5-8 minut

UKSC – nowe zasady w cyberbezpieczeństwie

Na początku kwietnia wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca postanowienia unijnej dyrektywy NIS2. To jedna z najbardziej oczekiwanych i najważniejszych zmian prawa w obszarze bezpieczeństwa IT. Co trzeba o niej wiedzieć?

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU: Jakie są najważniejsze postanowienia nowej ustawy. Ile czasu mają organizacje na przygotowanie się do jej wdrożenia. Co CIO/CISO powinien zrobić w pierwszej kolejności. Jakie są kary za niezastosowanie się do postanowień nowych przepisów. Gdzie szukać pomocy i z jakich usług skorzystać.

Ustawa zmieniająca dotychczasowe przepisy o krajowym systemie cyberbezpieczeństwa i niektóre inne ustawy została opublikowana w Dzienniku Ustaw 2 marca 2026 roku. Wchodzi ona w życie po upływie miesiąca od dnia ogłoszenia, co oznacza, że przepisy zaczną obowiązywać od 3 kwietnia 2026 roku.

Tym samym kończy się długi okres oczekiwania na wdrożenie postanowień dyrektywy NIS2 do polskiego porządku prawnego. W tym miejscu warto przypomnieć, że prace nad nowelizacją ustawy o KSC mocno się przedłużyły, co sprawiło, że moment jej wejścia w życie opóźnił sie w stosunku do planowanego pierwotnie terminu. Przygotowano kilka projektów ustawy, a tę ostatecznie przyjętą, Prezydent RP wprawdzie podpisał, ale skierował do Trybunału Konstytucyjnego wniosek o kontrolę następczą – ale tylko przepisów dotyczących dostawców wysokiego ryzyka. Dla podstawowego zakresu obowiązywania nowelizacji ustawy o KSC i jej konkretnych postanowień nie ma to zatem znaczenia. Wdrożenie regulacji NIS2 w Polsce stało się faktem.

Czas start!

Krajowy system cyberbezpieczeństwa zapewnia bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach, które odpowiadają za usługi dla obywateli – podkreśla Ministerstwo Cyfryzacji w komunikacie dotyczącym KSC[1].

W tym zdaniu kryją się dwa ważne komunikaty. Pierwszy: nowelizacja ustawy rozszerza obowiązki z zakresu cyberbezpieczeństwa na nowe sektory gospodarki. Do dotychczas chronionych obszarów, takich jak np. bankowość czy energetyka, dołączają m.in. odprowadzanie ścieków, przestrzeń kosmiczna, ale też usługi pocztowe oraz produkcja i dystrybucja żywności i chemikaliów.

Podmioty zostały podzielone na dwie kategorie – ważne i kluczowe, a to, do której się zaliczają wynika z art. 5 zawierającego definicje oraz załączników 1 i 2 do ustawy, która liczy w sumie aż 102 strony[2]. I druga ważna kwestia: na mocy nowych przepisów to same podmioty będą musiały określić, czy są objęte tymi regulacjami i do której kategorii należą.

To fundamentalna zmiana – na mocy „starych” przepisów kilkaset firm zostało wskazanych jako operatorzy usług kluczowych. Nowelizacja wprowadzająca szersze definicje oznacza, że przepisami o KSC objętych zostanie znacznie większa grupa przedsiębiorstw i instytucji.

– Szacujemy, że firm objętych systemem będzie kilkanaście – kilkadziesiąt tysięcy – mówi Tomasz Wiertelak, szef zespołu architektów ICT w T-Mobile Polska Business Solutions. – Wiemy też, że obsługiwany przez NASK system S46 służący do zgłaszania incydentów może obsługiwać ok. 80 tys. podmiotów. A przecież są jeszcze firmy, które trzeba zidentyfikować w łańcuchu dostaw.

