Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) budzi zainteresowanie m.in. za sprawą przepisów, mających zapobiegać cyberatakom oraz pozwalających potencjalnie wykluczyć niepożądanych z punktu widzenia bezpieczeństwa narodowego dostawców sprzętu wykorzystywanego np. w technologii 5G albo fotowoltaice.

Nie każdy zdaje sobie sprawę, że ten sam akt prawny przewiduje też obowiązki nakładane na rodzimy biznes. Część z nich budzi wątpliwości prawników i organizacji zrzeszających przedsiębiorców, czego wyrazem są nadsyłane do Sejmu opinie. Wpłynęło ich już więcej, niż chociażby do budzących skrajne emocje, ostatecznie zawetowanych przez prezydenta ustaw o wiatrakach czy o rynku kryptoaktywów.

Prof. Maciej Rogalski, radca prawny z kancelarii Rogalski i Wspólnicy, w stanowisku z 27 listopada br. szacuje, że projektowane przepisy o KSC mogą dotyczyć 38 tys. podmiotów działających w 18 sektorach gospodarki. Są to: energia; transport; bankowość i infrastruktura rynków finansowych; ochrona zdrowia; zaopatrzenie w wodę pitną i jej dystrybucja; ścieki; infrastruktura cyfrowa; zarządzanie usługami ICT; przestrzeń kosmiczna; administracja publiczna; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja; przetwarzanie i dystrybucja żywności; produkcja; usługi pocztowe; gospodarowanie odpadami; dostawa usług cyfrowych; badania naukowe.

Niektóre z projektowanych przepisów – jak pisze z kolei w swojej opinii z 3 grudnia 2025 r. prof. Paweł Wajda, adwokat, naukowiec z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego – „prowadzą do nieuzasadnionego i pionowo niezgodnego z porządkiem unijnym oraz krajowym wzmocnienia zakresu obowiązków nakładanych na uczestników obrotu”.

Czytaj też w LEX: Zarządzanie kryzysowe po incydencie cyberbezpieczeństwa >

Sektory „kluczowe” i „ważne”, nowe obowiązki dla firm

Co do zasady, ustawa KSC będzie dotyczyć firm średnich i dużych, ale są wyjątki, w których nowe przepisy obejmą też mniejsze podmioty, będące kooperantami przedsiębiorstw, działających w najbardziej newralgicznych sektorach. - Nawet niewielka firma może być elementem łańcucha dostaw najważniejszych usług, takich jak np. bankowość, energia czy zaopatrzenie w wodę – tłumaczy Karolina Praszek-Gołębiewska, prawnik, specjalista ds. bezpieczeństwa informacji. Przytacza szacunki zbliżone do tych, które prezentował prof. Rogalski: ustawa może objąć 30-40 tys. firm.

Czytaj też w LEX: Bezpieczeństwo łańcucha dostaw - due diligence dostawców wg dyrektywy NIS 2 >

Załączniki do ustawy bardziej szczegółowo opisują owe 18 sektorów objętych regulacją, dzieląc je na „kluczowe” i „ważne”. Projekt przewiduje, że to firma będzie musiała dokonać samoidentyfikacji. Jeśli uzna, że działa w którymś z sektorów opisanych w załącznikach oraz przekracza próg średniego przedsiębiorstwa (tj. zatrudnia co najmniej 50 pracowników oraz osiąga obrót lub sumę bilansową co najmniej 10 mln euro), będzie zobowiązana zgłosić się do wykazu prowadzonego przez ministra cyfryzacji. Brak rejestracji mimo spełniania kryteriów może skutkować karą.

Podmioty „kluczowe” w dużej mierze już dziś się objęte obowiązkami związanymi z cyberbezpieczeństwem, jako operatorzy usług kluczowych. Bardziej zaskoczone mogą być zarządy podmiotów, które zostaną uznane za „ważne” - takimi będą m.in. przedsiębiorcy spożywczy oraz producenci wyrobów medycznych.

