Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia bieżącego roku, wprowadza fundamentalne zmiany zasad funkcjonowania wielu przedsiębiorstw. Stanowi implementację dyrektywy NIS2, której celem jest podwyższenie poziomu cyberbezpieczeństwa na obszarze całej Unii Europejskiej.
Kogo dotyczy nowelizacja ustawy o KSC?
Zmieniona ustawa o KSC obejmuje swoim zasięgiem wiele podmiotów działających w różnych sektorach gospodarki. Nowe regulacje dotyczą między innymi podmiotów świadczących usługi w takich branżach jak zarządzanie usługami ICT i infrastruktura cyfrowa, komunikacja elektroniczna, energia transport lotniczy, wodny i kolejowy. Przepisy ustawy o KSC określają także nowe obowiązki podmiotów publicznych.
Podmioty kluczowe i ważne – co to takiego?
Nowelizacja ustawy o KSC wprowadziła podział na dwie kategorie podmiotów Krajowego Systemu Cyberbezpieczeństwa – podmioty kluczowe i podmioty ważne. Podmioty kluczowe, to przede wszystkim takie podmioty, które są niezbędne dla prawidłowego funkcjonowania danego sektora, natomiast podmioty ważne, to te, których działalność nie wpływa na dany sektor w takim stopniu jak ma to miejsce w przypadku podmiotów kluczowych, jednak wciąż mają niebagatelne znaczenie dla jego stabilności. Ustalenie, czy dany podmiot kwalifikuje się jako podmiot ważny czy kluczowy, jest często uzależnione od jego wielkości. W wielu przypadkach decydujące znaczenie ma kwalifikacja podmiotu w kategorii „MŚP”, czyli jako mikro, mały lub średni przedsiębiorca – co do zasady przedsiębiorca, który prowadzi działalność w sektorze określonym jako kluczowy i przekracza kryteria uznania za średnie przedsiębiorstwo, będzie klasyfikowany jako podmiot kluczowy. Warto odnotować, że w przypadku przedsiębiorców komunikacji elektronicznej znajduje zastosowanie wyjątek od tej reguły – już średnie i większe przedsiębiorstwa klasyfikowane będą jako podmioty kluczowe, zaś mikro i małe – jako podmioty ważne.
Nowe obowiązki
Ustawa o KSC nakłada obecnie na podmioty ważne i kluczowe szereg obowiązków, które mają zwiększyć poziom cyberbezpieczeństwa. Są to między innymi obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, który wymaga wprowadzenia szeregu polityk i procedur takich jak: polityka systematycznego szacowania ryzyka, polityka kontroli dostępu, zarządzanie incydentami, bezpieczeństwo zasobów ludzkich. Termin, jaki ustawodawca przewidział na wdrożenie obowiązków przez podmioty, które spełniają kryteria uznania za podmioty kluczowe lub podmioty ważne wynosi 12 miesięcy – wskazane terminy rozpoczynają bieg od dnia spełnienia przesłanek uznania danego podmioty za kluczowy lub ważny. W przypadku podmiotów, które w dniu wejścia w życie nowelizacji ustawy o KSC podlegają zgodnie z jej przepisami nowym obowiązkom termin ten będzie upływał 3 kwietnia 2027 r.
Szczególnie znaczenie należy przypisać obowiązkowi złożenia wniosku o wpis do wykazu podmiotów kluczowych lub ważnych. Dany podmiot musi samodzielnie określić czy wedle kryteriów przewidzianych w zmienionej ustawie o KSC będzie można zakwalifikować go jako podmiot ważny lub podmiot kluczowy.
Wniosek o wpis do wykazu składa podmiot, którego obowiązek dotyczy. Czas na złożenie wniosku wynosi 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny. W przypadku podmiotów, które w dniu wejścia w życie spełniały przesłanki uznania za podmiot ważny lub kluczowy wniosek o wpis należy złożyć do 3 października 2026 r. Podmioty, które będą podlegały wpisowi do systemu s46 z urzędu (w tym przedsiębiorcy komunikacji elektronicznej) będą w okresie do 3 października 2026 r. wzywane do dokonania uzupełnienia brakujących danych w systemie, w terminie 6 miesięcy od dnia otrzymania wezwania.
