Polska, podobnie jak 18 innych państw członkowskich Unii Europejskiej, notuje opóźnienie we wdrażaniu unijnych wymogów w zakresie odporności cyfrowej. W związku z tym Komisja Europejska wszczęła już postępowania upominawcze.
29 maja 2025
Pomimo licznych dyskusji, projektów ustawy i wezwań ze strony Komisji Europejskiej do implementacji dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (dyrektywa NIS 2), nowelizacja Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (UKSC), która ma implementować regulacje dyrektywy NIS 2, wciąż nie została przyjęta przez Radę Ministrów, a projekt nie został jeszcze przekazany do Sejmu RP.
Przypomnijmy, termin na wdrożenie dyrektywy NIS 2 upłynął 18 października 2024 r.
Jakie kategorie podmiotów wyróżnia UKSC?
Projektowana Ustawa przewiduje podział podmiotów na kluczowe oraz ważne.
Podmiotem kluczowym według projektu Ustawy, ma być, w szczególności, osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, wskazana w załączniku nr 1 do Ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa, zgodnie z Rozporządzeniem Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. Projekt przewiduje również inne kategorie podmiotów, które objęte zostaną definicją podmiotu kluczowego.
Zgodnie z projektem ustawy, podmiotem ważnym z kolei ma być m.in. firma średniej wielkości wskazana w załączniku nr 1 lub 2, a także inne podmioty, szczegółowo wymienione w projekcie Ustawy.
Co istotne, na gruncie nowej regulacji, to podmioty kluczowe oraz podmioty ważne będą same musiały przeprowadzić ocenę, czy podlegają pod stosowanie nowelizowanej UKSC.
Podmiot, który dokona samoidentyfikacji i uzna, iż spełnia wymagania dla podmiotu kluczowego albo podmiotu ważnego, zgodnie z założeniami projektowanej Ustawy, powinien złożyć wniosek o wpis w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji.
Jakie są najważniejsze wymagania jakie nakłada na podmiot ważne i kluczowe UKSC?
Zgodnie z projektem nowelizacji UKSC, podmioty kluczowe i ważne będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) w systemach informatycznych wykorzystywanych przy świadczeniu usług. Będą musiały regularnie oceniać ryzyko wystąpienia incydentów, zarządzać nim oraz stosować podejście oparte na ryzyku – czyli dobierać środki ochrony na podstawie wyników analizy ryzyka. Przewidziano także obowiązek zarządzania incydentami, monitorowania zagrożeń i podatności oraz podejmowania działań zapobiegawczych i minimalizujących skutki incydentów dla bezpieczeństwa ICT.
Kiedy możemy spodziewać się wejścia w życie UKSC?
Prace legislacyjne związane z nowelizacją UKSC wciąż trwają – projekt wkrótce ma zostać przekazany do prac parlamentarnych. Projekt Ustawy przewiduje miesięczny okres vacatio legis. Spekuluje się, iż rozpoczęcie stosowania nowelizowanej UKSC może w takim wypadku przypadać na okolice trzeciego kwartału 2025 roku.
Projekt Ustawy przewiduje również pewne okresy przejściowe, które mają pomóc podmiotom w dostosowaniu się do nowych wymagań w zakresie cyberbezpieczeństwa. Warto jednak zacząć przygotowania jak najszybciej – w przypadku dużych i złożonych organizacji sześć miesięcy może nie wystarczyć na pełne wdrożenie wymaganych zmian.
Zapraszamy do lektury artykułu r.pr. Tomasza Kamińskiego, Wspólnika w Krzysztof Rożko i Wspólnicy Kancelarii Prawnej oraz eksperta ds. cyberbezpieczeństwa Daniela Niwińskiego, opublikowanego wczoraj wieczorem w serwisie internetowym rp.pl, w którym autorzy opisują najważniejsze obowiązki wynikające z Ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz perspektywy wdrożenia regulacji.
Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie dyrektywy NIS 2, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.
Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
UKNF publikuje propozycję uproszczenia regulacji w sektorze usług finansowych na rynku UE
2 czerwca 2025
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP