Zobacz krótkie nagranie, w którym dr Mirosław Gumularz, ekspert w zakresie ochrony danych osobowych i bezpieczeństwa informacji omawia 10 najważniejszych obszarów, które bezpośrednio wpływają na obowiązki organizacji, kierownictwa oraz zespołów odpowiedzialnych za cyberbezpieczeństwo.
Więcej o zmianach, jakie czekają podmioty kluczowe i ważne w związku z nowymi regulacjami, dowiesz się z LEX Cyberbezpieczeństwo.
Z tego artykułu dowiesz się:
Nowa ustawa rozszerza katalog podmiotów i wprowadza klasyfikację na podmioty kluczowe i ważne, obejmując dodatkowe sektory m.in. odpady, żywność, przestrzeń kosmiczną, ICT, badania.
Przejdź do fragmentu w artykuleOrganizacje muszą samodzielnie ocenić, czy spełniają kryteria podmiotu kluczowego lub ważnego, i złożyć wniosek o wpis do wykazu. W niektórych przypadkach organ właściwy ds. cyberbezpieczeństwa może samodzielnie wpisać podmiot do tego wykazu.
Przejdź do fragmentu w artykuleWprowadzono model trzystopniowy: wczesne ostrzeżenie w 24h, zgłoszenie w 72h i raport końcowy w ciągu miesiąca – wszystko przez system S46.
Przejdź do fragmentu w artykulePodmioty muszą aktywnie oceniać i monitorować ryzyka związane z dostawcami produktów i usług ICT – w szczególności muszą prowadzić wobec tych podmiotów audyty, aktualizację umów oraz zadbać o realną odpowiedzialność za incydenty pochodzące z łańcucha dostaw.
Przejdź do fragmentu w artykuleAdministracja publiczna jest co do zasady sektorem kluczowym, objętym pełnym reżimem wymogów, jednak mniejsze podmioty występujące w strukturze samorządu terytorialnego mogą być podmiotami ważnymi.
Przejdź do fragmentu w artykuleSZBI musi być formalny, oparty na analizie ryzyka i obejmować cały cykl życia systemów, w tym cykliczne audyty zgodności.
Przejdź do fragmentu w artykuleCzłonkowie zarządów i kierownicy podmiotów kluczowych oraz ważnych ponoszą osobistą odpowiedzialność za cyberbezpieczeństwo, z karami sięgającymi nawet do 300% wynagrodzenia.
Przejdź do fragmentu w artykulePodmioty muszą sprawdzać niekaralność osób obsługujących obszar cyberbezpieczeństwa w zakresie przestępstw przeciwko ochronie informacji.
Przejdź do fragmentu w artykuleKierownictwo musi raz do roku odbyć szkolenie, a organizacja ma obowiązek stałej edukacji pracowników i wdrażania codziennych praktyk cyberhigieny.
Przejdź do fragmentu w artykuleNowe sankcje są wysokie i dotkliwe, powiązane z obrotem i obejmują także odpowiedzialność osobistą kierownictwa, z maksymalnymi karami do 10 mln euro lub 2% obrotu.
Przejdź do fragmentu w artykuleNowelizacja UKSC zastępuje dotychczasową nomenklaturę operatorów usług kluczowych (OUK) oraz dostawców usług cyfrowych (DUC) nowymi kategoriami podmiotów kluczowych i podmiotów ważnych. Jednocześnie ustawodawca istotnie poszerza katalog sektorów objętych obowiązkami z zakresu cyberbezpieczeństwa, obejmując nimi m.in. gospodarowanie ściekami, zarządzanie usługami ICT, przestrzeń kosmiczną, usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności oraz działalność badawczo naukową, które wcześniej co do zasady nie podlegały regulacjom UKSC. Pełen wykaz sektorów kluczowych i ważnych został wskazany w załączniku nr 1 i nr 2 do ustawy.
Nowelizacja wprowadza jednocześnie obowiązek samoidentyfikacji (z pewnymi wyjątkami np. w sektorze publicznym), co oznacza, że podmioty muszą samodzielnie ocenić, czy spełniają kryteria podmiotu kluczowego lub ważnego i w razie pozytywnej samoidentyfikacji złożyć wniosek o wpis do właściwego wykazu. Niezależnie od tego, organ właściwy do spraw cyberbezpieczeństwa może wpisać podmiot do wykazu, jeżeli podmiot ten spełnia przesłanki uznania go za podmiot kluczowy albo podmiot ważny (a podmiot ten nie złożył wniosku o wpis do wykazu we wskazanym w ustawie terminie).
