KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Nadchodzące zmiany Ustawy o Krajowym Systemie Cyberbezpieczeństwa – Implementacja NIS 2 w Polsce

Polska, podobnie jak 18 innych państw członkowskich Unii Europejskiej, notuje opóźnienie we wdrażaniu unijnych wymogów w zakresie odporności cyfrowej. W związku z tym Komisja Europejska wszczęła już postępowania upominawcze.

29 maja 2025

Pomimo licznych dyskusji, projektów ustawy i wezwań ze strony Komisji Europejskiej do implementacji dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (dyrektywa NIS 2), nowelizacja Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (UKSC), która ma implementować regulacje dyrektywy NIS 2, wciąż nie została przyjęta przez Radę Ministrów, a projekt nie został jeszcze przekazany do Sejmu RP.

Przypomnijmy, termin na wdrożenie dyrektywy NIS 2 upłynął 18 października 2024 r.

Jakie kategorie podmiotów wyróżnia UKSC?

Projektowana Ustawa przewiduje podział podmiotów na kluczowe oraz ważne.

Podmiotem kluczowym według projektu Ustawy, ma być, w szczególności, osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, wskazana w załączniku nr 1 do Ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa, zgodnie z Rozporządzeniem Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. Projekt przewiduje również inne kategorie podmiotów, które objęte zostaną definicją podmiotu kluczowego.

Zgodnie z projektem ustawy, podmiotem ważnym z kolei ma być m.in. firma średniej wielkości wskazana w załączniku nr 1 lub 2, a także inne podmioty, szczegółowo wymienione w projekcie Ustawy.

Co istotne, na gruncie nowej regulacji, to podmioty kluczowe oraz podmioty ważne będą  same musiały przeprowadzić ocenę, czy podlegają pod stosowanie nowelizowanej UKSC.

Podmiot, który dokona samoidentyfikacji i uzna, iż spełnia wymagania dla podmiotu kluczowego albo podmiotu ważnego, zgodnie z założeniami projektowanej Ustawy, powinien złożyć wniosek o wpis w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji.

Jakie są najważniejsze wymagania jakie nakłada na podmiot ważne i kluczowe UKSC?

Zgodnie z projektem nowelizacji UKSC, podmioty kluczowe i ważne będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) w systemach informatycznych wykorzystywanych przy świadczeniu usług. Będą musiały regularnie oceniać ryzyko wystąpienia incydentów, zarządzać nim oraz stosować podejście oparte na ryzyku – czyli dobierać środki ochrony na podstawie wyników analizy ryzyka. Przewidziano także obowiązek zarządzania incydentami, monitorowania zagrożeń i podatności oraz podejmowania działań zapobiegawczych i minimalizujących skutki incydentów dla bezpieczeństwa ICT.

Kiedy możemy spodziewać się wejścia w życie UKSC?

Prace legislacyjne związane z nowelizacją UKSC wciąż trwają – projekt wkrótce ma zostać przekazany do prac parlamentarnych. Projekt Ustawy przewiduje miesięczny okres vacatio legis. Spekuluje się, iż rozpoczęcie stosowania nowelizowanej UKSC może w takim wypadku przypadać na okolice trzeciego kwartału 2025 roku.

Projekt Ustawy przewiduje również pewne okresy przejściowe, które mają pomóc podmiotom w dostosowaniu się do nowych wymagań w zakresie cyberbezpieczeństwa. Warto jednak zacząć przygotowania jak najszybciej – w przypadku dużych i złożonych organizacji sześć miesięcy może nie wystarczyć na pełne wdrożenie wymaganych zmian.

Zapraszamy do lektury artykułu r.pr. Tomasza Kamińskiego, Wspólnika w Krzysztof Rożko i Wspólnicy Kancelarii Prawnej oraz eksperta ds. cyberbezpieczeństwa Daniela Niwińskiego, opublikowanego wczoraj wieczorem w serwisie internetowym rp.pl, w którym autorzy opisują najważniejsze obowiązki wynikające z Ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz perspektywy wdrożenia regulacji.

Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie dyrektywy NIS 2, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn