4 godzin temu
Najświeższe dane CERT Polska pokazują skalę problemu. W 2025 r. zarejestrowano ponad 260 tys. incydentów cyberbezpieczeństwa – o ponad 150% więcej niż rok wcześniej. CERT Polska otrzymał ponad 658 tys. zgłoszeń, a większość obsługiwanych zdarzeń dotyczyła oszustw komputerowych, phishingu oraz ataków wykorzystujących podatności usług i systemów teleinformatycznych. Rosła również liczba incydentów ransomware oraz ataków wymierzonych w podmioty publiczne i przedsiębiorców. CERT Polska wprost wskazuje, iż polskie organizacje pozostają stale na celowniku cyberprzestępców. (CERT Polska, „Raport roczny z działalności CERT Polska w 2025 roku”, NASK, 2026 r., dostęp: https://cyberpolicy.nask.pl/aktualnosci/raport-roczny-z-dzialalnosci-cert-polska-w-2025-roku/).
W tym kontekście NIS2 oraz znowelizowana UKSC nie powinny być postrzegane wyłącznie jako kolejna warstwa compliance. To regulacje, które wymuszają strategiczne podejście do cyberbezpieczeństwa – angażujące zarząd, działy prawne, IT, HR, zakupy oraz obszary operacyjne.
Samoidentyfikacja: czasu jest coraz mniej
Jednym z największych wyzwań praktycznych związanych z wdrożeniem nowych regulacji pozostaje prawidłowa samoidentyfikacja podmiotów objętych UKSC, tj. podmiotów ważnych i kluczowych. Nowe przepisy zakładają bowiem obowiązek samoidentyfikacji i rejestracji podmiotów kluczowych i ważnych do.10.2025 r. W praktyce wiele organizacji przez cały czas nie ma pewności, czy i w jakim zakresie jest objęta nowymi regulacjami.
Wątpliwości dotyczą przede wszystkim kwalifikacji działalności do określonych sektorów i podsektorów. Opisy działalności objętej regulacją nie zawsze są jednoznaczne, a granice pomiędzy usługami cyfrowymi, w szczególności usługami zarządzanymi, czy usługami chmurowymi bywają płynne. Problematyczne pozostaje również ustalanie wielkości organizacji – szczególnie w grupach kapitałowych, gdzie konieczne może być uwzględnianie relacji powiązań i partnerstwa, danych skonsolidowanych lub działalności prowadzonej przez kilka podmiotów jednocześnie.
W przypadku działalności wykonywanej w sektorze cyfrowym i w środowisku międzynarodowym (w ramach działalności transgranicznej) dodatkowe trudności pojawiają się także przy ustalaniu adekwatności miejscowej, tj. określeniu tego, czy dany podmiot będzie odpowiedzialny względem polskich organów nadzorczych.
W praktyce oznacza to konieczność zaangażowania nie tylko prawników, ale także biznesu, finansów i działów operacyjnych – już na etapie analizy statusu organizacji. Co istotne, czasu w przeprowadzenie tej analizy nie zostało wiele.
Cyberbezpieczeństwo jako odpowiedzialność osobista osób zarządzających podmiotem
Jedną z najistotniejszych zmian wprowadzanych przez dyrektywę NIS2 jest wyraźne przesunięcie odpowiedzialności za cyberbezpieczeństwo na poziom zarządczy. Regulacje odchodzą od modelu, w którym cyberbezpieczeństwo pozostawało wyłącznie domeną wyspecjalizowanych zespołów technicznych.
Przepisy UKSC przewidują m.in. obowiązek planowania adekwatnych środków finansowych na realizację zadań z zakresu cyberbezpieczeństwa, a także zatwierdzania środków zarządzania ryzykiem w cyberbezpieczeństwie przez kierownictwo podmiotu oraz obowiązek odbywania corocznych szkoleń z zakresu cyberbezpieczeństwa przez członków organów zarządzających.
Zarząd ma nie tylko wiedzieć, iż organizacja wdraża odpowiednie środki bezpieczeństwa, ale też aktywnie uczestniczyć w nadzorze nad tym procesem. To zmiana o charakterze fundamentalnym. W praktyce oznacza bowiem, iż brak odpowiedniego nadzoru nad cyberbezpieczeństwem w organizacji może być oceniany podobnie jak brak nadzoru nad zgodnością regulacyjną adekwatną dla danej branży czy finansowo-rachunkową.
UKSC przewiduje możliwość nakładania wysokich kar administracyjnych zarówno na podmioty, jak i osoby zarządzające. Dla podmiotów kluczowych maksymalna kara może wynosić do 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. W przypadku podmiotów ważnych próg ten wynosi odpowiednio 7 mln euro lub 1,4% obrotu. A w szczególnych, poważnych przypadkach naruszenia kara może wynieść choćby do 100 mln zł.
