kogo obowiazuje nis2 i uoksc

Kogo obowiązuje NIS2 i Ustawa o Krajowym Systemie Cyberbezpieczeństwa – podmioty kluczowe i ważne oraz obowiązujące terminy

Zarządzanie bezpieczeństwem

Skąd wzięła się Ustawa o KSC?

Znowelizowana właśnie Ustawa o Krajowym Systemie Cyberbezpieczeństwa pierwszy raz pojawiła się w 2018 roku i została przygotowana jako element dostosowania polskiego prawa do unijnych regulacji NIS, a następnie NIS2.

Jej cel ustawy jest prosty: zbudować krajowy system, który:

  • wskazuje podmioty szczególnie istotne z punktu widzenia cyberbezpieczeństwa,
  • nakłada na nie konkretne obowiązki,
  • zapewnia im wsparcie, m.in. przez struktury CSIRT,
  • tworzy mechanizmy nadzoru i kontroli,
  • chroni infrastrukturę państwa, w tym infrastrukturę krytyczną.

W praktyce można powiedzieć, że jest to system zarządzania cyberbezpieczeństwem na poziomie państwa, którego celem jest zapewnienie, by najważniejsze usługi w kraju były odporne na incydenty, awarie, ataki i błędy organizacyjne.

Kogo obowiązuje: podmioty kluczowe i podmioty ważne

Ustawa rozróżnia dwie podstawowe grupy:

  • podmioty kluczowe,
  • podmioty ważne.

Jeżeli organizacja spełnia jednocześnie warunki dla obu kategorii, traktuje się ją jako podmiot kluczowy.

To ważne, bo podmiot kluczowy ma bardziej rygorystyczny status, m.in. w zakresie audytu bezpieczeństwa.

Kto może być podmiotem kluczowym?

Według Ustawy o KSC podmioty kluczowe to te, które prowadzą działalność w sektorach wymienionych w załączniku nr 1, czyli:

  • energetyka,
  • transport,
  • bankowość i infrastruktura rynków finansowych,
  • ochrona zdrowia (m.in. producenci leków i wyrobów medycznych, podmioty lecznicze, ich podwykonawcy oraz świadczeniodawcy posiadający SOR lub Centrum Urazowe)
  • zaopatrzenie w wodę pitną i jej dystrybucja,
  • zbiorowe odprowadzanie ścieków,
  • infrastruktura cyfrowa (m.in. dostawcy DNS, chmury i usług zaufania)
  • dostawcy usług zarządzanych, w tym ICT i cyberbezpieczeństwo,
  • przestrzeń kosmiczna,
  • podmioty publiczne.

Wymienione powyżej sektory działalności w niektórych przypadkach zostały podzielone na wiele podsektorów, w których precyzyjnie wymienia się podmioty objęte ustawą. Po zidentyfikowaniu się jako podmiot działający w danym sektorze warto więc zajrzeć do załącznika 1 ustawy by tam dokonać szczegółowego sprawdzenia.

Podmioty publiczne jako podmioty kluczowe

Zgodnie z Ustawą o KSC jako kluczowe traktowane są również podmioty publiczne, m.in.:

  • wybrane jednostki sektora finansów publicznych,
  • państwowe instytucje kultury,
  • instytuty badawcze,
  • Narodowy Bank Polski,
  • Bank Gospodarstwa Krajowego,
  • Urząd Dozoru Technicznego,
  • Polska Agencja Żeglugi Powietrznej,
  • Polskie Centrum Akredytacji,
  • Urząd Komisji Nadzoru Finansowego,
  • Polska Agencja Prasowa,
  • Państwowe Gospodarstwo Wodne Wody Polskie,
  • Polski Fundusz Rozwoju i inne instytucje rozwoju,
  • wybrane fundusze i państwowe osoby prawne.

W przypadku samorządów znaczenie ma również poziom administracji i wielkość jednostki:

  • w samorządzie województwa chodzi o jednostki budżetowe oraz zakłady budżetowe (z pewnymi wyłączeniami),
  • w samorządzie powiatu pod ustawę podlegać będzie starostwo powiatowe,
  • w samorządzie gminy – urząd gminy, ale tylko jeśli na dzień 1 stycznia danego roku zatrudnia co najmniej 50 osób w przeliczeniu na pełne etaty na podstawie umowy o pracę.

