Dyrektywa NIS2 i nowelizacja Krajowego Systemu Cyberbezpieczeństwa – co operatorzy telekomunikacyjni powinni wiedzieć
Aktualności | Telekomunikacja | Wpis sponsorowany

Dyrektywa NIS2 i nowelizacja Krajowego Systemu Cyberbezpieczeństwa – co operatorzy telekomunikacyjni powinni wiedzieć

Aktualności | Telekomunikacja | Wpis sponsorowany

Zapewnienie łączności, utrzymanie infrastruktury, ochrona danych – to jedne z najważniejszych elementów funkcjonowania całego systemu cyfrowego w Polsce i UE. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (Dyrektywa NIS2) oraz nadchodząca nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa zmienią standardy odporności, raportowania i zarządzania ryzykiem przez operatorów. Obecnie Rada Ministrów zatwierdziła 21 października 2025 r. ostatnią wersję projektu ustawy nowelizującej ustawę o krajowym systemie cyberbezpieczeństwa (projekt z 7 października 2025 r.). Projekt nie został jeszcze skierowany do Sejmu. Po przyjęciu przez Parlament, podpisie Prezydenta RP i publikacji w Dzienniku Ustaw, zgodnie z obecnym brzmieniem projektu, ustawa nowelizująca wejdzie w życie po upływie miesiąca od dnia ogłoszenia.

Podział podmiotów w dyrektywie NIS2

Dyrektywa NIS2 wprowadza nowy podział podmiotów na kluczowe i ważne, uzależniając go od ich znaczenia dla stabilności i prawidłowego funkcjonowania gospodarki oraz życia społecznego. Podmioty kluczowe to te, bez których działalności – sektor nie mógłby sprawnie działać, natomiast podmioty ważne to organizacje, które w przypadku zakłóceń lub cyberataku mogą wywołać istotne skutki dla stabilności danego obszaru. Co istotne, przepisy obejmują również mikro- i małe przedsiębiorstwa, jeśli spełniają kryteria wskazujące na ich znaczenie w danym sektorze. Zgodnie z art. 3 ust. 1 dyrektywy NIS2 dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej (czyli operatorzy telekomunikacyjni), którzy posiadają status dużych lub średnich przedsiębiorstw, kwalifikują się jako podmioty kluczowe. Z kolei zgodnie z art. 3 ust. 2 mali i mikroprzedsiębiorcy w tym sektorze, choć pełnią równie ważną rolę w zapewnianiu dostępu do Internetu i usług cyfrowych, traktowani są jako podmioty ważne.

Obowiązki i odpowiedzialność

Jednym z obowiązków wprowadzonych przez dyrektywę NIS2 jest konieczność samoidentyfikacji przez przedsiębiorstwa i złożenie wniosku o wpis do rejestru podmiotów kluczowych lub ważnych. Od tego, do której kategorii zostanie przypisany podmiot, zależą nie tylko środki nadzoru, ale też wysokość potencjalnych kar. Dla podmiotów kluczowych maksymalna sankcja wynosi 10 mln euro lub 2% całkowitego rocznego obrotu przedsiębiorstwa, a dla podmiotów ważnych 7 mln euro. 

Znaczenie operatorów telekomunikacyjnych

Zakłócenia w działaniu sieci telekomunikacyjnych mogą sparaliżować funkcjonowanie wielu innych sektorów – od energetyki i finansów po ochronę zdrowia – dlatego operatorzy telekomunikacyjni są objęci szczególnym nadzorem. W praktyce będą musieli wdrożyć rozbudowane mechanizmy ochrony m.in. systemy monitorowania i wczesnego wykrywania incydentów, redundancję łączy, bieżące aktualizacje oprogramowania czy regularne testy penetracyjne. Do tego dochodzi obowiązek zgłaszania incydentów cybernetycznych, takich jak masowe awarie, ataki DDoS czy włamania do systemów sterowania – do właściwych zespołów reagowania CSIRT oraz współpracy z państwowymi organami nadzorczymi.

Grupa Robocza #CyberOdporni

We wrześniu 2025 r. powołaliśmy grupę roboczą składającą się z kilkudziesięciu operatorów telekomunikacyjnych. Celem grupy było stworzenie wspólnego, branżowego standardu cyberbezpieczeństwa oraz opracowanie modelowych procedur reagowania na incydenty oraz zachowania ciągłości działania. W ramach grupy roboczej odbyły się cztery spotkania w przedziale czasowym od 17 września do 15 października 2025 roku, w formie on-line. Udział w spotkaniach Grupy Roboczej był nieodpłatny.