Przepisy przewidują również możliwość nałożenia kar pieniężnych bezpośrednio na kierowników podmiotów kluczowych lub ważnych – do wysokości trzykrotności ich miesięcznego wynagrodzenia. W przypadku kierowników podmiotów publicznych kara może wynieść do jednokrotności ich miesięcznego wynagrodzenia. To dodatkowo pokazuje, iż ustawodawca traktuje cyberbezpieczeństwo nie jako zagadnienie wyłącznie techniczne, ale jako element osobistej odpowiedzialności zarządczej.
Jednocześnie ustawa przewiduje dwuletnie, tj. do 3.4.2028 r., moratorium na nakładanie części kar administracyjnych. Nie oznacza to jednak „okresu bez obowiązków” i możliwych działań nadzorczych. Wręcz przeciwnie – okres przejściowy powinien zostać wykorzystany na rzeczywiste przygotowanie organizacji do nowych wymogów, a nie jedynie formalne odłożenie wdrożenia w czasie.
Governance zamiast „projektu IT”
Największym błędem przy wdrażaniu nowych wymagań wynikających ze znowelizowanej UKSC może być traktowanie nowych obowiązków jako wyłącznie technicznego projektu realizowanego przez dział IT.
Jednym z kluczowych obowiązków wynikających ze znowelizowanego UKSC, który musi być zrealizowany do 3.4.2027 r., jest wdrożenie odpowiedniego systemu zarządzania bezpieczeństwem informacji (SZBI). Wdrożenie SZBI to znacznie więcej niż przygotowanie dokumentacji, czy aktualizacja polityk bezpieczeństwa. W ramach tego obowiązku organizacje zobowiązane są do wdrożenia szeregu procesów organizacyjnych, technicznych i operacyjnych, które mają zapewnić realne zarządzanie ryzykiem cyberbezpieczeństwa. Wymagania te składają się na swoisty „dekalog” środków zarządzania ryzykiem w cyberbezpieczeństwie, który obejmuje przygotowanie:
(1) polityk analizy ryzyka i bezpieczeństwa systemów informacyjnych,
(2) procedur obsługi incydentów oraz
(3) mechanizmów zapewniających ciągłość działania i odzyskiwanie sprawności po incydencie.
Nowe regulacje wymagają także wdrożenia zasad:
(4) dbałości o bezpieczeństwo łańcucha dostaw produktów, usług i procesów ICT wykorzystywanych przez organizację, oraz
(5) bezpieczeństwa przy nabywaniu, rozwoju i utrzymaniu sieci oraz systemów informatycznych.
W praktyce oznacza to konieczność uwzględniania wymagań cyberbezpieczeństwa już na etapie projektowania i zakupu rozwiązań technologicznych, a nie dopiero po ich wdrożeniu.
Istotnym obowiązkiem jest również (6) stworzenie polityk i procedur służących ocenie skuteczności wdrożonych środków zarządzania ryzykiem. Organizacje będą musiały regularnie weryfikować, czy przyjęte rozwiązania rzeczywiście odpowiadają aktualnym zagrożeniom i profilowi działalności podmiotu.
Regulacje mocno akcentują także znaczenie (7) praktyk cyberhigieny i szkoleń z zakresu cyberbezpieczeństwa. Konieczne staje się budowanie świadomości pracowników i ograniczanie ryzyk wynikających z błędów ludzkich, które przez cały czas pozostają jedną z głównych przyczyn incydentów bezpieczeństwa.
Konieczne będzie również wdrożenie odpowiednich polityk i procedur dotyczących:
(8) stosowania kryptografii i szyfrowania,
(9) bezpieczeństwa zasobów ludzkich, kontroli dostępu oraz zarządzania aktywami informacyjnymi,
a także w określonych przypadkach (10) wdrożenia mechanizmów uwierzytelniania wieloskładnikowego lub innych metod ciągłego uwierzytelniania użytkowników.
Oprócz wdrożenia SZBI obowiązki wynikające z UKSC obejmują także:
- weryfikację personelu realizującego zadania z zakresu cyberbezpieczeństwa i zgłaszania incydentów,
- wyznaczenie osób kontaktowych odpowiedzialnych za komunikację z adekwatnymi organami,
- korzystanie z systemu S46 oraz realizację obowiązków raportowych związanych ze zgłaszaniem incydentów,
- przeprowadzanie audytów.
Istotnym elementem nowych obowiązków stanie się również zapewnienie użytkownikom usług dostępu do wiedzy z zakresu cyberbezpieczeństwa oraz stworzenie możliwości zgłaszania cyberzagrożeń, incydentów lub podatności związanych ze świadczonymi usługami.