Osobą odpowiedzialną za rozpoczęcie przez podmiot kluczowy lub ważny realizacji obowiązków z zakresu cyberbezpieczeństwa będzie kierownik tego podmiotu. Kierownik podmiotu zobowiązany jest do odbywania corocznych szkoleń z zakresu określonego w ustawie o KSC.
Nowe regulacje nie ominęły również pewnych grup pracowników, bowiem ustawa wprowadza wymóg niekaralności za przestępstwa przeciwko ochronie informacji w stosunku do osób, które będą realizować obowiązki z zakresu cyberbezpieczeństwa. Ustawa wprowadza także nakaz wyznaczenia pracowników, których zadaniem będzie kontakt z odpowiednimi podmiotami Krajowego Systemu Cyberbezpieczeństwa.
Przedsiębiorca komunikacji elektronicznej, dostawca usług zarządzanych, dostawca usług zarządzanych w zakresie cyberbezpieczeństwa a znowelizowana ustawa o KSC
Zmieniona ustawa o KSC określa definicje legalne poszczególnych kategorii podmiotów, które mogą zostać zakwalifikowane jako podmioty ważne lub kluczowe Krajowego Systemu Cyberbezpieczeństwa. Należą do nich między innymi przedsiębiorca komunikacji elektronicznej, dostawca usług zarządzanych, dostawca usług zarządzanych w cyberbezpieczeństwie.
Definicja legalna przedsiębiorcy komunikacji elektronicznej w ustawie o KSC stanowi odesłanie do przepisu ustawy Prawo Komunikacji Elektronicznej. W przypadku przedsiębiorców komunikacji elektronicznej świadczących usługi na terytorium RP, zmieniona ustawa o KSC bez wyjątku kwalifikuje te podmioty jako kluczowe lub ważne.
Niektóre z podmiotów świadczących usługi związane z branżą telekomunikacyjną, ale niestanowiące bezpośrednio usług telekomunikacyjnych także będą podlegały pod wymogi ustawy o krajowym systemie cyberbezpieczeństwa, jako dostawcy usług zarządzanych lub dostawcy usług zarządzanych w cyberbezpieczeństwie.
Dostawcą usług zarządzanych może być zarówno osoba fizyczna, osoba prawna bądź jednostka organizacyjna nieposiadająca osobowości prawnej. Podmiot taki świadczy usługi związane z szeroko pojętą obsługą produktów ICT, procesów ICT i usług ICT. Jako przykład takich usług można wskazać przekazywanie, przechowywanie, przetwarzanie informacji za pośrednictwem sieci i systemów teleinformatycznych.
Z kolei dostawca usług zarządzanych w zakresie cyberbezpieczeństwa to osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która świadczy usługi związane z realizacji działań związanych z zarządzaniem ryzykiem w cyberbezpieczeństwie. Dotyczy to w szczególności podmiotów świadczących usługi obsługi incydentów, testów bezpieczeństwa, prowadzących audyty systemów informatycznych i doradztwa w tym zakresie.
Zgłaszanie incydentów i system S46
W rozumieniu znowelizowanej ustawy o KSC incydentem jest zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych. Ustawa nakłada na podmioty kluczowe i podmioty ważne obowiązek zgłaszania incydentów poważnych tj. incydentów, które powodują lub mogą spowodować obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa podmioty przez wywołanie poważnej szkody materialnej lub niematerialnej.
Wystąpienie incydentu podlega zgłoszeniu się za pośrednictwem systemu S46. System S46 to nowoczesne rozwiązanie, którego głównym przeznaczeniem jest zgłaszanie i obsługa incydentów. Zgłoszenie przekazywane jest bezpośrednio do odpowiednich organów Krajowego Systemu Cyberbezpieczeństwa.
