Polska Agencja Prasowa
O Agencji

O PAP.pl

PAP.pl to portal PAP - największej agencji informacyjnej w Polsce, która zbiera, opracowuje i przekazuje obiektywne i wszechstronne informacje z kraju i zagranicy. W portalu użytkownik może przeczytać wybór najważniejszych depesz, wzbogaconych o zdjęcia i wideo.

Kategorie

Serwisy PAP

Ekspert: nowe obowiązki związane z cyberbezpieczeństwem obejmą nawet kilkadziesiąt tysięcy podmiotów

Obowiązki wynikające z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa obejmą nawet kilkadziesiąt tysięcy podmiotów - przekazał w Studio PAP adwokat Michał Opala. Dodał, że małe przedsiębiorstwa są wyłączone z przepisów, ale od tej reguły są wyjątki.

09.03.2026 09:25 aktualizacja: 09.03.2026 13:22

19 lutego br. prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz skierował ją do Trybunału Konstytucyjnego. Nowela wprowadza nowe sektory, które będą objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok energii, transportu, ochrony zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę i infrastruktury cyfrowej, dodano: ścieki, zarządzanie ICT, przestrzeń kosmiczną, usługi pocztowe, produkcję i dystrybucję, w tym chemikaliów i żywności. Do sektorów KSC zaliczono też podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze i Polską Agencję Prasową.

Jak przekazał Studio PAP adwokat Michał Opala z kancelarii „Sołtysiński Kawecki & Szlęzak”, ustawa wejdzie w życie miesiąc od publikacji w Dzienniku Ustaw, czyli 3 kwietnia br. Do tej pory przepisom ustawy podlegało od ok. 400 do 500 pomiotów - wskazał ekspert i dodał, że po nowelizacji nowe obowiązki będą obejmować, w zależności od szacunków, od kilkunastu tysięcy, nawet do kilkudziesięciu tysięcy podmiotów.

Adwokat przypomniał, że zgodnie z przepisami podmioty będą miały rok na wdrożenie nowych obowiązków związanych z cyberbezpieczeństwem. - W ciągu pierwszych sześciu miesięcy obowiązywania ustawy podmioty będą musiały dokonać tak zwanej samoidentyfikacji, czyli sprawdzić, czy podlegają pod nowe przepisy. Jeśli tak, to zarejestrować się w specjalnym rejestrze, który jest prowadzony przez organy państwa. Później mamy jeszcze kolejne sześć miesięcy na osiągnięcie pełnej zgodności z wymogami regulacyjnymi - tłumaczył Opala.

Jak podkreślił, fundamentalnym obowiązkiem dla podmiotów objętych KSC jest wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), który powinien być oparty na rzetelnej analizie ryzyka. - Chodzi o stworzenie takiego mechanizmu, który ma zbudować odporność na zagrożenia, incydenty, podatności (luki bezpieczeństwa - PAP) - tłumaczył. Dodał, że firmy muszą też m.in. zadbać o bezpieczeństwo łańcucha dostaw, czy szkolenia dla pracowników z zakresu cyberhigieny. Kolejne obowiązki związane są z zarządzaniem aktywami, to m.in. identyfikacja urządzeń i systemów będących w posiadaniu organizacji i ustalenie, kto ma do nich dostęp.

- Cała filozofia regulacji dotyczącej cyberbezpieczeństwa polega na tym, żeby środki podejmowane przez konkretne podmioty uczestniczące w działalności gospodarczej, przyjmowały środki adekwatne z jednej strony do ich potrzeb, i ale też do zagrożeń jakie się wiążą z tego rodzaju działalnością. 

Zupełnie inne mamy zagrożenia w przypadku działalności rolniczej, czy związanej z produkcją żywności, niż w stosunku na przykład do przedsiębiorców, który świadczy usługi cyfrowe, ponieważ w pierwszym przypadku ingerencja i incydent związany z zakłóceniem procesu produkcyjnego żywności, przerwanie czy zanieczyszczenie tego procesu może spowodować istotne skutki

Michał Opala

 

Pytany, jak rozpoznać, czy dana firma podlega nowym przepisom, ekspert powiedział, że przedsiębiorca powinien sprawdzić załącznik do ustawy o KSC, gdzie szczegółowo opisane są kryteria dla określonych obszarów działalności gospodarczej. Wskazał, że te kryteria „są skomplikowane”, ale opierają się przede wszystkim na liczbie zatrudnionych oraz na obrocie generowanym przez dany podmiot.

Opala zaznaczył, że dla średnich przedsiębiorstw progi wynoszą odpowiednio 50 pracowników oraz 10 milionów euro obrotu, natomiast dla dużych firm – 250 pracowników oraz 50 milionów euro obrotu.