Tym samym, nowe regulacje UKSC wymagają stworzenia modelu zarządzania cyberbezpieczeństwem, obejmującego całą organizację. W modelu tym zarząd powinien odpowiadać za nadzór strategiczny i decyzje dotyczące ryzyka. Działy IT oraz cyberbezpieczeństwa odpowiadają za wdrożenie środków technicznych i organizacyjnych. HR musi uwzględnić kwestie szkoleń, świadomości pracowników oraz – coraz częściej – wymagań kompetencyjnych przy rekrutacji. Działy zakupów muszą wdrożyć mechanizmy oceny dostawców i bezpieczeństwa łańcucha dostaw. Prawnicy natomiast stają się łącznikiem pomiędzy regulacją, kontraktami, odpowiedzialnością zarządczą i praktyką biznesową.
Łańcuch dostaw pod szczególnym nadzorem
Szczególne znaczenie w nowych regulacjach zyskuje obszar bezpieczeństwa łańcucha dostaw, który jednocześnie może okazać się jednym z najbardziej wymagających organizacyjnie.
UKSC, idąc za wymaganiami z dyrektywy NIS2, nakłada obowiązek uwzględniania ryzyk związanych z dostawcami, przy czym polskie przepisy koncentrują się w szczególności na produktach, usługach i procesach ICT. Oznacza to konieczność znacznie głębszej analizy relacji z dostawcami technologii, systemów, usług chmurowych czy outsourcingu IT.
W praktyce wiele organizacji już teraz powinno przeprowadzić przegląd istniejących umów, które pozostaną aktywne po 3.4.2027 r. Niezbędne może okazać się uzupełnienie kontraktów o odpowiednie wymagania bezpieczeństwa, obowiązki raportowe, audytowe czy dotyczące zarządzania incydentami.
Wyzwaniem może być również stworzenie odpowiednich procedur zakupowych dla produktów, usług i procesów ICT uwzględniających kwestie cyberbezpieczeństwa. W wielu organizacjach będzie to wymagało całkowitej zmiany podejścia do procesów zakupowych w segmencie ICT – z modelu opartego głównie na efektywności kosztowej na model uwzględniający również odporność cyfrową organizacji.
Sama regulacja to dopiero początek
Dyrektywa NIS2 i nowelizacja UKSC niewątpliwie zwiększają obowiązki regulacyjne przedsiębiorców. Jednak sprowadzenie całej dyskusji dotyczącej cyberbezpieczeństwa wyłącznie do nowych wymagań ustawowych byłoby nadmiernym uproszczeniem.
Skala współczesnych cyberzagrożeń powoduje, iż cyberbezpieczeństwo staje się jednym z podstawowych elementów odporności organizacji. Dotyczy to zarówno dużych grup kapitałowych, jak i podmiotów średniej wielkości, które jeszcze do niedawna nie postrzegały siebie jako potencjalnego celu ataków.
Warto zatem, aby nowe regulacje i płynące z nich wymagania organizacje traktowały jako sygnał, iż bezpieczeństwo cyfrowe stało się integralnym elementem zarządzania przedsiębiorstwem. Organizacje, które potraktują ten proces wyłącznie formalnie, mogą w przyszłości zapłacić znacznie wyższą cenę niż kara administracyjna.
Agnieszka Wachowska – radczyni prawna z kilkunastoletnim doświadczeniem w obsłudze projektów IT. W kancelarii Traple Konarski Podrecki i Wspólnicy uczestniczy w pracach praktyki TMT, kierując zespołem prawa IT, Nowych Technologii i Zamówień Publicznych.
Ekspertka Polskiej Izby Informatyki i Telekomunikacji (PIIT) w obszarze prawa ICT. Zaangażowana w prace grup roboczych, działających przy Prezesie Urzędu Zamówień Publicznych. Brała udział (jako przedstawiciel PIIT) w opracowaniu nowych rekomendacji dotyczących zamówień publicznych na systemy informatyczne. Członek-założyciel Stowarzyszenia Prawa Nowych Technologii, zrzeszającego prawników specjalizujących się w obszarze TMT. W latach 2023-2024 przewodnicząca Komisji ds. LegalTech, działającej przy Okręgowej Izbie Radców Prawnych w Warszawie. Członkini międzynarodowego stowarzyszenia ITech Law.
W 2024 r. laureatka listy Forbes Women „25 Prawniczek w Biznesie”. Wyróżniona indywidualnie w prestiżowych rankingach prawniczych w dziedzinie TMT: Chambers and Partners (Band 2) oraz Legal 500 (Hall of Fame).
