektywy kierownictwa organizacji kluczowy wniosek jest następujący: mała firma może podlegać UKSC2, jeżeli jej działalność ma znaczenie wykraczające poza jej skalę organizacyjną. Sama wielkość przedsiębiorstwa nie stanowi wystarczającej ochrony przed objęciem regulacją. W przypadku jakichkolwiek wątpliwości co do roli firmy w sektorach objętych UKSC2, łańcuchach dostaw lub strukturze grupy kapitałowej, zasadne jest dokonanie formalnej analizy jej statusu, zanim regulator dokona takiej kwalifikacji samodzielnie.
Tabela nr 1. Checklista wstępnej oceny podlegania UKSC2
IV. WPIS DO WYKAZU PODMIOTÓW KLUCZOWYCH / WAŻNYCH
UKSC2 przewiduje sformalizowany, aktywny obowiązek zgłoszeniowy, który spoczywa bezpośrednio na podmiocie gospodarczym. Należy jednak mieć na uwadze, że objęcie ustawą UKSC2 nie następuje z chwilą wpisu do wykazu, lecz z chwilą spełnienia przesłanek ustawowych. Przesłanki te wynikają ustawy i obejmują w szczególności: sektor działalności, rodzaj świadczonych usług, wielkość przedsiębiorstwa, pełnioną funkcję (np. infrastrukturalną), a także łącznik terytorialny z Polską. Oznacza to, że firma może już podlegać obowiązkom UKSC2, nawet jeśli nie została jeszcze wpisana do wykazu i nawet jeśli nie ma świadomości tego faktu. Z perspektywy kierownictwa kluczowe jest także to, że zgłoszenie nie ma charakteru uznaniowego ani informacyjnego, lecz stanowi wykonanie obowiązku ustawowego, którego brak może zostać zakwalifikowany jako naruszenie przepisów. Brak działania nie „chroni” firmy przed obowiązkami UKSC2 – przeciwnie, zwiększa ryzyko wpisu interwencyjnego, kontroli i kar finansowych, a w skrajnych przypadkach także odpowiedzialności osobistej kadry kierowniczej.
Obowiązek samoidentyfikacji i termin działania
Jeżeli firma, w wyniku wewnętrznej analizy, stwierdzi, że spełnia przesłanki uznania jej za podmiot kluczowy albo podmiot ważny, ma obowiązek samodzielnego działania. Z punktu widzenia praktyki zarządczej zgłoszenie do wykazu/rejestru powinno być poprzedzone udokumentowaną decyzją kierownictwa co do statusu firmy jako podmiotu kluczowego lub ważnego. W razie kontroli to właśnie ta decyzja, wraz z treścią zgłoszenia, będzie pierwszym elementem ocenianym przez organ nadzorczy pod kątem dochowania należytej staranności. Ustawa nakłada na podmiot gospodarczy obowiązek złożenia wniosku o wpis do wykazu w terminie do 6 miesięcy od dnia, w którym zmaterializowały się przesłanki objęcia ustawą. Termin ten biegnie niezależnie od tego, czy firma została poinformowana o tym fakcie przez organ administracji. Brak złożenia wniosku w terminie nie wstrzymuje obowiązków ustawowych, natomiast istotnie zwiększa ryzyko kontroli oraz sankcji administracyjnych.
Jak firma dokonuje wpisu?
Z perspektywy przedsiębiorcy wpis do wykazu odbywa się w pełni elektronicznie za pośrednictwem dedykowanego systemu teleinformatycznego. Z punktu widzenia organizacji oznacza to brak możliwości „nieformalnego” zgłoszenia lub oparcia się wyłącznie na korespondencji ogólnej z organem administracji. Wniosek musi zostać podpisany przez kierownika podmiotu (członka zarządu) lub osobę należycie upoważnioną. Wniosek obejmuje szeroki zakres informacji o firmie, w tym m.in. dane identyfikacyjne, sektor i rodzaj działalności, informacje o wielkości przedsiębiorstwa, dane osób kontaktowych, wykorzystywane domeny i adresy IP. Kluczowym elementem wniosku jest oświadczenie kierownika podmiotu składane pod rygorem odpowiedzialności karnej, co wymaga, aby dane zostały wcześniej rzetelnie zweryfikowane. Złożenie kompletnego wniosku powoduje, że firma zostaje wpisana do wykazu z chwilą jego złożenia – bez wydawania decyzji administracyjnej i bez oczekiwania na zatwierdzenie przez organ.
Co, jeśli firma nie zgłosi się sama?
Jeżeli firma nie złoży wniosku w wymaganym terminie a spełnia przesłanki uznania jej za podmiot kluczowy lub ważny, musi liczyć się z tym, że zostanie wpisana do wykazu z urzędu. Minister właściwy do spraw informatyzacji może wpisać firmę do wykazu na podstawie danych z rejestrów publicznych. W tym przypadku firma otrzyma zawiadomienie o wpisie oraz wezwanie do uzupełnienia brakujących danych. Niedopełnienie tego obowiązku wiąże się z ryzykiem nałożenia kary pieniężnej.
Decyzja uznaniowa organu
Z perspektywy podmiotu gospodarczego najbardziej ingerującym trybem jest sytuacja, w której organ właściwy do spraw cyberbezpieczeństwa uznaje firmę za podmiot kluczowy lub ważny w drodze decyzji administracyjnej, mimo że firma nie spełnia kryteriów ustawowych w tym zakresie. Może to nastąpić, jeżeli firma jest jedynym lub kluczowym dostawcą danej usługi, jej działalność ma znaczenie krajowe lub regionalne, albo zakłócenie jej systemów mogłoby wywołać ryzyko systemowe zaprzestania świadczenia usług przez podmioty kluczowe lub podmioty ważne. Taka decyzja jest natychmiast wykonalna i automatycznie skutkuje wpisem do wykazu. W tym trybie ustawodawca przewidział jednak odroczone terminy wdrożeniowe – firma ma 12 miesięcy na realizację obowiązków UKSC2 oraz 24 miesiące na przeprowadzenie pierwszego audytu.
Jakie są dalsze obowiązki po wpisie w zakresie ciągłości i aktualizacji
Z chwilą wpisu do wykazu firma wchodzi w fazę ciągłego obowiązku aktualizacji danych. Każda zmiana informacji objętych wpisem (np. zmiana domen, osób kontaktowych, struktury organizacyjnej) musi zostać zgłoszona w terminie 14 dni. Firma może także w przyszłości wnioskować o wykreślenie z wykazu, jeżeli przestanie spełniać przesłanki ustawowe, jednak do czasu wykreślenia pozostaje objęta pełnym reżimem UKSC2. Z punktu widzenia podmiotu gospodarczego najbezpieczniejszą strategią jest terminowa samoidentyfikacja i złożenie wniosku o wpis do wykazu. Pozwala to zachować kontrolę nad procesem, ograniczyć ryzyko sankcji oraz wykazać dochowanie należytej staranności zarządczej.
V. JAKIE SĄ OBOWIĄZKI PODMIOTÓW KLUCZOWYCH ORAZ PODMIOTÓW WAŻNYCH?
Nowe brzmienie rozdziału 3 ustawy o krajowym systemie cyberbezpieczeństwa nie pozostawia wątpliwości co do kierunku zmian. Tytuł mówi wprost: „Obowiązki podmiotów kluczowych lub podmiotów ważnych”. Ustawodawca nie opisuje już ogólnych standardów. Buduje spójny model zarządzania cyberbezpieczeństwem, który ma być systemowy, mierzalny i nadzorowany na poziomie kierownictwa. Dla specjalistów ds. compliance i cyberbezpieczeństwa to sygnał, że bezpieczeństwo informacji przestaje być obszarem „technicznym”, a staje się elementem formalnego ładu organizacyjnego.
