KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Nadchodzące zmiany Ustawy o Krajowym Systemie Cyberbezpieczeństwa – Implementacja NIS 2 w Polsce

Polska, podobnie jak 18 innych państw członkowskich Unii Europejskiej, notuje opóźnienie we wdrażaniu unijnych wymogów w zakresie odporności cyfrowej. W związku z tym Komisja Europejska wszczęła już postępowania upominawcze.

29 maja 2025

Pomimo licznych dyskusji, projektów ustawy i wezwań ze strony Komisji Europejskiej do implementacji dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (dyrektywa NIS 2), nowelizacja Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (UKSC), która ma implementować regulacje dyrektywy NIS 2, wciąż nie została przyjęta przez Radę Ministrów, a projekt nie został jeszcze przekazany do Sejmu RP.

Przypomnijmy, termin na wdrożenie dyrektywy NIS 2 upłynął 18 października 2024 r.

Jakie kategorie podmiotów wyróżnia UKSC?

Projektowana Ustawa przewiduje podział podmiotów na kluczowe oraz ważne.

Podmiotem kluczowym według projektu Ustawy, ma być, w szczególności, osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, wskazana w załączniku nr 1 do Ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa, zgodnie z Rozporządzeniem Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. Projekt przewiduje również inne kategorie podmiotów, które objęte zostaną definicją podmiotu kluczowego.

Zgodnie z projektem ustawy, podmiotem ważnym z kolei ma być m.in. firma średniej wielkości wskazana w załączniku nr 1 lub 2, a także inne podmioty, szczegółowo wymienione w projekcie Ustawy.

Co istotne, na gruncie nowej regulacji, to podmioty kluczowe oraz podmioty ważne będą  same musiały przeprowadzić ocenę, czy podlegają pod stosowanie nowelizowanej UKSC.

Podmiot, który dokona samoidentyfikacji i uzna, iż spełnia wymagania dla podmiotu kluczowego albo podmiotu ważnego, zgodnie z założeniami projektowanej Ustawy, powinien złożyć wniosek o wpis w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji.

Jakie są najważniejsze wymagania jakie nakłada na podmiot ważne i kluczowe UKSC?

Zgodnie z projektem nowelizacji UKSC, podmioty kluczowe i ważne będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) w systemach informatycznych wykorzystywanych przy świadczeniu usług. Będą musiały regularnie oceniać ryzyko wystąpienia incydentów, zarządzać nim oraz stosować podejście oparte na ryzyku – czyli dobierać środki ochrony na podstawie wyników analizy ryzyka. Przewidziano także obowiązek zarządzania incydentami, monitorowania zagrożeń i podatności oraz podejmowania działań zapobiegawczych i minimalizujących skutki incydentów dla bezpieczeństwa ICT.

Kiedy możemy spodziewać się wejścia w życie UKSC?

Prace legislacyjne związane z nowelizacją UKSC wciąż trwają – projekt wkrótce ma zostać przekazany do prac parlamentarnych. Projekt Ustawy przewiduje miesięczny okres vacatio legis. Spekuluje się, iż rozpoczęcie stosowania nowelizowanej UKSC może w takim wypadku przypadać na okolice trzeciego kwartału 2025 roku.

Projekt Ustawy przewiduje również pewne okresy przejściowe, które mają pomóc podmiotom w dostosowaniu się do nowych wymagań w zakresie cyberbezpieczeństwa. Warto jednak zacząć przygotowania jak najszybciej – w przypadku dużych i złożonych organizacji sześć miesięcy może nie wystarczyć na pełne wdrożenie wymaganych zmian.

Zapraszamy do lektury artykułu r.pr. Tomasza Kamińskiego, Wspólnika w Krzysztof Rożko i Wspólnicy Kancelarii Prawnej oraz eksperta ds. cyberbezpieczeństwa Daniela Niwińskiego, opublikowanego wczoraj wieczorem w serwisie internetowym rp.pl, w którym autorzy opisują najważniejsze obowiązki wynikające z Ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz perspektywy wdrożenia regulacji.

Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie dyrektywy NIS 2, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

UKNF publikuje propozycję uproszczenia regulacji w sektorze usług finansowych na rynku UE

2 czerwca 2025

W dniu 2 czerwca 2025 r. UKNF zaprezentował, przygotowany we współpracy z Ministerstwem Finansów, pakiet propozycji mających na celu uproszczenie regulacji dla sektora usług finansowych w Unii Europejskiej.

Projekt deregulacja. Czy propozycje zmian z zakresu prawa rynku kapitałowego ułatwią życie inwestorom i branży funduszy inwestycyjnych?

30 maja 2025

Deregulacja: mniej barier, więcej możliwości dla Polski i Polaków.

Oferty publiczne poniżej 1 mln euro znów bez pośrednictwa firmy inwestycyjnej.

26 maja 2025

Ministerstwo Finansów przygotowało projekt nowelizacji ustawy o obrocie instrumentami finansowymi.

Obowiązki NIS2 i realne ryzyka w sektorze odpadowym

23 maja 2025

Zapraszamy na werbinar dot. wymogów w zakresie cyberbezpieczeństwa

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.