Oznacza to, że obecnie żaden urząd nie wskaże firmie, że zostanie ona dopisana do katalogu podmiotów ważnych lub kluczowych. Organizacje muszą dokonać samookreślenia – same zbadać przepisy i sprawdzić czy, i w jakim stopniu, nowe przepisy je obowiązują. Mają na to sześć miesięcy od wejścia w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

W dodatku dane, które podmioty same będą musiały zgłosić do rejestrów mają zawierać wiele szczegółów – m.in. o umowach z dostawcami sprzętu i usług, zakresach wykorzystywanych adresów IP, działalności, usługach cyberbezpieczeństwa i ich dostawcach, czy właściwym CSIRT sektorowym. Za niewypełnienie obowiązku przewidziane są dotkliwe kary finansowe.

Kolejnym ważnym terminem dla podmiotów kluczowych jest okres do przeprowadzenia pierwszego audytu. – Musi to nastąpić w okresie dwóch lat – podkreśla Tomasz Wiertelak.

Co trzeba mieć

– Sama ustawa jest atechniczna: mówi jedynie jakie środki musza być wdrażane, a nie jakich technologii trzeba użyć – tłumaczy ekspert T-Mobile.

Podmioty objęte ustawą o KSC muszą zatem:

przygotować politykę analizy ryzyka,
przygotować politykę bezpieczeństwa systemów informatycznych,
opracować sposób działania w razie incydentu,
zidentyfikować dostawców i przeprowadzić wobec nich analizę ryzyka,
prowadzić regularne testy środków bezpieczeństwa (testy penetracyjne i audyty),
przygotować strategię zapewnienia ciągłości działania (backup, odtwarzanie, zapasowe centra danych),
budować świadomość zagrożeń wśród pracowników i współpracowników.

[https://biznes.t-mobile.pl/pl/jak-zidentyfikowac-podatnosci-w-organizacji]

– Organizacje muszą zatem przygotować zbiór dokumentów opisujących zarządzanie ryzykiem i bezpieczeństwem informacji – mówi Tomasz Wiertelak. – Wiele z nich już wdrożyło pewne systemy cyberbezpieczeństwa i posiadają certyfikaty, takie jak ISO 27001 potwierdzający wdrożenie i skuteczne działanie Systemu Zarządzania Bezpieczeństwem Informacji. Takie organizacje są w zasadzie w 80 proc. przygotowane do wdrożenia UKSC. Wystarczy dodać w dokumentacji kilka konkretnych zapisów.

[https://biznes.t-mobile.pl/pl/nadchodzi-nis2-co-musisz-wiedziec-o-nowych-zasadach-w-cyberbezpieczenstwie-czesc-i-regulacje]

Kary drakońskie, ale nie od razu

Nowelizacja zmienia również politykę karania za lekceważenie przepisów o cyberbezpieczeństwie. – Nasza ustawa jest w tej dziedzinie bardziej restrykcyjna niż NIS2. Pojawia się kara dla kierownika jednostki administracyjnej: od 15 tys. do 30 tys. złotych – ostrzega Tomasz Wiertelak. – Są też kary za brak wdrożenia przepisów. Ale warto tu przypomnieć, że mają być one nakładane najwcześniej po dwóch latach obowiązywania ustawy.

Co grozi organizacjom podlegającym UKSC, ale lekceważącym jej postanowienia? Dla podmiotów kluczowych przewidziano maksymalne kary w wysokości do 10 mln euro lub 2 proc. rocznego przychodu, przy czym zastosowanie ma kwota wyższa. Ale ta suma nie może być niższa niż 20 tys. zł. Podmioty ważne są zagrożone tylko odrobinę niższymi karami – odpowiednio 7 mln euro i 1,4 proc. przychodów, ale nie mniej niż 15 tys. zł.

Od tych postanowień jest jednak wyjątek – jeżeli pomiot kluczowy lub ważny narusza przepisy ustawy powodując bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę w wysokości nawet… 100 milionów złotych!

