- Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to prawdziwa rewolucja dla kilkudziesięciu tysięcy podmiotów, które obejmą nowe przepisy.
- Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, w czasie Europejskiego Kongresu Gospodarczego, tłumaczył, na czym w praktyce będą polegały nowe obowiązki i na co musi przygotować się biznes.
- Już 15-16 czerwca 2026 r. w Katowicach odbędzie się CYBERSEC Expo & Forum. Wśród wielu debat znajdą się tematy związane z geopolityką, cyfryzacją przemysłu, ochrony zdrowia, zwalczaniem cyberprzestępczości czy podnoszeniem świadomości w walce z dezinformacją. Trwa rejestracja na wydarzenie.
3 kwietnia br. weszła w życie długo oczekiwana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Jak informowaliśmy w WNP, w praktyce oznacza to wiele nowych obowiązków dla kilkudziesięciu tysięcy firm (szacunki wskazują na 38 tys. podmiotów objętych nowym systemem - przyp. red.).
W czasie Europejskiego Kongresu Gospodarczego miała miejsce dyskusja pod hasłem „Krajowy system cyberbezpieczeństwa 2.0. Regulacje w praktyce” w ramach sesji "EEC Talks. Cyfryzacja, kompetencje i technologie jutra".
Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, objaśniał, co zmiany regulacyjne oznaczają dla całego rynku, jakie obowiązki nakładają i w jakich ustawowych terminach należy je wypełnić.
Co zmienia nowelizacja KSC?
Jego zdaniem najważniejszą zmianą jest objęcie krajowym systemem cyberbezpieczeństwa zupełnie nowych sektorów, co sprawia, że z nowymi wyzwaniami zmierzą się zarówno jednostki prywatne, jak i publiczne. - Oczekujemy od wielu przedsiębiorstw prywatnych, jak i od podmiotów publicznych wzmocnienia systemów cyberbezpieczeństwa i wdrożenia konkretnych działań przekładających się na realną odporność - podkreślił Marcin Wysocki.
Zwrócił też uwagę, że część obowiązków spoczywa bezpośrednio na administracji rządowej. - Nowelizacja nakłada obowiązki również na administrację rządową, w tym Ministerstwo Cyfryzacji, bo przecież musimy m.in. rozbudować system teleinformatyczny, wprowadzić tzw. jedno okienko do zgłaszania incydentów oraz zadbać o rozwój całego ekosystemu. To duże wyzwania zarówno dla tych "starych", jak i "nowych" uczestników krajowego systemu cyberbezpieczeństwa - zaznaczył.
Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, w czasie Europejskiego Kongresu Gospodarczego. Fot: PTWPNajważniejsze terminy. Harmonogram zmian
Podstawowym pytaniem, na jakie muszą odpowiedzieć sobie przedsiębiorcy, to: "kiedy?", czyli jakie są wymagane prawem terminy na wdrożenie poszczególnych obowiązków.
Wysocki wyjaśnił, że konstrukcja KSC 2.0 opiera się m.in. na rozróżnieniu podmiotów kluczowych i ważnych, definiowanych w oparciu o dyrektywę NIS2 i załączniki.
- W praktyce ważne są trzy grupy terminów. Po pierwsze, chodzi o terminy dotyczące wpisu do wykazu podmiotów kluczowych i ważnych. Część podmiotów jest wpisywana z urzędu - np. operatorzy usług kluczowych, ale dla pozostałych przewidziano określone okna czasowe na dokonanie samoidentyfikacji i zgłoszenie się do wykazu – to szczególnie istotne po 7 maja br., kiedy kolejne grupy firm powinny w ciągu kilku miesięcy zweryfikować, czy podlegają KSC i odpowiednio się wpisać - tłumaczył ekspert.
Druga grupa terminów dotyczy audytów. - Ustawa przewiduje obowiązek przeprowadzenia pierwszego audytu w określonym czasie od identyfikacji jako podmiot kluczowy lub ważny, a następnie cykliczne audyty co kilka lat - dodał.