Nowe wymagania koncentrują się na wdrożeniu systemowego zarządzania cyberbezpieczeństwem, obejmującego m.in. takie zagadnienia jak:
Zarządzanie ryzykiem
Środki techniczne i organizacyjne, w tym:
Polityki bezpieczeństwa
Bezpieczeństwo cyklu życia systemu
Bezpieczeństwo fizyczne i środowiskowe
Bezpieczeństwo zasobów ludzkich
Bezpieczeństwo i ciągłość łańcucha dostaw ICT
Ciągłość działania i odtworzenie
Monitorowanie i ocena skuteczności
Edukacja i cyberhigiena
Kryptografia i bezpieczna komunikacja
Zarządzanie aktywami i kontrolą dostępu
Zarządzanie incydentami
Aktualizacje i ochrona systemu
Odpowiedzialność kierownictwa
Szkolenia i weryfikacja personelu
Punktem wyjścia jest obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) w systemach informacyjnych wykorzystywanych w procesach wpływających na świadczenie usługi (art. 8 ust. 1). Nie chodzi więc o dowolne środowiska IT, lecz o te, które realnie wspierają usługę świadczoną przez podmiot kluczowy lub podmiot ważny. Nowelizacja nie poprzestaje na ogólnym sformułowaniu. SZBI ma zapewniać systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem (art. 8 ust. 1 pkt 1). To sformułowanie ma znaczenie: ryzyko ma być oceniane w sposób ciągły, a nie incydentalny. Nie wystarczy jednorazowa analiza. Ustawodawca wprowadza także wymóg wdrożenia środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka (art. 8 ust. 1 pkt 2). Proporcjonalność nie jest tu bez znaczenia. Wskazane w tekście ustawy kryteria: najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo incydentów, narażenie na ryzyka oraz skutki społeczne i gospodarcze tworzą ramę do uzasadniania przyjętych rozwiązań.
Katalog obszarów środków jest szeroki: od polityk bezpieczeństwa, przez bezpieczeństwo w cyklu życia systemów, bezpieczeństwo fizyczne i zasobów ludzkich, po ciągłość działania, ciągły monitoring, kryptografię, zarządzanie aktywami i kontrolę dostępu (art. 8 ust. 1 pkt 2 lit. a–n). W praktyce oznacza to, że SZBI musi obejmować zarówno warstwę organizacyjną, techniczną jak i operacyjną.
Istotnym elementem nowelizacji jest akcent położony na łańcuch dostaw. Wdrażając środki dotyczące bezpieczeństwa i ciągłości łańcucha dostaw, podmiot ma uwzględniać podatności związane z dostawcą, jakość produktów i usług ICT oraz określone wyniki ocen i postępowań (art. 8 ust. 2). Takie podejście przesuwa odpowiedzialność poza granice własnej infrastruktury. Ryzyko przestaje być wyłącznie „wewnętrzne”. Dla compliance oznacza to konieczność powiązania procesów zakupowych i zarządzania dostawcami z procesem zarządzania ryzykiem cyberbezpieczeństwa.
Kierownictwo w centrum odpowiedzialności
Jedną z najbardziej znaczących zmian jest jednoznaczne przypisanie odpowiedzialności kierownikowi podmiotu kluczowego lub podmiotu ważnego za wykonywanie obowiązków w zakresie cyberbezpieczeństwa (art. 8c ust. 1). Odpowiedzialność ta nie znika w przypadku delegowania zadań (art. 8c ust. 3). W organach wieloosobowych, jeżeli nie wskazano osoby odpowiedzialnej, odpowiadają wszyscy członkowie (art. 8c ust. 2). Kierownik ma nie tylko „nadzorować”, ale podejmować decyzje dotyczące przygotowania, wdrażania i przeglądu SZBI, planować środki finansowe, przydzielać zadania i zapewniać świadomość personelu (art. 8d). Ustawodawca wprowadza także obowiązek corocznego szkolenia kierownika oraz osoby, której powierzono obowiązki w zakresie cyberbezpieczeństwa (art. 8e). To wyraźne przesunięcie: cyberbezpieczeństwo staje się elementem odpowiedzialności zarządczej, a nie wyłącznie operacyjnej.