Kryteria wielkościowe dla podmiotów kluczowych

W wielu przypadkach nie wystarczy jednak sam sektor działalności. Znaczenie ma też skala organizacji. I tak podmiot z załącznika 1 może być podmiotem kluczowym, jeżeli:

  • zatrudnia powyżej 249 pracowników,
  • lub jego roczny obrót przekracza 50 mln euro,
  • lub jego roczna suma bilansowa przekracza 43 mln euro.

Dla niektórych kategorii progi są jednak niższe.

Przedsiębiorca komunikacji elektronicznej może być podmiotem kluczowym, jeżeli zatrudnia powyżej 49 pracowników albo jego roczny obrót lub roczna suma bilansowa przekracza 10 mln euro.

Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa może wejść do tej kategorii już przy zatrudnieniu powyżej 9 osób albo przy obrocie lub sumie bilansowej powyżej 2 mln euro.

Ustawa wskazuje też konkretne kategorie podmiotów, które są traktowane jako kluczowe niezależnie od wielkości, m.in. dostawców DNS, kwalifikowanych dostawców usług zaufania, podmioty krytyczne, podmioty publiczne, operatorów obiektów energetyki jądrowej, rejestry TLD oraz podmioty świadczące usługi rejestracji nazw domen.

Kto może być podmiotem ważnym?

Druga kategoria to podmioty ważne. Obejmuje ona sektory działalności wymienione w załączniku 2 do ustawy i są to:

  • usługi pocztowe,
  • inwestycje energetyki jądrowej,
  • gospodarowanie odpadami,
  • produkcja, wytwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • wybrane sektory produkcji, m.in. wyroby medyczne, komputery, elektronika, optyka, urządzenia elektryczne, maszyny, pojazdy i sprzęt transportowy,
  • dostawcy usług cyfrowych, takich jak platformy handlowe, wyszukiwarki internetowe i sieci społecznościowe,
  • organizacje badawcze.

W przypadku podmiotów publicznych jako ważne mogą być traktowane m.in.:

  • samorządowe jednostki budżetowe,
  • samorządowe zakłady budżetowe,
  • samorządowe instytucje kultury,
  • spółki wykonujące zadania użyteczności publicznej.

Jednak tylko jeśli spełniają dodatkowy warunek: realizują zadanie publiczne z wykorzystaniem systemów informacyjnych i nie są podmiotem kluczowym.

Kryteria wielkościowe dla podmiotów ważnych

Podobnie jak w przypadku podmiotów kluczowych, tak i tutaj zdefiniowane zostały dodatkowe kryteria wielkościowe:

  • podmiot z załącznika nr 1, który zatrudnia od 50 do 249 pracowników i którego roczny obrót lub suma bilansowa przekracza 10 mln euro, ale nie przekracza progów właściwych dla podmiotów kluczowych, (czyli te, które według sektora działalności kwalifikują się jako podmioty kluczowe, ale nie spełniają kryteriów wielkościowych dla tych podmiotów – np. nie zatrudniają powyżej 249 pracowników)
  • podmiot z załącznika nr 2, który zatrudnia powyżej 49 pracowników albo którego roczny obrót lub suma bilansowa przekracza 10 mln euro,
  • niekwalifikowany dostawca usług zaufania zatrudniający mniej niż 250 osób,
  • przedsiębiorca komunikacji elektronicznej zatrudniający mniej niż 50 osób.

Podmiot leczniczy, który nie jest przedsiębiorcą, jest według ustawy:

  • podmiotem ważnym, jeżeli zatrudnia od 50 do 249 osób,
  • podmiotem kluczowym, jeżeli zatrudnia co najmniej 250 osób.

Decyzja organu: można zostać uznanym za podmiot kluczowy lub ważny

Warto zwrócić uwagę na jeszcze jeden mechanizm.

Według Ustawy o KSC organ właściwy do spraw cyberbezpieczeństwa może wydać decyzję o uznaniu organizacji za podmiot kluczowy lub ważny, jeżeli podmiot jest określony w załączniku nr 1 lub 2 i spełnione są dodatkowe przesłanki.