Czytaj też w LEX: Podmioty kluczowe i ważne w świetle NIS 2 - kryteria i obowiązki >

- W praktyce, podmioty „ważne” będą musiały wdrożyć pełny, udokumentowany system zarządzania cyberbezpieczeństwem: od oceny ryzyka, przez zabezpieczenia techniczne i organizacyjne, po zgłaszanie incydentów w określonych terminach – mówi Paulina Petroniec-Bruens, adwokat w BCLA Bisiorek, Cieśliński i Partnerzy.

Jak dodaje, NIS 2 i w konsekwencji KSC nakładają obowiązki związane z działaniami prewencyjnymi; sformalizowaną obsługą incydentów; realnym nadzorem nad budową i funkcjonowaniem systemu cyberbezpieczeństwa; kompetencjami kadry; oceną i zabezpieczenie ryzyka wynikającego z korzystania z dostawców i podwykonawców.

- Może wymagać to przeprowadzenia cyklicznych audytów bezpieczeństwa u kluczowych partnerów technologicznych i logistycznych, aby zweryfikować ich realną odporność na ataki – wskazuje przykładowo mec. Petroniec-Bruens.

Czytaj też w LEX: Audyt cyberbezpieczeństwa – obowiązek, metodyka, dokumentacja >

Karolina Praszek-Gołębiewska radzi, by w zakresie samego tylko reagowania na incydenty i raportowania opracować i wdrożyć procedury postępowania w przypadku incydentów cybernetycznych, ustanowić mechanizmy monitorowania i raportowania incydentów w czasie rzeczywistym, a także zapewnić zgodność z wymogami dotyczącymi terminów zgłaszania poważnych incydentów do odpowiednich organów.

- Nie należy czekać na formalne wdrożenie ustawy na poziomie krajowym. Dyrektywa już obowiązuje, dlatego konieczne jest podjęcie konkretnych działań przygotowawczych już teraz – przestrzega Karolina Praszek-Gołębiewska.

Zobacz też w LEX: Identyfikowanie i zgłaszanie incydentów na gruncie NIS 2 i RODO >

Prace w Sejmie i uwagi

Ostateczny kształt ustawy może się jeszcze zmienić, sejmowa komisja cyfryzacji rozpoczęła już bowiem prace nad poprawkami, które będzie kontynuować po Nowym Roku.

Z uwag napływających do Sejmu wynika, że projekt wywołuje różnorakie obawy.

I tak Wojewódzka Rada Dialogu Społecznego w województwie mazowieckim zarzuca mu m.in., rozszerzenie w stosunku do NIS 2 listy sektorów i podsektorów zaliczanych do „kluczowych”, w konsekwencji czego za takie podmioty zostaną uznane m.in. apteki. - Co więcej, polski projektodawca objął zakresem regulacji – w przeciwieństwie do dyrektywy NIS 2 – również lokalne jednostki samorządu a także instytucje edukacyjne – czytamy w uwadze.

Także prof. Rogalski zwrócił uwagę na sektory wskazane jako kluczowe, pomimo iż przepisy NIS 2 umieszczają je w grupie sektorów ważnych. - Oznacza to dla tych podmiotów większy zakres nadzoru i kontroli niż w przypadku klasyfikacji ich jako podmioty z sektora ważnego, podczas gdy przepisy art. 5 NIS 2 nakazują stosować zasadę harmonizacji minimalnej - zwrócił uwagę.

Czytaj też w LEX: Ataki cybernetyczne z wykorzystaniem AI wymierzone w kancelarie prawne >

Konfederacja Lewiatan uważa, że aktualnie wskazany w projekcie 6-miesięczny termin dostosowawczy dla firm jest nierealny. - Termin ten musi zostać wydłużony przynajmniej do okresu 12-miesięcznego – czytamy w opinii Konfederacji Lewiatan. Z drugiej strony Związek Cyfrowy Lewiatan „podtrzymuje swoje wcześniejsze deklaracje poparcia dla kierunkowych założeń projektu”.

Polska Izba Komunikacji Elektronicznej zwróciła uwagę m.in. na konieczność doprecyzowania rozróżnień pomiędzy podmiotami ważnymi i kluczowymi oraz pojęcia „niezależne systemy informacyjne", a także potencjalne nierówne traktowanie podmiotów prywatnych oraz podmiotów publicznych.

