+48 (12) 430 61 31
Blog
/
Nowelizacja ustawy o KSC i dyrektywa NIS2: Kogo obejmują nowe przepisy?

Nowelizacja ustawy o KSC i dyrektywa NIS2: Kogo obejmują nowe przepisy?

Nowelizacja ustawy o KSC i Dyrektywa NIS2:  Kogo obejmą nowe przepisy?

Nadchodząca nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (uKSC), wdrażająca do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS-2), to najważniejsza zmiana w przepisach o bezpieczeństwie cyfrowym od lat. Dla wielu przedsiębiorców oznacza to konieczność wdrożenia rygorystycznych procedur lub ryzyko milionowych kar. 

Kluczowym elementem nowych regulacji jest obowiązek samodzielnej kwalifikacji podmiotu, co nakłada na kadrę zarządzającą bezpośrednią odpowiedzialność za identyfikację statusu prawnego organizacji.

Jakie kluczowe zmiany dotyczące podziału podmiotów i ram odpowiedzialności wprowadza NIS2 i uKSC?

Znaczącym elementem nowelizacji jest odejście od dotychczasowych definicji na rzecz nowego, dwustopniowego podziału na podmioty kluczowe oraz podmioty ważne. Zastępują one dotychczasowe kategorie operatorów usług kluczowych  (OUK)  i dostawców usług cyfrowych (DUC), znacząco rozszerzając zakres podmiotowy regulacji. 

Ponadto, regulacje NIS2 i uKSC nakładają na zarządy firm bezpośrednią, osobistą odpowiedzialność za stan cyberbezpieczeństwa, jednocześnie zwiększając uprawnienia organów nadzorczych w tym zakresie.

Kogo dokładnie  dotyczą nowe obowiązki?

Ustawodawca wprowadził wyżej wspomnianą dwustopniową klasyfikację na: podmioty kluczowe oraz podmioty ważne. Kwalifikacja do jednej z tych dwóch kategorii zależy od trzech zazębiających się czynników: sektora działalności, rozmiaru przedsiębiorstwa oraz znaczenia dla gospodarki lub bezpieczeństwa państwa

Podstawowym wyznacznikiem objęcia dyrektywą jest skala działalności firmy. Jeśli przedsiębiorstwo działające w danej branży przekracza poniższe progi, z dużym prawdopodobieństwem podlega pod NIS2 i uKSC:

Podmiot kluczowy

Liczba pracowników: 250+

Obrót roczny: > 50 mln EUR

Suma bilanoswa: > 43 mln EUR

Podmiot ważny

Liczba pracowników: 50+

Obrót roczny: > 10 mln EUR

Suma bilansowa: > 10 mln EUR

W praktyce podmioty kluczowe to organizacje o najwyższym znaczeniu strategicznym, rekrutujące się głównie z dużych firm zatrudniających powyżej 250 osób, które operują w sektorach takich jak m.in. energetyka, transport, ochrona zdrowia czy infrastruktura cyfrowa

Z kolei kategoria podmiotów ważnych obejmuje szeroki wachlarz średnich, małych i mikro przedsiębiorstw, które choć mniejsze, pełnią istotną rolę w łańcuchach dostaw, zajmując się przykładowo produkcją żywności, gospodarką odpadami czy usługami pocztowymi.

Czym jest podział na sektory?

Poprzednia wersja ustawy o KSC skupiała się niemal wyłącznie na tzw. Operatorach Usług Kluczowych, podczas gdy nowa lista jest znacznie szersza i obejmuje branże, które wcześniej nie były kontrolowane. Zgodnie z załącznikami do dyrektywy i uKSC, kluczowe znaczenie ma to, czy rodzaj świadczonej usługi lub charakter produkcji wpisuje się w jedną z dwóch list:

Sektory o wysokim stopniu krytyczności, znajdujące się w Załączniku nr 1:

Podmioty w tych obszarach są uznawane za kluczowe dla funkcjonowania państwa.