Incydenty: precyzyjna oś czasu i sformalizowana komunikacja
Nowelizacja uszczegóławia obowiązki związane ze zgłaszaniem incydentów poważnych. Wczesne ostrzeżenie musi zostać przekazane nie później niż w ciągu 24 godzin od wykrycia incydentu (art. 11 ust. 1 pkt 4). Sam incydent poważny zgłasza się w ciągu 72 godzin (art. 11 ust. 1 pkt 4a), a następnie przekazuje sprawozdanie końcowe w terminie miesiąca (art. 11 ust. 1 pkt 4c). Jeżeli obsługa incydentu nie zakończyła się w terminie składania sprawozdania końcowego, przekazywane jest sprawozdanie z postępu (art. 12b). Ustawa precyzyjnie określa zawartość wczesnego ostrzeżenia, zgłoszenia oraz sprawozdania końcowego (art. 12 i 12a). Nowością jest także obowiązek informowania użytkowników w przypadku poważnego cyberzagrożenia oraz incydentu poważnego, jeżeli ma on wpływ na świadczoną usługę (art. 11 ust. 2a–2b). Informowanie o samym zagrożeniu jest dopuszczalne pod warunkiem, że nie zwiększy to ryzyka dla bezpieczeństwa systemów. W efekcie proces obsługi incydentu musi być nie tylko techniczny, ale również komunikacyjny i raportowy.
Dokumentacja jako dowód działania
Art. 10 w nowym brzmieniu porządkuje wymagania dotyczące dokumentacji bezpieczeństwa systemu informacyjnego. Rozróżnia dokumentację normatywną i operacyjną oraz precyzuje ich elementy. Wskazuje również na obowiązek nadzoru nad dokumentacją, zapewnienia jej integralności i ograniczenia dostępu (art. 10 ust. 6), a także określa minimalny okres przechowywania (art. 10 ust. 7). To wyraźny sygnał: dokumentacja nie ma być deklaracją, lecz odzwierciedleniem rzeczywistych procesów. Audyt, do którego zobowiązany jest podmiot kluczowy co najmniej raz na 3 lata (art. 15 ust. 1), oraz możliwość nakazania audytu przez organ właściwy (art. 15 ust. 1b), stanowią mechanizm weryfikacji tego stanu.
Terminy, które wyznaczają tempo zmian
Ustawa przewiduje 12 miesięcy na realizację obowiązków od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny oraz 24 miesiące na pierwszy audyt w przypadku podmiotu kluczowego (art. 16). Te terminy wprowadzają jasny horyzont wdrożeniowy.
Tabela nr 2: Wybrane zagadnienia związane ze spełnieniem wymagań ustawy przez podmioty kluczowe i ważne:
VI. SANKCJE
UKSC2 wprowadza znacząco zaostrzony i uszczegółowiony reżim sankcyjny, zgodny z dyrektywą NIS2, ale w wielu obszarach bardziej precyzyjny i restrykcyjny na poziomie krajowym. Sankcje mają charakter administracyjny, finansowy oraz osobisty, a katalog naruszeń został opisany wprost w ustawie.
Jakie są kary pieniężne dla podmiotów?
Nowe brzmienie art. 73 przesądza, że karze pieniężnej podlega podmiot kluczowy lub ważny, który narusza konkretne obowiązki, w tym m.in.:
nie uzupełnia lub nie koryguje danych w wykazie mimo wezwań,
nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza nim,
nie wdraża systemu zarządzania bezpieczeństwem informacji albo wdraża go w sposób niespełniający wymogów,
nie wykonuje obowiązków w zakresie zarządzania incydentami,
nie przeprowadza audytu w terminie,
nie usuwa wskazanych podatności czy utrudnia kontrole i monitoring.
Szczególnie istotne jest to, że odpowiedzialność obejmuje również naruszenia jednorazowe – ustawa wprost wyłącza możliwość obrony argumentem „pojedynczego błędu” dla szerokiego katalogu obowiązków (art. 73 ust. 1b).
Tabela nr 3: Maksymalne i minimalne progi administracyjnych kar pieniężnych dla podmiotów kluczowych i ważnych
Środki nadzorcze zamiast lub obok kary
Ustawa wyposaża organy w szeroki katalog środków nadzorczych, które mogą być stosowane niezależnie od kar pieniężnych. Obejmują one wezwania do usunięcia naruszeń w określonym terminie, nakazy wdrożenia konkretnych środków organizacyjnych lub technicznych, nakazy usunięcia podatności, a także wzmożony nadzór i kontrole następcze. Szczególnie dotkliwym instrumentem jest możliwość nałożenia okresowej kary pieniężnej za każdy dzień opóźnienia w wykonaniu decyzji nadzorczych – od 500 zł do 100 000 zł dziennie (art. 76b). Mechanizm ten ma charakter przymuszający i w praktyce może generować znaczne koszty w krótkim czasie.
Odpowiedzialność kierownictwa
Jedną z najdalej idących zmian jest wyraźne przeniesienie odpowiedzialności na poziom kierownictwa. Art. 73a przewiduje możliwość nałożenia osobistej kary pieniężnej na kierownika podmiotu kluczowego lub ważnego m.in. za:
niewykonanie obowiązków rejestrowych,
obowiązków z zakresu zarządzania ryzykiem,
niewyznaczenie wymaganych osób kontaktowych,
niewykonanie obowiązków incydentowych czy audytowych.
Odpowiedzialność ta może dotyczyć także zaniechań jednorazowych i może być stosowana niezależnie od kary nałożonej na sam podmiot. Wysokość kary jest powiązana z wynagrodzeniem kierownika i może sięgać do 300% tego wynagrodzenia (a w podmiotach publicznych – co do zasady do 100%). W praktyce oznacza to zasadniczą zmianę filozofii: cyberbezpieczeństwo przestaje być zagadnieniem „delegowanym do IT” i staje się obszarem bezpośredniej odpowiedzialności zarządczej.
Jak i kiedy państwo sprawdza zgodność, czyli przeprowadza kontrole?
Kontrola w UKSC2 ma charakter ciągły, systemowy i wieloźródłowy, a nie incydentalny. Podstawowym punktem odniesienia jest wykaz podmiotów kluczowych i ważnych. Na jego podstawie organy mogą prowadzić czynności sprawdzające zgodność danych ze stanem faktycznym (art. 7k) oraz wzywać do korekt w terminach liczonych w dniach, pod rygorem sankcji. Niezależnie od tego organ właściwy może prowadzić kontrole planowe i doraźne, w szczególności po incydentach, po zgłoszeniach z CSIRT lub w sytuacjach podejrzenia niewdrożenia środków zarządzania ryzykiem. Nowelizacja przewiduje również możliwość przeprowadzania ocen bezpieczeństwa systemów informacyjnych przez CSIRT, obejmujących testy bezpieczeństwa i analizy podatności (rozdział 6a). Brak reakcji na wezwania, brak uzupełnienia danych, niewykonanie decyzji lub zaleceń skutkuje stopniową eskalacją: od środków nadzorczych, przez kary pieniężne, aż po okresowe kary dzienne i spory sądowoadministracyjne. Decyzjom dotyczącym kar może zostać nadany rygor natychmiastowej wykonalności, jeżeli wymaga tego ochrona bezpieczeństwa lub porządku publicznego (art. 74 ust. 4).
VII. JAKIE SĄ POTENCJALNE BŁĘDNE ZAŁOŻENIA KIEROWNICTWA?
UKSC2/NIS2 nie jest regulacją „do wdrożenia w przyszłości”. To system, w którym obowiązki powstają wcześniej niż formalne decyzje, czas reakcji jest krótki, a ryzyko regulacyjne dotyczy bezpośrednio kierownictwa, a nie wyłącznie organizacji jako całości. Dlatego punktem wyjścia dla zarządu nie powinno być pytanie „czy już musimy”, lecz czy dziś bylibyśmy w stanie wykazać, że wiemy, czy podlegamy UKSC2/NIS2 – i że mamy realny, realizowany plan działania na 6, 12 i 24 miesiące.
Tabela nr 4. Zestawienie potencjalnych błędnych założeń, które mogą prowadzić do fałszywych wniosków, że organizacja „nie podlega UKSC2 / NIS2”.