Webinar
Informujemy także, że w dniu 17 kwietnia 2026 r. o godz. 12:00 odbędzie się bezpłatny webinar online pt.: „12 miesięcy – 12 kroków do dobrego wdrożenia obowiązków NIS2 w Twojej firmie” organizowany przez naszą kancelarię.
Podczas webinaru omówimy, jakie działania w perspektywie najbliższego roku powinien podjąć przedsiębiorca komunikacji elektronicznej, aby odpowiednio przygotować się do realizacji obowiązków z zakresu cyberbezpieczeństwa, w szczególności:
- Opracowanie harmonogramu wdrożenia KSC – najważniejsze daty
- Samoidentyfikacja jako podmiot kluczowy lub ważny KSC
- Wpis do systemu S46
- Relacje z kontrahentami a KSC
- Określenie struktur i przydzielenie ról z zakresu cyberbezpieczeństwa w Twojej firmie
- Przyjęcie polityk i procedur z zakresu KSC
- Szkolenia dla kierownika podmiotu KSC
- Szkolenia personelu podmiotu KSC
- Zgłaszanie incydentów poważnych
- Monitorowanie informacji dotyczących dostawców wysokiego ryzyka
- Dodatkowe obowiązki podmiotów kluczowych
- Co po wdrożeniu NIS2? Odpowiedzialność kierownika za realizację obowiązków z zakresu cyberbezpieczeństwa przez podmiot kluczowy lub ważny
W przypadku zainteresowania udziałem w webinarze, uprzejmie prosimy o zapisy pod linkiem:
Prowadzące webinar:
Marta Heród
Radca Prawny, Kancelaria Brightspot Legal Katarzyna Orzeł, Maciej Jojczyk sp.k.
Specjalizuje się w prawie komunikacji elektronicznej oraz w prawie nowych technologii (TMT), prawie własności intelektualnej w tym w szczególności obrotem.
Posiada doświadczenie w negocjowaniu i opiniowaniu umów dostępowych do usług hurtowych (w tym BSA, dzierżawa włókien, IP transit) oraz umów dostępowych do innej infrastruktury technicznej (w tym dostęp do kanalizacji kablowych, słupów energetycznych) oraz w bieżącej obsłudze w zakresie wypełniania obowiązków na rynku regulowanym operatorów telekomunikacyjnych. Reprezentuje operatorów telekomunikacyjnych w postępowaniach sądowych, administracyjnych (przed UKE, UOKIK oraz UODO) i sądowoadministracyjnych.
Jest audytorem wiodącym wg PN-EN ISO/IEC 27001:2023 oraz specjalistą w zakresie wdrażania w przedsiębiorstwach systemów zarządzania bezpieczeństwem informacji, w tym w obszarze cyberbezpieczeństwa.
Gabriela Wolsza
Radca Prawny, Kancelaria Brightspot Legal Katarzyna Orzeł, Maciej Jojczyk sp.k.
Specjalizuje się w sprawach z zakresu prawa komunikacji elektronicznej, prawa własności intelektualnej oraz prawa nowych mediów.
W kancelarii zajmuje się obsługą prawną przedsiębiorców telekomunikacyjnych. Posiada doświadczenie w negocjowaniu umów licencyjnych na reemisję programów telewizyjnych, zawieranych z nadawcami oraz prowadzeniu rozliczeń pomiędzy reemitentami a organizacjami zbiorowego zarządzania prawami autorskimi i prawami pokrewnymi. Zajmuje się sprawami z zakresu kwalifikacji podatkowej usług świadczonych przez operatorów telekomunikacyjnych. Obsługuje wdrożenia procedur w zakresie cyberbezpieczeństwa.
Reprezentuje klientów w postępowaniach sądowych, administracyjnych (KRRiT, PISF, UPRP) i sądowoadministracyjnych.