Nowe przepisy przewidują trzystopniowy model zgłaszania incydentów, obejmujący zgłoszenie wczesnego ostrzeżenia w ciągu maksymalnie 24 godzin od wykrycia incydentu poważnego, pełne zgłoszenie w terminie 72 godzin oraz sprawozdanie końcowe po zakończeniu obsługi incydentu poważnego (nie później niż w ciągu miesiąca od dnia zgłoszenia). Zgłoszenia realizowane są wyłącznie do właściwego CSIRT za pośrednictwem dedykowanego systemu teleinformatycznego (S46), co w praktyce oznacza konieczność dostosowania przez podmioty kluczowe i ważne procedur reagowania na incydenty, jasnego przypisania ról decyzyjnych oraz zapewnienia, że decyzje i eskalacja działań następują w ściśle określonych terminach.
Nowe regulacje wdrażają obowiązek aktywnego zarządzania ryzykiem w łańcuchu dostaw, obejmującego ocenę bezpieczeństwa dostawców usług i produktów ICT (sprzęt, oprogramowanie, sieci i usługi, które służą do przetwarzania, przechowywania i przesyłania informacji, np. systemy IT, chmura, sieci, oprogramowanie, usługi cyfrowe), w tym ich praktyk cyberbezpieczeństwa, podatności oraz wpływu na ciągłość działania podmiotu. Szczególną uwagę poświęcono dostawcom wysokiego ryzyka, których stosowanie może zostać ograniczone lub wykluczone na podstawie określonych kryteriów, co w praktyce wymusza na podmiotach objętych UKSC zmianę procesów zakupowych, audyty dostawców, aktualizację umów oraz realną odpowiedzialność za incydenty pochodzące z łańcucha dostaw.
Co do zasady administracja publiczna (podmioty publiczne) została zakwalifikowana jako sektor kluczowy w rozumieniu nowelizacji UKSC, co oznacza objęcie jej najbardziej rygorystycznym reżimem nadzoru, obowiązkiem wdrożenia pełnego systemu zarządzania ryzykiem oraz gotowością na kontrole. Jednocześnie nowe przepisy przewidują zróżnicowanie statusu „mniejszych” podmiotów występujących w strukturze samorządu terytorialnego, mogą one zostać zakwalifikowane jako podmioty ważne, co w praktyce wpływa na zakres obowiązków, intensywność nadzoru oraz sposób egzekwowania wymogów UKSC.
Nowelizacja UKSC precyzuje i rozszerza zakres systemu zarządzania bezpieczeństwem informacji (SZBI), wymagając wdrożenia proporcjonalnych środków technicznych i organizacyjnych opartych na systematycznej analizie ryzyka oraz obejmujących cały cykl życia systemów informacyjnych. W praktyce oznacza to dla podmiotów kluczowych i ważnych konieczność formalizacji SZBI czy cyklicznych (w przypadku podmiotów kluczowych) audytów zgodności.
Nowe przepisy przenoszą odpowiedzialność za cyberbezpieczeństwo na poziom zarządczy, wprowadzając bezpośrednie obowiązki po stronie kierownictwa (np. członków zarządów) w zakresie nadzoru nad systemem zarządzania ryzykiem, obsługą incydentów oraz zgodnością z przepisami. Odpowiedzialność ta ma charakter osobisty, co w praktyce oznacza konieczność aktywnego zaangażowania decyzyjnego, zapewnienia odpowiednich zasobów oraz realne ryzyko sankcji finansowych (nawet do 300% wynagrodzenia kierownika) i nadzorczych (zakaz pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu do czasu usunięcia uchybień lub zaprzestania naruszeń) - w przypadku braku skutecznego wdrożenia lub utrzymania wymagań UKSC.
Przepisy wprowadzają mechanizm weryfikacji niekaralności (za przestępstwa przeciwko ochronie informacji) wobec osób realizujących zadania w obszarze cyberbezpieczeństwa, np. w zakresie procesów reagowania na incydenty. W praktyce oznacza to dla podmiotów kluczowych i ważnych konieczność wdrożenia formalnych procedur kadrowych i compliance, uwzględniających sprawdzanie personelu, dokumentowanie spełnienia wymogów oraz ograniczenie ryzyka operacyjnego i reputacyjnego związanego z dostępem nieuprawnionych osób do infrastruktury krytycznej.
Kierownik podmiotu kluczowego lub ważnego, a także osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, ma obowiązek raz w roku kalendarzowym odbyć dedykowane szkolenie. Szkolenie to obejmuje realizację kluczowych obowiązków z zakresu cyberbezpieczeństwa, w szczególności dotyczących zarządzania bezpieczeństwem informacji, reagowania na incydenty, nadzoru oraz audytów. Udział w szkoleniu musi zostać formalnie udokumentowany.
Nowelizacja UKSC wprost nakłada na kierownictwo obowiązek zapewnienia cyberedukacji i cyberhigieny - czyli systematycznego podnoszenia świadomości pracowników, rozumianej jako ciągły proces budowania wiedzy i bezpiecznych zachowań w zakresie korzystania z systemów informacyjnych.