1. Energia

  • Wydobycie: Firmy posiadające koncesje na wydobywanie gazu ziemnego, ropy naftowej, węgla kamiennego i brunatnego oraz innych kopalin.
  • Elektroenergetyka: Przedsiębiorstwa zajmujące się wytwarzaniem, przesyłaniem, dystrybucją oraz obrotem energią elektryczną, a także jej magazynowaniem.
  • Ciepłownictwo: Firmy produkujące, przesyłające, dystrybuujące i sprzedające ciepło na podstawie koncesji.
  • Paliwa płynne i gazowe: Przedsiębiorstwa produkujące paliwa ciekłe i syntetyczne, zajmujące się ich przesyłem rurociągami, magazynowaniem (w tym podziemnym), przeładunkiem oraz obrotem (również zagranicznym).
  • Wsparcie sektora: Dostawcy maszyn, urządzeń, surowców oraz usług serwisowych niezbędnych dla funkcjonowania infrastruktury energetycznej.

2. Transport

  • Lotniczy: Przewoźnicy lotniczy, zarządzający lotniskami, podmioty zapewniające służby żeglugi powietrznej oraz firmy realizujące kontrolę bezpieczeństwa i obsługę naziemną.
  • Kolejowy: Zarządcy infrastruktury kolejowej (tory, dworce) oraz licencjonowani przewoźnicy kolejowi i operatorzy obiektów usługowych.
  • Wodny: Armatorzy morscy i śródlądowi, zarządcy portów i przystani morskich oraz służby monitorowania ruchu statków (VTS).
  • Drogowy: Organy zarządzające drogami publicznymi (krajowymi, wojewódzkimi) oraz podmioty odpowiedzialne za systemy poboru opłat i zarządzanie ruchem.

3. Bankowość i infrastruktura rynków finansowych

  • Banki krajowe, oddziały banków zagranicznych oraz instytucje kredytowe.
  • Spółdzielcze kasy oszczędnościowo-kredytowe (SKOK).
  • Podmioty prowadzące giełdy i rynki regulowane oraz instytucje zajmujące się rozliczaniem transakcji na instrumentach finansowych.

4. Ochrona zdrowia

  • Szpitale, przychodnie i inne podmioty lecznicze, w tym jednostki podległe Ministrowi Zdrowia.
  • Narodowy Fundusz Zdrowia (NFZ).
  • Farmacja: Producenci i importerzy leków oraz substancji czynnych, hurtownie farmaceutyczne, apteki szpitalne oraz apteki ogólnodostępne.

5. Media komunalne

  • Przedsiębiorstwa wodociągowo-kanalizacyjne zajmujące się zbiorowym zaopatrzeniem w wodę pitną oraz zbiorowym odprowadzaniem i oczyszczaniem ścieków.

6. Infrastruktura cyfrowa

  • Dostawcy usług DNS (systemu nazw domen) oraz rejestry nazw domen najwyższego poziomu (np. .pl).
  • Operatorzy punktów wymiany ruchu internetowego (IXP), centrów danych (data centers) oraz sieci dostarczania treści (CDN).
  • Przedsiębiorcy komunikacji elektronicznej (dostawcy internetu i telefonii).

7. Administracja publiczna i przestrzeń kosmiczna

  • Urzędy administracji rządowej i samorządowej (w tym starostwa i urzędy gmin powyżej 50 pracowników).
  • Podmioty obsługujące systemy naziemne wykorzystywane w usługach opartych na technologiach kosmicznych.

Inne sektory ważne znajdujące się w Załączniku nr 2: 

1. Logistyka i usługi pocztowe

  • Operatorzy świadczący usługi pocztowe i kurierskie (doręczanie przesyłek i paczek).

2. Gospodarka odpadami

  • Firmy zajmujące się zbieraniem, transportem, przetwarzaniem i sortowaniem odpadów (z wyłączeniem podmiotów, dla których nie jest to główna działalność).

3. Chemikalia i żywność

  • Chemikalia: Producenci i dystrybutorzy substancji oraz mieszanin chemicznych.
  • Żywność: Przedsiębiorstwa zajmujące się produkcją, przetwarzaniem oraz dystrybucją żywności na dużą skalę (sprzedaż hurtowa i produkcja przemysłowa).

4. Produkcja wyrobów precyzyjnych i pojazdów

  • Produkcja wyrobów medycznych.
  • Produkcja komputerów, elektroniki, wyrobów optycznych oraz urządzeń elektrycznych.
  • Produkcja maszyn, pojazdów samochodowych, przyczep oraz pozostałego sprzętu transportowego.

5. Usługi cyfrowe

  • Platformy handlowe: Serwisy umożliwiające zakupy online od różnych sprzedawców (marketplace).
  • Wyszukiwarki: Usługi pozwalające na przeszukiwanie stron internetowych.
  • Media społecznościowe: Platformy służące do komunikacji i udostępniania treści przez użytkowników.
  • Chmura obliczeniowa: Dostawcy skalowalnych zasobów IT (serwery, dyski online).

6. Badania naukowe

  • Instytucje prowadzące badania naukowe i prace rozwojowe, szczególnie te kluczowe dla gospodarki.

Jak sprawdzić czy firma podlega pod wymogi NIS-2? 

Do tej pory rola przedsiębiorcy w systemie cyberbezpieczeństwa była pasywna – to organ administracji decydował o wpisaniu firmy do rejestru operatorów usług kluczowych. Od 3 kwietnia 2026 r. nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (uKSC), wdrażająca dyrektywę NIS2, wprowadza dodatkowo mechanizm samoidentyfikacji.

Proces identyfikacji statusu organizacji należy przeprowadzić dwuetapowo: poprzez analizę przedmiotu działalności (kryterium sektorowe) oraz weryfikację danych finansowo-kadrowych:

1. Dla Podmiotów Kluczowe (Essential Entities)

Kwalifikacja następuje, gdy przedsiębiorstwo prowadzi działalność w sektorze o wysokim stopniu krytyczności (m.in. energetyka, transport, sektor bankowy i finansowy, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa) oraz spełnia przynajmniej jeden z poniższych warunków:

  • Zatrudnia co najmniej 250 pracowników.
  • Osiąga roczny obrót powyżej 50 mln EUR przy sumie bilansowej min. 43 mln EUR.

2. Dla Podmiotów Ważnych (Important Entities)

Kategoria podmiotów ważnych obejmuje szersze spektrum uczestników obrotu gospodarczego, operujących w jednym ze zdefiniowanych w załącznikach do ustawy (m.in. usługi pocztowe, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja żywności, logistyka oraz wybrane usługi cyfrowe). Do tej grupy zaliczane są podmioty, które:

  • Zatrudniają co najmniej 50 pracowników.
  • Osiągają roczny obrót i sumę bilansową na poziomie co najmniej 10 mln EUR.

Czym jest mechanizm samoidentyfikacji według uKSC?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (uKSC), wprowadza istotną zmianę w podejściu do nadzoru nad cyberbezpieczeństwem. W przeciwieństwie do poprzednich przepisów, nowelizacja uKSC nakłada na przedsiębiorców obowiązek autonomicznej weryfikacji spełnienia przesłanek ustawowych. 

Oznacza to, że każda organizacja musi samodzielnie dokonać oceny swojego statusu prawnego - czy spełnia ona kryteria z NIS2 i dokonać wpisu do odpowiedniego rejestru podmiotów kluczowych lub ważnych tj. przekazać drogą elektroniczną wniosek o wpis do wykazu prowadzonego przez Ministra cyfryzacji. Od 3 kwietnia 2026 roku brak oficjalnego powiadomienia ze strony organu nadzorczego nie zwalnia z odpowiedzialności za niedopełnienie nowych wymogów. 

Cały system opiera się na założeniu, że każda firma musi przeprowadzić wewnętrzny audyt swojej struktury, aby określić swój status. 

Jaki jest status MŚP w świetle nowej regulacji?

Zasadą ogólną NIS2 jest tzw. reguła pułapu wielkości. Zgodnie z nią, podmiotami podlegającymi obowiązkowi są średnie i duże przedsiębiorstwa. Niemniej, ustawodawca unijny przewidział szereg mechanizmów, które de facto włączają sektor MŚP w rygory dyrektywy i ustawy.