Trzeci obszar to wdrożenie systemu zarządzania bezpieczeństwem informacji. - Po trzecie, ważne są terminy wdrożenia systemu zarządzania bezpieczeństwem informacji. Do 3 września 2027 r. zakładamy, że podmioty kluczowe i ważne będą musiały mieć wdrożony system zarządzania bezpieczeństwem informacji w tych procesach, które wpływają na świadczenie usług kluczowych. Z kolei od 4 września 2028 r. organy nadzoru będą mogły nakładać administracyjne kary pieniężne za niewywiązywanie się z obowiązków wynikających z ustawy - podsumował Marcin Wysocki.
Jak sprawdzić, kogo obejmuje KSC?
Zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji tłumaczył też, że w wykazie podmiotów objętych nowelizacją najważniejsze są dwa kryteria: sektor działalności oraz wielkość podmiotu.
- Dyrektywa NIS2 i polska ustawa odwołują się do kategorii przedsiębiorstw mikro-, małych, średnich i dużych, uwzględniając liczbę zatrudnionych oraz dane finansowe - usłyszeliśmy. - Jeśli reprezentuje pani np. spółkę kapitałową, pierwszym krokiem jest spojrzenie do sprawozdania finansowego: tam znajdziemy informacje o obrocie, aktywach i sytuacji finansowej. W kolejnym kroku trzeba sprawdzić, czy działalność firmy mieści się w sektorach wymienionych w załączniku pierwszym (sektory kluczowe) lub drugim (sektory ważne) do ustawy - powiedział Marcin Wysocki.
Urzędnik dodał, że wpis do wykazu podmiotów kluczowych lub ważnych jest potrzebny także po to, by organy mogły działać w sposób przejrzysty. - W każdej sytuacji, gdy w ramach krajowego systemu cyberbezpieczeństwa będzie dochodziło do interakcji z podmiotem: decyzji, zaleceń, kontroli, wtedy będziemy mieli formalną podstawę do działania - opisywał.
Co ważne, przedsiębiorcy nie powinni obawiać się "nieodwracalnych" błędów przy zgłoszeniu do systemu. Resort cyfryzacji bierze pod uwagę ewentualne pomyłki w procesach samoidentyfikacji.
Potrzebna edukacja rynku
Dyskusja dotyczyła również edukacji rynku i konieczności podnoszenia świadomości biznesu w obszarze nowych regulacji.
To na pewno ogromne przedsięwzięcie edukacyjne. Tam, gdzie KSC funkcjonowało już od lat - np. w energetyce, telekomunikacji świadomość jest wyższa, bo podmioty od dłuższego czasu żyją w reżimie bezpieczeństwa usług kluczowych - ocenił Marcin Wysocki.
Natomiast według niego, zupełnie inaczej sytuacja wygląda w nowych sektorach. - Chodzi np. o produkcję żywności czy część przemysłu, tam dopiero musimy dotrzeć z informacją, że obowiązki KSC 2.0 ich dotyczą - odpowiedział.
Wysocki przyznał też, że dotychczasowa debata publiczna nie zawsze skupiała się na tym, co najistotniejsze z punktu widzenia przedsiębiorców. Dyskusja w dużej mierze miała charakter polityczny i przede wszystkim dotyczyła mechanizmu wyznaczania tzw. dostawcy wysokiego ryzyka.
Odpowiedzialność zarządów
Krajowy system cyberbezpieczeństwa 2.0 wzbudza duże emocje również wśród menedżerów. Powód jest prosty: odpowiedzialność za nieprzestrzeganie wymogów KSC.
Ustawa obejmuje podmioty, które są krytyczne dla funkcjonowania państwa i naszego codziennego życia: transport, logistyka, energetyka, żywność, telekomunikacja i wiele innych. To nie są tylko kwestie wizerunkowe czy kolejna regulacja do odhaczenia. Dlatego prawo europejskie (NIS2 - przyp. red.) i krajowe idą w kierunku odpowiedzialności indywidualnej kierownictwa. Ustawa przewiduje możliwość nałożenia administracyjnych kar pieniężnych nie tylko na sam podmiot, ale także - w określonych sytuacjach - na osoby z kierownictwa odpowiedzialne za nadzór nad systemem bezpieczeństwa - podsumował Marcin Wysocki z Ministerstwa Cyfryzacji.
Resort cyfryzacji planuje kampanie, szkolenia i spotkania dla przedstawicieli biznesu i instytucji, których obejmie nowela KSC.