Chodzi m.in. o sytuacje, w których:

  • podmiot jako jedyny świadczy usługę o kluczowym znaczeniu dla działalności społecznej lub gospodarczej,
  • zakłócenie usługi spowodowałoby poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego, obronności lub zdrowia publicznego,
  • zakłócenie usługi mogłoby wywołać ryzyko systemowe dla innych podmiotów kluczowych lub ważnych,
  • usługa ma istotne znaczenie na poziomie wojewódzkim lub krajowym albo dla dwóch lub więcej sektorów.

Czyli nawet jeśli organizacja na pierwszy rzut oka nie łapie się w widełki wielkościowe, to w określonych sytuacjach znaczenie usługi może być ważniejsze niż wielkość zatrudnienia lub obrotów.

Wykaz podmiotów kluczowych i ważnych

Jednym z praktycznych obowiązków jest wpis do wykazu podmiotów kluczowych i ważnych.

Według ustawy minister właściwy do spraw informatyzacji wpisuje z urzędu podstawowe dane tylko w przypadku określonych grup:

  • przedsiębiorców telekomunikacyjnych,
  • dostawców usług zaufania,
  • podmiotów publicznych,
  • podmiotów krytycznych.

Następnie podmioty te są wzywane do uzupełnienia wpisu. Mają na to zgodnie z ustawą 6 miesięcy.

Pozostałe podmioty muszą same złożyć wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny.

W wykazie znajdują się nie tylko dane formalne, takie jak nazwa, adres, NIP czy REGON. Trzeba podać również:

  • dane osób wyznaczonych do kontaktu z podmiotami KSC,
  • zakres publicznych adresów IP wykorzystywanych w sposób ciągły,
  • domeny internetowe wykorzystywane w sposób ciągły,
  • informację o statusie mikro, małego lub średniego przedsiębiorcy,
  • informację o umowie z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa, jeżeli taka umowa została zawarta.

Zmiany danych aktualizuje się przez system S46 w terminie 14 dni od dnia zmiany.

I tu pojawia się detal, którego nie warto lekceważyć: wniosek zawiera oświadczenie kierownika podmiotu o zgodności danych z prawdą. Fałszywe oświadczenie może oznaczać odpowiedzialność z art. 233 § 6 Kodeksu Karnego.

Ustawa o KSC – najważniejsze terminy

Ustawa obowiązuje od 3 kwietnia 2026 roku.

Najważniejsze terminy, o których trzeba pamiętać:

  • 6 miesięcy na uzupełnienie wpisu z urzędu po wezwaniu,
  • 6 miesięcy na wpis po samoidentyfikacji jako podmiot kluczowy lub ważny,
  • 14 dni na aktualizację danych w wykazie po ich zmianie,
  • 24 godziny na wczesne ostrzeżenie o incydencie poważnym,
  • 72 godziny na zgłoszenie incydentu poważnego,
  • 1 miesiąc na sprawozdanie końcowe z obsługi incydentu poważnego,
  • 24 miesiące na pierwszy audyt bezpieczeństwa w przypadku podmiotu kluczowego,
  • 3 lata jako cykl kolejnych audytów bezpieczeństwa podmiotu kluczowego,
  • 12 miesięcy na realizację obowiązków wynikających z artykułów 8-15 ustawy

Co warto zrobić w praktyce?

Jeśli z powyższych informacji wynika, że wasza organizacja może zostać uznana za podmiot kluczowy lub ważny, warto zapoznać się szczegółowo z załącznikiem 1 lub załącznikiem 2 do ustawy oraz odpowiedzieć na poniższe pytania:

  • czy jesteśmy wymienieni w załączniku nr 1 lub 2,
  • czy spełniamy progi wielkościowe,
  • czy jesteśmy podmiotem publicznym,
  • czy świadczymy usługę, której zakłócenie może mieć znaczenie systemowe,
  • czy musimy sami złożyć wniosek do wykazu,
  • jakie obowiązki i do kiedy musimy spełnić

Obowiązki wynikające z Ustawy o Krajowym Systemie Cyberbezpieczeństwa dla podmiotów kluczowych i ważnych

Szczegółową odpowiedź na ostatnie pytanie znajdziecie w kolejnym artykule, który wkrótce ukaże się na blogu. Jeśli nie chcecie go przegapić, zapiszcie się na nasz newsletter poniżej:

Zostaw e-mail aby otrzymać powiadomienia o nowych wpisach oraz dostęp do materiałów przygotowanych wyłącznie dla subskrybentów.

facebookObserwuj
TwitterObserwuj

Skomentuj

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *