TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Prawo i TelekomunikacjaAktualnościCyberbezpieczeństwoTop GridZarządzanie

KSC wchodzi w życie – pytania i odpowiedzi ekspertów

Po – w przybliżeniu – siedmiu latach zakończono prace legislacyjne nad ustawą nowelizującą ustawę o krajowym systemie cyberbezpieczeństwa. Na początku marca opublikowana została w Dzienniku Ustaw. Eksperci z firmy SayF odpowiadają na pierwsze pytania operatorów.

Parlament RP uchwalił ustawę z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, Prezydent w dniu 19 lutego 2026 r. podpisał ją i jednocześnie podjął decyzję o skierowaniu ustawy do kontroli następczej przez Trybunał Konstytucyjny celem weryfikacji zarzutów dotyczących naruszenia przepisów Konstytucji RP. Nie zmienia to faktu, że ustawa wejdzie w życie 3 kwietnia 2026 r.

Co oznacza wejście w życie nowelizacji?

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw zmienia ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (łącznie uKSC).

Przepisy tych ustaw wdrażają do krajowego systemu prawnego dyrektywę NIS2, czyli Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.

Wdrożenie NIS2 oraz wejście w życie uKSC wymaga od przedsiębiorcy zaplanowanego i usystematyzowanego działania w terminach określonych w tej ustawie.

Wdrożenie NIS2 oraz wejście w życie uKSC wymaga zaplanowanego i usystematyzowanego działania w terminach określonych w ustawie

NIS2 i ustawa o KSC – czy to już wszystko?

Wejście w życie uKSC powoduje, że obowiązki określone w Dyrektywie NIS2 stają się faktem. Pamiętać należy, że wraz z wejściem w życie uKSC wchodzą w życie również w pełnym zakresie rozporządzenia Parlamentu UE i Komisji UE wydane na podstawie NIS2.

Rozporządzenia te obowiązują już od ponad roku, ale w związku z brakiem wdrożenia uKSC mogły być stosowane z pewnymi ograniczeniami.

Czy NIS2, uKSC i rozporządzenia dotyczą przedsiębiorców telekomunikacyjnych?

Znowelizowana ustawa wskazuje organizacje, które zobowiązane są realizować obowiązki związane z
cyberbezpieczeństwem. Do tych organizacji należą, głównie przedsiębiorcy prowadzący działalność we
wskazanej dziedzinie lub w jednym z kilkunastu sektorów.

W przypadku przedsiębiorców telekomunikacyjnych odpowiedź jest bardzo prosta: Każdy przedsiębiorca komunikacji elektronicznej bez względu na wielkość lub rodzaj prowadzonej działalności
zobowiązany jest do realizacji obowiązków wynikających z uKSC.

Mikro- i mali przedsiębiorcy stają się podmiotami ważnymi, przedsiębiorcy, którzy spełniają wymogi co
najmniej dla średniego przedsiębiorcy lub je przewyższają stają się podmiotami kluczowymi.

Sugerujemy niezwłocznie zapoznać się z przepisami w sprawie cyberbezpieczeństwa, a następnie mając na
względzie treść tych przepisów, rodzaj prowadzonej działalności, wielkość przedsiębiorstwa, zidentyfikować
spoczywające obowiązki.

Jakie obowiązki mają teraz ISP?

Opisując najprościej obowiązki spoczywające, między innymi na przedsiębiorcach komunikacji elektronicznej, a dotyczące cyberbezpieczeństwa, stwierdzić należy, że to:

  • opracowanie, wdrożenie, stosowanie i aktualizacja dokumentacji opisującej sposób postępowania to tzw. dokumentacja normatywna;
  • dokumentowanie wszelkie realizowane działania (rejestry, ewidencje, wykazy, raporty, protokoły, itp.) – to dokumentacja operacyjna;
  • w działaniach związanych z zapewnieniem cyberbezpieczeństwa oraz w działaniach biznesowych uwzględniać należy uwzględnić możliwość wydania przez ministra właściwego do spraw informatyzacji (Ministra Cyfryzacji) decyzji, w której uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka.

Jakie są szczegółowe obowiązki operatorów związane z dokumentacją?

Ustawa o KSC przewiduje nałożenie na podmiot kluczowy i podmiot ważny szeregu obowiązków, w tym opracowanie, wdrożenie, stosowanie i aktualizację dokumentów normatywnych i operacyjnych dotyczących bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług.

Do dokumentów normatywnych zaliczono wszelkie dokumenty dotyczące bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług. Warto przy tym zwrócić uwagę, że zarówno Dyrektywa NIS2, a za nią uKSC, posługuje się pojęciem system informacyjny, który nie jest tożsamy z systemem informatycznym. System informacyjny to człowiek i przetwarzana przez niego informacja, systemy i narzędzia wykorzystywane do przetwarzania informacji oraz procedury z tym związane.

System informatyczny, to jedno z wielu narzędzi wykorzystywanych przez człowieka do przetwarzania informacji, składający się (pisząc najprościej) ze sprzętu komputerowego wyposażonego w odpowiednie oprogramowanie, linii telekomunikacyjnych łączących te komputery, itp.

Dokumentację normatywną stanowią polityki, regulaminy, instrukcje, procedury, upoważnienia określające w szczególności:

  • bezpieczeństwo przedsiębiorstwa;
  • bezpieczeństwo informacji;
  • bezpieczeństwo rodzajów informacji;
  • bezpieczeństwo sieci i systemów informatycznych;
  • bezpieczeństwo środowiskowe i fizyczne;
  • obsługę incydentów;
  • zarządzanie aktywami;
  • bezpieczeństwo zasobów ludzkich;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  • kontrolę dostępu, kryptografię i szyfrowanie;
  • ciągłość działania i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych;
  • ocenę skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie.

Dokumentację operacyjną natomiast stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych. Rejestry zdarzeń, logowań, protokoły, wykazy, ewidencje, itp.

Zarówno dokumentacja normatywna jak i operacyjna może być prowadzona w postaci papierowej lub w postaci elektronicznej. Należy jednak zapewnić właściwy nadzór nad tą dokumentacją, zapewniając:

  • dostępność dokumentów wyłącznie dla osób upoważnionych;
  • ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności;
  • oznaczanie kolejnych wersji dokumentów;
  • ewidencję zmian dokonanych w tych dokumentach.

Dokumenty dotyczącą bezpieczeństwa systemu informacyjnego należy obowiązkowo przechowywać co najmniej przez dwa lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczony od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania.

Zniszczenie wycofanej z użytkowania dokumentacji potwierdza się protokołem brakowania zawierającym w szczególności: datę protokołu, oznaczenie niszczonej dokumentacji, opis sposobu zniszczenia, dane osoby zatwierdzającej protokół. Protokoły brakowania dokumentacji są przechowywane w sposób trwały (bezterminowo).

obowiązki związane z bezpieczeństwem informacji będą musiały BYĆ wykonywać począwszy od dnia wejścia w życie przepisów ustawy o KSC

Już tylko z powyższego opisu wynika, że obowiązki związane z bezpieczeństwem informacji podmioty kluczowe i podmioty ważne będą musiały wykonywać począwszy od dnia wejścia w życie przepisów ustawy o KSC. Czynności tych nie można (i nie da się) wykonać wstecz.

    Dostawcy wysokiego ryzyka – na czym stanęło?

    Zagadnieniem budzącym wiele wątpliwości i wywołującym wiele polemik jest działanie ministra właściwego do
    spraw cyfryzacji (aktualnie Ministra Cyfryzacji) związane z uznaniem niektórych podmiotów jako dostawcy
    wysokiego ryzyka (DWR).

    W celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, minister właściwy do
    spraw informatyzacji może wszcząć postępowanie administracyjne w sprawie uznania za dostawcę wysokiego
    ryzyka dostawcę sprzętu lub oprogramowania, które są wykorzystywane przez:

    • podmioty kluczowe lub podmioty ważne, z wyłączeniem podsektora komunikacji elektronicznej;
    • przedsiębiorców komunikacji elektronicznej, których roczne przychody z tytułu wykonywania działalności
      telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 milionów złotych;
    • podmioty finansowe, z pewnym wyłączeniem.

    Minister właściwy do spraw informatyzacji, w drodze decyzji administracyjnej, uznaje dostawcę sprzętu lub
    oprogramowania za dostawcę wysokiego ryzyka. Decyzja taka zawiera w szczególności wskazanie podmiotu
    będącego dostawcą wysokiego ryzyka, typ produktów ICT, rodzaj usług ICT lub konkretny proces ICT
    pochodzące od tego dostawcy.

    Decyzja, o której mowa wyżej, podlega natychmiastowemu wykonaniu i nie przysługuje od niej wniosek o
    ponowne rozpatrzenie sprawy.

    Jakie będą konsekwencje używania sprzętu dostawcy wysokiego ryzyka dla przedsiębiorców telekomunikacyjnych?

    W przypadku wydania decyzji o uznaniu za dostawcę wysokiego ryzyka podmioty kluczowe i podmioty ważne, przedsiębiorcy komunikacji elektronicznej i podmioty finansowe nie wprowadzają do użytkowania wskazanych w tej decyzji produktów ICT, rodzajów usług ICT i konkretnych procesów ICT w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka.

    Przedsiębiorcy telekomunikacyjni wycofują ww. produkty ICT, usługi ICT, procesy ICT dostarczane przez
    dostawcę wysokiego ryzyka w ciągu 4 lat od dnia ogłoszenia decyzji Ministra Cyfryzacji.

    Do czasu wycofania sprzętu lub oprogramowania dopuszcza się użytkowanie dotychczas posiadanych typów
    produktów ICT, rodzajów usług ICT i konkretnych procesów ICT w zakresie objętym decyzją, dostarczanych
    przez dostawcę wysokiego ryzyka, w zakresie naprawy, modernizacji, wymiany elementu lub aktualizacji, jeżeli jest to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług, w szczególności
    dokonywania niezbędnych napraw awarii lub uszkodzeń.

    koszty wycofania z użytkowania produktów ICT, usług ICT i procesów ICT dostarczanych przez dostawców wysokiego ryzyka ponosi przedsiębiorca

    Działania te nie stanowiłyby problemu, gdyby nie fakt, że koszty wycofania z użytkowania produktów ICT,
    usług ICT i procesów ICT ponosi przedsiębiorca. Już wstępne szacunki wskazują, że mogą to być znaczne koszty, mające istotny wpływ na opłacalność prowadzonej działalności gospodarczej.

    Jeśli do tego dodamy koszty innych obowiązków realizowanych na rzecz organów administracji rządowej (na koszt przedsiębiorcy) oraz koszty realizacji obowiązków określonych w znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa, to rysuje nam się tragiczny obraz opłacalności prowadzonej działalności
    gospodarczej.

    Cyberbezpieczeństwo, czyli co?

    Możemy znaleźć bardzo dużo definicji dotyczących pojęcia cyberbezpieczeństwo. W naszej ocenie pod tym pojęciem rozumiemy bezpieczeństwo wszelkich informacji będących w dyspozycji podmiotu, przetwarzanych głównie w systemach informatycznych.

    Warto w tym miejscu wskazać kategorie informacji jakimi dysponuje praktycznie każdy przedsiębiorca:

    • informacje jawne, publicznie dostępna, niewymagająca żadnej ochrony – plotki, opowieści itp.;
    • informacje jawne, powszechnie dostępne – ochrona ograniczona do kontroli zmian, modyfikacji;
    • usunięcie, wykorzystania, itp. – Np. informacja adresowa organizacji, informacje umieszczone na stronie internetowej;
    • informacje podlegające ochronie – dane osobowe, tajemnice prawnie chronione.

    Informacje wskazane w punktach 2 i 3 podlegają ochronie w ramach zapewnienia cyberbezpieczeństwa.

    Spotkanie z ekspertami

    Eksperci SayF przeprowadzili niedawno webinar dotyczący wdrożenia uKSC. Okazją do wysłuchania ich na żywo oraz do indywidualnych rozmów będzie też zbliżający się Zjazd MiŚOT.

    Czytaj także:

    Raport Cyberbezpieczeństwo Trendy 2026: eksperci mówią o cyberprzełomie
    Krajobraz cyberzagrożeń
    Poprzedni artykuł
    Rada Naukowa przy Rzeczniczce MŚP popiera apel o przesunięcie terminu KSeF dla mniejszych przedsiębiorców
    Następny artykuł
    Poradnik dla beneficjentów programów POPC/KPO/FERC
    Dariusz Fudala, Andrzej Fudala SayF sp. z o.o.
    Dariusz Fudala, Andrzej Fudala SayF sp. z o.o.

    przeczytaj najnowszy numer isporfessional

    KLIKNIJ TUTAJ

    ARTYKUŁY POWIĄZANE

    Najnowsze

    O nas

    ISPORTAL to przestrzeń prezentacji najważniejszych informacji skierowanych do małych i średnich operatorów telekomunikacyjnych. Prezentujemy aktualności biznesowe, techniczne, urzędowe i prawne, wywiady, komentarze i opinie przedstawicieli środowiska, felietony, a także zapowiedzi najważniejszych wydarzeń branżowych.

    Wydawca:

    Projekt MdM

    Redaktor naczelny:

    Marek Nowak

    Współpraca:

    Klaudia Wojciechowska
    Michał Koch

    Kontakt:

    Projekt MdM / Grupa MiŚOT
    Antoniego Józefczaka 29/40
    41-902 Bytom
    [email protected]
    +48 32 810 20 21

    Reklama:

    Paweł Kucieba
    [email protected]
    +48 602 495 064