Cyberedukacja obejmuje m.in. rozpoznawanie zagrożeń (np. phishingu), zasady bezpiecznej pracy z danymi i systemami oraz reagowanie na incydenty, stanowiąc element kultury organizacyjnej i integralną część zarządzania ryzykiem cybernetycznym, a nie jednorazowe szkolenie formalne.
Cyberhigiena oznacza stosowanie codziennych, podstawowych praktyk bezpieczeństwa przez pracowników i organizację, które ograniczają ryzyko wystąpienia incydentów cyberbezpieczeństwa, takich jak phishing, malware czy nieuprawniony dostęp do systemów. W kontekście nowelizacji UKSC obejmuje ona m.in. bezpieczne korzystanie z haseł i uwierzytelniania wieloskładnikowego, aktualizowanie systemów, ostrożność w pracy z e mailami i załącznikami oraz przestrzeganie procedur dostępu, stając się trwałym elementem systemu zarządzania ryzykiem, a nie wyłącznie dobrą praktyką techniczną.
Nowelizacja UKSC przewiduje docelowy mechanizm jednego punktu zgłaszania incydentów cyberbezpieczeństwa, oparty na systemie teleinformatycznym S46, który ma pełnić rolę centralnej platformy raportowej w ramach krajowego systemu cyberbezpieczeństwa. Rozwiązanie to ma uprościć i skoordynować proces raportowania, eliminując konieczność równoległego zgłaszania tego samego incydentu do różnych organów – w szczególności oddzielnie do CSIRT ów i Prezesa UODO – oraz zwiększyć spójność informacji, szybkość reakcji i pewność wypełnienia obowiązków regulacyjnych przez podmioty objęte UKSC. W tym zakresie trzeba jednak poczekać na szczegóły techniczne.
Nowelizacja UKSC wzmacnia rolę CSIRT ów oraz organów publicznych jako aktywnych podmiotów wspierających organizacje objęte ustawą, a nie wyłącznie organów reagujących po wystąpieniu incydentu. Wsparcie to obejmuje koordynację obsługi incydentów, wymianę informacji o zagrożeniach i podatnościach, wydawanie ostrzeżeń oraz działania prewencyjne, co w praktyce oznacza dla podmiotów kluczowych i ważnych możliwość szybszej reakcji, lepsze przygotowanie na zagrożenia oraz realne wzmocnienie odporności organizacyjnej przy zachowaniu zgodności z UKSC.
Nowe regulacje wprowadzają fundamentalną zmianę w podejściu do sankcji administracyjnych w zakresie cyberbezpieczeństwa. System kar przechodzi z modelu symbolicznego i sektorowego, znanego z ustawy UKSC z 2018 r., do modelu realnie odstraszającego, opartego na wysokich kwotach, powiązaniu sankcji z obrotem oraz rozszerzeniu odpowiedzialności także na osoby zarządzające. W praktyce oznacza to, że kary przestają być marginalnym ryzykiem regulacyjnym, a stają się istotnym elementem zarządzania ryzykiem prawnym i finansowym organizacji.
Tabela: Zakres i poziom sankcji – porównanie "starej" UKSC (2018) i nowelizacji UKSC (2026)
| Obszar porównania | Stara ustawa UKSC (2018) | Nowelizacja UKSC (2026) |
|---|---|---|
| Podmioty objęte karami | Operatorzy usług kluczowych (OUK), dostawcy usług cyfrowych (DUC) | Podmioty kluczowe i podmioty ważne |
| Maksymalna „standardowa” kara dla podmiotu | do 200 000 zł (OUK) do 100 000 zł (DUC) |
● do 10 mln euro lub 2% rocznego światowego obrotu (podmiot kluczowy); ● do 7 mln euro lub 1,4% obrotu (podmiot ważny) |
| Minimalne progi kar | ❌ brak | ● 20 000 zł (podmiot kluczowy) ● 15 000 zł (podmiot ważny) |
| Kara nadzwyczajna (kwalifikowana) | ❌ brak | do 100 mln zł |
| Powiązanie kary z obrotem | ❌ nie | tak |
| Odpowiedzialność osobista kierownictwa | tak - do 200% miesięcznego wynagrodzenia (wobec kierownika OUK) | tak – niezależna kara pieniężna do 300% - dla kierownika podmiotu kluczowego lub ważnego, jeżeli podmiot kwalifikuje się do sektora innego niż sektor podmiotów publicznych do 100% - dla kierownika podmiotu kluczowego lub ważnego będącego podmiotem publicznym |
| Charakter sankcji | dyscyplinujący, symboliczny | odstraszający, systemowy |
Co ważne, kary pieniężne będzie można nakładać po raz pierwszy po upływie 2 lat od dnia wejścia w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Materiał pochodzi z zasobów systemu LEX Cyberbezpieczeństwo.
W systemie znajduje się szeroki zakres informacji, komentarzy, wzorów oraz praktycznych poradników, które mogą stanowić uzupełnienie do przekazywanych treści.