W ramach Grupy Roboczej #Cyberodporni:

  • na bieżąco omawialiśmy przebieg procesu legislacyjnego, dotyczącego ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, 
  • wskazaliśmy, jakie obowiązki z zakresu zapewnienia bezpieczeństwa systemów informatycznych zostaną nałożone na przedsiębiorców telekomunikacyjnych jako podmioty kluczowe i ważne,
  • analizowaliśmy wymogi stawiane dostawcom usług ICT w zakresie świadczonych na rzecz instytucji finansowych usług komunikacji elektronicznej w związku z obowiązkami nałożonymi na te podmioty w rozporządzeniu DORA,
  • przeprowadziliśmy wśród członków Grupy ankietę dotyczącą stosowanych w firmach telekomunikacyjnych środków i procedur z zakresu cyberbezpieczeństwa, a także przeprowadziliśmy z członkami Grupy konsultacje w zakresie uzyskanych wyników ankiet;
  • podczas spotkania zorganizowanego we współpracy z NASK, uczestniczyliśmy w warsztatach prowadzonych przez Pana Pawła Chochoła, Kierownika Produktu System S46 w NASK. System S46 umożliwia współpracę podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa. W czasie warsztatów omówione zostały poszczególne funkcjonalności Systemu S46 w kontekście wykonywania przez przedsiębiorców telekomunikacyjnych obowiązków podmiotów kluczowych i ważnych, wynikających z procedowanej implementacji dyrektywy NIS2. Z uwagi na obszerny zakres informacji do wskazania przy zakładaniu konta w Systemie S46 oraz przewidziany projektem ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa krótki okres na wejście w życie tego aktu prawnego (zaledwie miesiąc od publikacji w Dzienniku Ustaw), członkowie Grupy Roboczej uzyskali praktyczne wskazówki dotyczące procesu rejestracji we wskazanym systemie. 

Pobierz bezpłatną broszurę dla operatorów telekomunikacyjnych

Jeśli chcą Państwo lepiej przygotować się do nadchodzących zmian w przepisach, przygotowaliśmy praktyczną broszurę z naszymi artykułami poświęconymi cyberbezpieczeństwu. To kompendium wiedzy, w którym znajdą Państwo m.in. analizę projektu ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa, omówienie kryteriów uznania przedsiębiorcy za dostawcę wysokiego ryzyka, a także praktyczne wskazówki dotyczące zgłaszania incydentów. 

Broszura Cyberbezpieczeństwo w praktyce – NIS2, DORA i KSC dla operatorów telekomunikacyjnych

Szkolenie

Informujemy także, że w dniu 21 listopada 2025 r. o godzinie 12:00 odbędzie się płatne szkolenie online w temacie – NIS2 i KSC – nowe obowiązki dla ISP. Przygotuj się do wdrożenia organizowane przez naszą kancelarię. Cena szkolenia wynosi 299 zł netto za osobę

Plan szkolenia obejmuje:

  1. Omówienie nowych obowiązków, wynikających z nowelizacji ustawy o KSC i wdrożenia dyrektywy NIS2
  2. Zgłaszanie incydentów z zakresu cyberbezpieczeństwa
  3. Korzystanie z Systemu S46 NASK przez operatora telekomunikacyjnego 
  4. Udokumentowanie procedur i polityk z zakresu cyberbezpieczeństwa, stosowanych w firmie telekomunikacyjnej
  5. Nowe role i zadania w firmie telekomunikacyjnej w związku z realizacją obowiązków z zakresu cyberbezpieczeństwa
  6. Ryzyka prawne i finansowe, wynikające z braku wdrożenia przepisów nowelizacji ustawy o KSC

W przypadku zainteresowania udziałem w szkoleniu, uprzejmie prosimy o zapisy pod adresem mailowym info@brightspot.pl. Zapisy na szkolenie potrwają do 20 listopada 2025 r. W mailu należy podać dane firmy, na które należy wystawić fakturę, imię i nazwisko uczestnika oraz adres e-mail uczestnika.

Zostaw odpowiedź

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

Odkryj więcej z Cyfrowy tygodnik dla operatorów

Zasubskrybuj już teraz, aby czytać dalej i uzyskać dostęp do pełnego archiwum.

Czytaj dalej