Ekspert podkreślił, że co do zasady małe przedsiębiorstwa wyłączone są z regulacji, ale od tej reguły są wyjątki, m.in. usługi dotyczące cyberbezpieczeństwa.

Tutaj próg wielkościowy jest obniżony i jeśli będziemy mieli firmę, która zatrudnia nawet 10 osób, to taka firma zostanie objęta przepisami

Michał Opala

Zwrócił uwagę, że o „podpadnięciu” pod ustawę może zdecydować nie główna, a poboczna działalność firmy. Jako przykład podał przedsiębiorstwo produkcyjne, które jest małe, a jego główna działalność generuje 90 proc. przychodów, ale zarządza bocznicą kolejową, co może zmienić jego status w świetle przepisów.

Pytany o największe wyzwanie dla firm związane z nowymi przepisami, Opala podał „zbyt ambitne” podejście do obowiązków, które potem nie są wdrażane w praktyce.

- To jest pułapka bardzo ambitnego podejścia na samym początku, ustanowienia sobie bardzo wysokich norm i standardów, które chcielibyśmy utrzymywać w naszej organizacji. Natomiast czasem tego się nie da dotrzymać, o tym się czasem zapomina. Widzieliśmy to na gruncie przepisów o ochronie danych osobowych, gdzie były czasami tworzone tak zwane słynne teczki, które trafiały na półki, do których nikt nie zaglądał. Przepisy ustawy o KSC z jednej strony dają swobodę w stworzeniu Systemu Zarządzania Bezpieczeństwem Informacji, ale z drugiej strony nakładają obowiązek później realizacji tych wszystkich obowiązków, które sami na siebie de facto nakładamy i definiujemy” - podkreślił ekspert.

Przypomniał, że za brak realizacji przepisów grożą wysokie sankcje finansowe. Maksymalne kary mogą wynosić do 10 mln euro (ok. 42,4 mln zł) lub do 2 proc. rocznego obrotu, a w skrajnych przypadkach ignorowania zaleceń organu nadzoru – nawet 100 mln zł.

Opala zaznaczył, że system kar ma jednak charakter kaskadowy. 

To nie jest tak, że za każdą niezgodność dostaniemy karę w maksymalnym wymiarze. Przepisy mówią o tym, że organy państwa powinny stopniowo wywierać nacisk na przedsiębiorców, żeby dostosowywali się do wymogów. Natomiast kary są pomyślane w taki sposób, żeby były pewnym straszakiem i pewnym zagrożeniem, po które mam nadzieję nie będzie okazji i potrzeby sięgać 

Michał Opala

Jak wskazał Opala, nowela wejdzie w życie niezależnie od decyzji Trybunału Konstytucyjnego (TK).

Trybunał może uznać kwestionowane przepisy za zgodne z Konstytucją bądź stwierdzić niezgodność określonych przepisów ustawy z Konstytucją. W tym drugim przypadku z dniem ogłoszenia wyroku, albo też po upływie określonego w wyroku terminu (jeśli w ogóle zostanie określony), kwestionowane przepisy przestają obowiązywać. Jednak - jak wskazał ekspert - rząd odpowiedzialny za publikację orzeczeń TK, może tego odmówić. Oznacza to, że nawet jeśli TK stwierdzi niekonstytucyjność niektórych przepisów, nie będzie to miało praktycznego znaczenia.

Nowela wdraża w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem.

Autorka: Monika Blandyna Lewkowicz (PAP)

mbl/ mrr/ kgr/
 

Tematy

© Copyright PAP

Wszelkie materiały (w szczególności depesze agencyjne, zdjęcia, grafiki, filmy) zamieszczone w niniejszym Portalu chronione są przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Materiały te mogą być wykorzystywane wyłącznie na postawie stosownych umów licencyjnych. Jakiekolwiek ich wykorzystywanie przez użytkowników Portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, bez ważnej umowy licencyjnej jest zabronione.

Zobacz także

  • Krystyna Janda Fot. PAP/Radek Pietruszka
    Krystyna Janda Fot. PAP/Radek Pietruszka

    Krystyna Janda: im więcej rozumiem, tym bardziej tęsknię za Andrzejem Wajdą

  • Tomasz Majewski. Fot. PAP/Albert Zawada
    Tomasz Majewski. Fot. PAP/Albert Zawada

    Lekkoatletyczne HMŚ - Majewski: będzie bardzo dobrze, jeżeli zdobędziemy dwa, trzy medale

  • Wojciech Korchut Fot. PAP
    Wojciech Korchut Fot. PAP

    Psycholog transportu: większe kary nie poprawią bezpieczeństwa na drogach

  • Urszula Pytkowska-Jakimczyk Fot. PAP/Radek Pietruszka
    Urszula Pytkowska-Jakimczyk Fot. PAP/Radek Pietruszka

    Iranistka: Islamska Republika Iranu trzyma się mocno

Serwisy ogólnodostępne PAP