Na przykład niezależnie od wielkości, rygorom podlegają m.in. dostawcy usług DNS, rejestry TLD oraz podmioty będące jedynymi dostawcami usług kluczowych dla podtrzymania działalności społecznej lub gospodarczej. 

Podpadanie pod wymogi NIS2 może nastąpić także poprzez decyzję właściwego organu. Minister właściwy ds. informatyzacji posiada kompetencję do wyznaczenia konkretnego mikro lub małego przedsiębiorstwa jako podmiotu kluczowego lub ważnego, jeżeli jego profil działalności wiąże się ze szczególnym ryzykiem systemowym. 

Oprócz tego, podmioty objęte dyrektywą są zobligowane do zapewnienia bezpieczeństwa całego łańcucha dostaw. W praktyce oznacza to, że mniejszy kontrahent, chcąc współpracować z podmiotem kluczowym z sektora energetycznego czy bankowego, będzie musiał umownie zobowiązać się do przestrzegania standardów NIS2.

Kogo dotyczy zwolnienie z NIS2 na rzecz DORA?

Zwolnienie z obowiązków wynikających z NIS2 (w zakresie zarządzania ryzykiem i zgłaszania incydentów) dotyczy podmiotów wymienionych w art. 2 rozporządzenia DORA, takich jak:

  • Instytucje kredytowe (banki),
  • Instytucje płatnicze,
  • Firmy inwestycyjne,
  • Zakłady ubezpieczeń i reasekuracji,
  • Dostawcy usług w zakresie kryptoaktywów.

Jeśli firma finansowa jest zwolniona z DORA (np. ze względu na specyficzne wyłączenia dla bardzo małych podmiotów lub specyficzny charakter działalności), to automatycznie powracają wobec niej wymogi NIS2. Taka firma powinna upewnić się, czy nie wpada w definicję podmiotu ważnego lub kluczowego na zasadach ogólnych.

Co grozi za naruszenie przepisów?

Kary są dotkliwe i wzorowane na RODO. Podmioty kluczowe mogą zapłacić do 10 mln EUR lub 2% światowego obrotu. Co więcej, nowa ustawa wprowadza osobistą odpowiedzialność kierownictwa – kary finansowe dla członków zarządu mogą sięgać nawet 300% ich miesięcznego wynagrodzenia.

Autorzy: Natalia Ptaszek, Julia Armata.

Nie wiesz czy twoja firma kwalifikuje się pod nowe regulacje? Skontaktuj się z nami w celu przeprowadzenia audytu zgodności z nowym uKSC i NIS2, w celu spełnienia wymogów narzuconych przez kontrahenta, a także, żeby przejść przez procedurę wpisu do rejestru podmiotów: Kontakt.

Dlaczego warto skorzystać akurat z naszych usług do wdrożenia NIS2 i uKSC? 

Jesteśmy kancelarią adwokacką, złożoną z zespołu doświadczonych adwokatów i radców prawnych. Specjalizujemy się w prawie nowych technologii i bezpieczeństwie informacji, a także w prawie międzynarodowym (wdrażanie przepisów unijnych, w tym NIS2 i uKSC).  

Oferujemy unikalne na rynku usługi, wynikające z partnerskiej i stałej współpracy ze spółką technologiczną, specjalizującą się w cyberbezpieczeństwie Genuitek Sp. z o.o., która odpowiada za spełnienie obowiązków od strony technologicznej. 

Przyszłość na
Twoich warunkach
© 2023 Armata Legal. Branding and website by
© 2023 Armata Legal.
Branding and website by
Atelier XIV.
Polityka prywatności i cookies
sekretariat@armatalegal.com
+48 (12) 430 61 31
Nasza strona korzysta z cookies celem zapewnienia jej prawidłowego działania oraz w celach statystycznych. Klikając przycisk „Zamknij” lub kontynuując korzystanie z tej strony wyrażają Państwo na to zgodę. Szczegółowe informacje: Polityka prywatności i cookies.
Zamknij