Spóźnienie można jeszcze nadrobić

A co, jeśli menedżer ds. IT (w randzie CIO/CISO) dopiero teraz trafił do firmy, która jest nieprzygotowana do wdrożenia przepisów ustawy o krajowym systemie cyberbezpieczeństwa? Co może zrobić?

[https://biznes.t-mobile.pl/pl/bezpieczenstwo-lancucha-dostaw-cz-1-jak-sie-przygotowac-na-cyberzagrozenia-z-dyrektywa-nis2]

– Można przeprowadzić audyt zerowy, wskazać firmy w łańcuchu dostaw, które wymagają bardziej wnikliwej analizy – radzi ekspert T-Mobile. I wymienia kilka kroków, których CISO nie może pominąć:

przeprowadzenie audytu zerowego,
zweryfikowanie lub skonstruowanie polityk zarządzania bezpieczeństwem, ryzykiem i incydentami,
przygotowanie systemu zarządzania bezpieczeństwem informacji (SZBI),
wdrożenie usług budujących bezpieczeństwo, odporność i ciągłość działania.

– Podstawowa zasada jest taka, że aby cokolwiek zrobić, niezbędna jest analiza ryzyka – tłumaczy Wiertelak. – Jest to istotne, ponieważ przepisy zakładają, iż środki które stosujemy powinny być adekwatne do potrzeb organizacji. Nie ma dwóch takich samych firm, a co za tym idzie nie ma jednego przepisu na dostosowanie organizacji do wymogów wynikających z nowelizacji ustawy o KSC.

W zależności od rynku, sposobu działania organizacji, a także narażenia na ryzyka awarii i ataku, konieczne może się okazać wdrożenie usług kopii zapasowej lub znacznie bardziej zaawansowanych usług DRaaS (Data Recovery as a Service), wirtualnego centrum danych czy zapasowego łącza dla danych.

– Jako operator telekomunikacyjny jesteśmy jednym z najlepiej przygotowanych partnerów, aby zabezpieczyć potrzeby dotyczące cyberbezpieczeństwa. Operator ma po prostu więcej narzędzi i może zrobić to kompleksowo – mówi Tomasz Wiertelak z T-Mobile.

W sytuacji, w której pozostało niewiele czasu na wdrożenie postanowień ustawy o KSC mniejsze firmy mogą skorzystać m.in. z wirtualnego menedżera ds. cyberbezpieczeństwa (VCISO), a także usług doradztwa i audytu – może to pomóc na początkowym etapie samookreślenia i wpisania się do rejestrów podmiotów kluczowych i ważnych. W przypadku braku własnych zasobów można również sięgnąć po wyspecjalizowane usługi cyberbezpieczeństwa, takie jak SOC (Security Operations Center), a także programy edukacyjne security awarness prowadzone przez ekspertów operatora.

Najważniejsze wnioski

NIS2 już tu jest – postanowienia unijnej dyrektywy zostały wdrożone przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa i zaczną obowiązywać 3 kwietnia 2026 roku. Od nowych regulacji nie ma zatem ucieczki, a nakładają one istotne obowiązki na tysiące przedsiębiorstw i instytucji w Polsce. Bez ich znajomości i wdrożenia organizacjom – ale i osobom zarządzającym – grożą wysokie kary finansowe.

Nawet jeżeli dotąd firma nie podlegała żadnym ogólnym lub sektorowym przepisom dotyczącym cyberbezpieczeństwa i bezpieczeństwa informacji, może okazać się, że pod rządami nowej UKSC sytuacja się zmieniła – i w dodatku trzeba to sprawdzić we własnym zakresie. Jeżeli potrzeby firmy w tym obszarze były zaniedbywane, jedynym rozsądnym działaniem może być skorzystanie z usług partnera, który cyberbezpieczeństwem zajmie się od A do Z i może szybko wdrożyć odpowiednie rozwiązania techniczne.

[1] https://www.gov.pl/web/cyfryzacja/bezpieczniejsze-sieci-i-stabilne-uslugi–nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-coraz-blizej

[2] https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20260000252/O/D20260252.pdf