Czytaj też w LEX: Od NIS2 do EU Cyberprint – nowa architektura odporności cyfrowej w Unii Europejskiej >

Federacja Przedsiębiorców Polskich skrytykowała zbyt daleko posunięte jej zdaniem odstępstwa od przepisów ograniczających uciążliwość kontroli w firmach. - Wątpliwości budzi przyznanie organowi właściwemu do spraw cyberbezpieczeństwa kompetencji do ingerowania w wydane koncesje, zezwolenia i działalność, w tym działalność regulowaną, podmiotów kluczowych – pisze również FPP.

Zobacz szkolenie online w LEX: Rola IOD-a w obszarze cyberbezpieczeństwa >

Nowość

-10%

Nowość

Ustawa o zapewnianiu spełniania wymagań dostępności niektórych produktów i usług przez podmioty gospodarcze. Komentarz ebook

Agata Cebera, Kamil Czaplicki

Sprawdź  

DWR i zarzuty o nadregulację

Najczęściej pojawiające się zarzuty dotyczą przepisów o dostawcach wysokiego ryzyka (DWR). Ustawa przewiduje, że produkty, usługi lub procesy teleinformatyczne podmiotów uznanych decyzją ministra za takich dostawców zostaną wycofywane z użytkowania w terminie czterech lat od decyzji.

Krajowa Izba Komunikacji Ethernetowej (KIKE) dołącza do swoich uwag opinię zleconą przez siebie i sporządzoną w czerwcu br. opinię prof. Ryszarda Piotrowskiego, konstytucjonalisty z UW. Wynika z niej, że projektowane przepisy o DWR są sprzeczne z szeregiem przepisów Konstytucji RP, m.in. naruszają zasadę proporcjonalności oraz istotę prawa własności.

Również prof. Wajda uznał, że te regulacje „poprzez swój zakres, intensywność ingerencji i systemowe skutki - prowadzą do najsilniejszego napięcia między projektowaną ustawą a konstytucyjnymi zasadami proporcjonalności, rzetelności procesu prawotwórczego, ochrony własności oraz społecznej gospodarki rynkowej”.

Z drugiej strony, przepisy te mają swoich zwolenników. – Regulacje w zakresie DWR i wycofywania przedmiotu – nie dostawcy, nie firmy, a przedmiotu – są według mnie wręcz asekuracyjne. Trudno doszukiwać się elementów nadmiernego obciążania rynku. Uważam wręcz, że jeżeli urządzenie jest niebezpieczne, należałoby je usunąć niezwłocznie, a nie czekać 4 lata – mówił niedawno Michał Kanownik, prezes Związku Cyfrowa Polska (więcej w tekście: Krajowy system cyberbezpieczeństwa. Zwolennicy projektu zarzucają przeciwnikom chiński lobbing). 

KIKE i FPP wskazują zaś w swoich opiniach, że przepisy o DWR powinny zgodnie z prawem unijnym dotyczyć tylko technologii 5G, a nie wszystkich 18 sektorów objętych regulacją.

Zarzuty o nadregulację padają zresztą częściej, chociażby w kontekście kar nakładanych na firmy i osoby fizyczne – polski projektodawca okazał się w tym zakresie bardziej surowy od prawodawcy unijnego.

Paweł Olszewski, wiceminister cyfryzacji, wprost zapytany o zarzut nadregulacji w interpelacji 12643 odpisał, że projekt „wdraża dyrektywę NIS 2 w minimalnym i niezbędnym zakresie”. Dodał jednak, że „dodatkowe elementy zostały szczegółowo omówione w uzasadnieniu oraz w ocenie skutków regulacji do projektu”.

Czytaj więcej na ten temat w LEX:

Cyberbezpieczeństwo a ochrona danych osobowych – granice i punkty wspólne >

Incydent - krok po kroku według RODO, NIS2 (UKSC), CRA, CER, AIA, PKSC >

Szkolenia z bezpieczeństwa cyfrowego – obowiązek czy dobra praktyka? >

Bezpieczeństwo łańcucha dostaw w świetle NIS 2 oraz powiązanych aktów prawnych i praktyk ENISA >