VIII. JAK WYGLĄDA WDROŻENIE UKSC2 / NIS2?
Proces wdrożenia UKSC2 należy rozumieć jako ciągłe, zarządczo-operacyjne przedsięwzięcie, a nie sekwencję jednorazowych etapów. Jego istotą jest ustanowienie trwałego systemu zarządzania ryzykiem cyberbezpieczeństwa, spełniającego wymagania ustawy oraz zapewniającego dowody należytej staranności po stronie kierownictwa. Punktem wyjścia jest jednoznaczne określenie statusu regulacyjnego organizacji (ustalenie czy w świetle przepisów podmiot jest kwalifikowany jako kluczowy lub ważny), co bezpośrednio wpływa na zakres obowiązków ustawowych, poziom sankcji administracyjnych oraz intensywność nadzoru ze strony organów właściwych. Równolegle identyfikuje się usługi podlegające ochronie oraz ich powiązania z systemami ICT, co pozwala określić faktyczny obszar regulacyjny, a nie wyłącznie formalny. Na tej podstawie przeprowadza się systemową ocenę zgodności i ryzyka, polegającą na porównaniu aktualnych rozwiązań organizacyjnych, technicznych i proceduralnych z wymaganiami UKSC2. Analiza ta nie ogranicza się do zabezpieczeń technicznych, lecz obejmuje również mechanizmy decyzyjne, nadzór zarządczy, ciągłość działania, zarządzanie incydentami oraz bezpieczeństwo łańcucha dostaw. Jej celem jest wskazanie rzeczywistych luk, które mogą skutkować odpowiedzialnością regulacyjną. Kolejnym elementem procesu jest ustanowienie formalnego modelu odpowiedzialności.
UKSC2 wymaga, aby cyberbezpieczeństwo było osadzone na poziomie zarządczym. Oznacza to powołanie właściciela systemu, wyposażonego w mandat do koordynowania działań, raportowania do kierownictwa oraz kontaktu z CSIRT. Rola ta nie może być sprowadzona wyłącznie do IT, ponieważ odpowiedzialność za zgodność spoczywa na kierownictwie najwyższego szczebla. Równolegle projektuje się i wdraża system zarządzania ryzykiem cyberbezpieczeństwa, obejmujący identyfikację ryzyk ICT, ich ocenę, akceptację lub redukcję oraz monitorowanie. System ten musi być spójny z procesami biznesowymi i decyzjami zarządczymi, a nie funkcjonować jako odrębna struktura techniczna. W praktyce oznacza to integrację polityk bezpieczeństwa, procedur reagowania na incydenty oraz planów ciągłości działania z mechanizmami zarządzania organizacją. Integralną częścią wdrożenia jest operacjonalizacja środków technicznych i organizacyjnych, adekwatnych do poziomu ryzyka i charakteru usług. Obejmuje to zarówno zabezpieczenia infrastruktury, jak i relacje z dostawcami, w tym outsourcing i usługi chmurowe. UKSC2 wprost przenosi odpowiedzialność za bezpieczeństwo łańcucha dostaw na podmiot regulowany, co wymaga odpowiednich zapisów umownych oraz nadzoru nad podmiotami trzecimi.
Proces wdrożenia nie kończy się na uruchomieniu rozwiązań. Kluczowe znaczenie ma stały nadzór i dokumentowanie działań, w tym testowanie reagowania na incydenty, szkolenie personelu oraz cykliczne raportowanie do zarządu. Z perspektywy organów nadzorczych istotne jest nie tylko to, czy środki istnieją, lecz czy są stosowane, monitorowane i doskonalone. W ujęciu UKSC2 wdrożenie należy traktować jako mechanizm ograniczania ryzyka prawnego i osobistej odpowiedzialności kierownictwa. System, który funkcjonuje w sposób ciągły, oparty na udokumentowanych decyzjach i nadzorze, stanowi podstawową linię obrony organizacji w przypadku incydentu, kontroli lub postępowania administracyjnego.
Tabela nr 5: Etapy wdrożenia wymagań UKSC w 12 miesięcznym okresie.
IX. CZY WDROŻENIE ISO 27001 VS SPEŁNIENIE WYMAGAŃ UKSC2 / NIS2?
Jeżeli organizacja wdrożyła już ISO/IEC 27001, w praktyce zrobiła już największą i najtrudniejszą część pracy wymaganej przez UKSC2. ISO 27001:2022 daje bowiem coś, czego sama ustawa nie opisuje szczegółowo – spójny, działający system zarządzania bezpieczeństwem informacji. Dzięki temu, gdy pojawia się obowiązek wykazania zgodności z UKSC2, organizacja nie musi tłumaczyć, jak zarządza bezpieczeństwem. Może to po prostu pokazać. Polityki, role, odpowiedzialności, przeglądy zarządcze i audyty, które istnieją na potrzeby ISO, automatycznie stają się dowodem spełnienia ustawowego wymogu „wdrożenia odpowiednich środków organizacyjnych”. Wdrożone ISO 27001 znacząco upraszcza również rozmowę z organem nadzorczym. Zamiast opisywać pojedyncze zabezpieczenia, organizacja pokazuje, że bezpieczeństwo jest procesem ciągłym, zarządzanym na poziomie kierownictwa. To bezpośrednio odpowiada na oczekiwania UKSC2, które kładzie nacisk nie na technikalia, lecz na odpowiedzialność i nadzór. Dzięki ISO nie trzeba tworzyć nowych struktur decyzyjnych – wystarczy wykazać, że już istnieją i działają.
Jeżeli dodatkowo organizacja korzysta z NIST, uzyskuje kolejną istotną korzyść: operacyjną wiarygodność. NIST przekłada wymagania bezpieczeństwa na konkretne działania zespołów – monitorowanie, detekcję, reagowanie i odtwarzanie. W kontekście UKSC2 oznacza to, że organizacja nie tylko deklaruje odporność, ale potrafi ją pokazać w praktyce. Logi, alerty, ćwiczenia reagowania czy raporty z incydentów stają się gotowym materiałem dowodowym, bez konieczności tworzenia dodatkowych raportów „pod ustawę”. CIS Controls wzmacniają ten efekt, ponieważ dostarczają czytelnego minimum technicznego, które jest łatwe do zrozumienia także dla organów nadzorczych. Jeżeli organizacja może wykazać, że stosuje CIS jako baseline, automatycznie pokazuje, że jej środki są adekwatne i proporcjonalne. To redukuje ryzyko kwestionowania decyzji technicznych i eliminuje potrzebę szczegółowego uzasadniania każdej konfiguracji czy narzędzia.
W przypadku podmiotów objętych DORA korzyść jest jeszcze większa. DORA wprowadza obowiązek regularnych testów odporności, zarządzania ryzykiem ICT i formalnego raportowania incydentów. W praktyce oznacza to, że organizacja posiada już ustrukturyzowany, sprawdzony mechanizm odporności operacyjnej, który idealnie wpisuje się w oczekiwania UKSC2. Zamiast budować nowe procesy, wystarczy wskazać, że te same mechanizmy realizują również obowiązki wynikające z ustawy krajowej. Największą korzyścią z połączenia ISO 27001, NIST, CIS i DORA jest jednak brak dublowania działań, ponieważ oragnizacja:
prowadzi jedną ocenę ryzyka,
obsługuje incydenty jednym zespołem,
testuje ciągłość działania w jednym cyklu,
raportuje do zarządu w jednym formacie.
UKSC2 nie wymusza tworzenia nowych procesów – wymaga jedynie, aby te istniejące były skuteczne i możliwe do wykazania. Dzięki wdrożonym standardom organizacja nie musi „robić więcej”, tylko lepiej opisać i spiąć to, co już robi. W efekcie UKSC2 przestaje być postrzegane jako kolejny ciężar regulacyjny. Dla organizacji, która wdrożyła ISO 27001 i standardy towarzyszące, staje się raczej ramą porządkującą, która pozwala lepiej wykorzystać istniejące inwestycje w bezpieczeństwo. To, co wcześniej było „zgodnością ze standardem”, staje się dowodem zgodności z prawem, bez konieczności budowania równoległego systemu.
Materiały źródłowe:
