Jak przygotować się na wejście w życie ustawy KSC – praktyczna lista działań dla zarządów i CISO
2025-11-26 13:16:38Implementacja Dyrektywy NIS 2 do polskiego porządku prawnego wchodzi w decydującą fazę. Nowelizacja ustawy o KSC (Ustawy o Krajowym Systemie Cyberbezpieczeństwa) nie jest jedynie kosmetyczną zmianą przepisów, ale fundamentalną przebudową podejścia do cyfrowej odporności państwa. Dla firm i instytucji oznacza to koniec okresu, w którym cyberbezpieczeństwo było „dobrą praktyką”, a początek ery, w której staje się ono twardym wymogiem prawnym, obwarowanym surowymi sankcjami.
Nowy krajobraz regulacyjny: Kogo dotyczy NIS 2?
Najważniejszą zmianą, jaką wprowadza Projekt ustawy KSC, jest odejście od wydawania decyzji administracyjnych o uznaniu za operatora usługi kluczowej. Zamiast tego, ustawa wprowadza mechanizm samoidentyfikacji. To na przedsiębiorcy spoczywa ciężar ustalenia, czy podlega pod nowe przepisy.
Ustawodawca wprowadza podział na dwie kategorie podmiotów, uzależniony od sektora działalności oraz wielkości przedsiębiorstwa:
1. Podmioty kluczowe NIS2
Do tej kategorii należą podmioty z sektorów krytycznych dla gospodarki i społeczeństwa, które zazwyczaj (choć nie zawsze) są dużymi przedsiębiorstwami. Są to m.in.:
Sektor energetyczny (elektryczność, ciepłownictwo, paliwa, wodór),
Transport (lotniczy, kolejowy, wodny, drogowy),
Bankowość i infrastruktura rynków finansowych (choć tu pierwszeństwo mają regulacje DORA),
Sektor zdrowia (w tym laboratoria, produkcja farmaceutyczna),
Administracja publiczna (podmioty publiczne są z zasady kluczowe, niezależnie od wielkości),
Infrastruktura cyfrowa i zarządzanie usługami ICT (B2B).
Wielkość podmiotu NIS2 ma tu kluczowe znaczenie: co do zasady są to podmioty duże (powyżej 250 pracowników lub obrót >50 mln EUR). Jednakże istnieją wyjątki – np. dostawcy usług DNS, kwalifikowani dostawcy usług zaufania czy podmioty publiczne są podmiotami kluczowymi niezależnie od wielkości.
2. Podmioty ważne NIS2
Kategoria ta obejmuje szerokie spektrum średnich przedsiębiorstw (od 50 do 249 pracowników lub obrót >10 mln EUR) działających w sektorach kluczowych oraz nowych sektorach objętych regulacją, takich jak:
Usługi pocztowe i kurierskie,
Gospodarowanie odpadami,
Produkcja, przetwarzanie i dystrybucja żywności,
Produkcja (wyrobów medycznych, komputerów, pojazdów itd.),
Dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki).
Rejestr podmiotów NIS2
Fundamentalną zmianą jest obowiązek rejestracji. Projekt ustawy KSC zakłada, że podmioty, które zidentyfikują się jako kluczowe lub ważne, będą miały obowiązek złożyć wniosek o wpis do wykazu w terminie 3 miesięcy od dnia spełnienia przesłanek (lub od wejścia w życie harmonogramu ogłoszonego przez Ministra Cyfryzacji).
Obowiązki podmiotów NIS2 – co się zmienia?
Implementacja NIS2 w Polsce nakłada na organizacje cztery główne filary obowiązków. Nie są to już zalecenia, lecz twarde wymogi prawne.
1. System Zarządzania Bezpieczeństwem Informacji
Podmioty muszą wdrożyć adekwatne i proporcjonalne środki techniczne i organizacyjne. Ustawa (art. 8 projektu) precyzuje, że zarządzanie bezpieczeństwem musi być procesem ciągłym i udokumentowanym. System ten musi obejmować m.in.:
Polityki bezpieczeństwa systemów informacyjnych.
Zarządzanie incydentów.
Ciągłość działania (Business Continuity) i zarządzanie kryzysowe.
Cyberbezpieczeństwo łańcucha dostaw NIS2 – to nowość i ogromne wyzwanie. Podmioty muszą weryfikować bezpieczeństwo swoich dostawców usług i produktów ICT.
Stosowanie kryptografii i szyfrowania.
Bezpieczeństwo zasobów ludzkich i kontrolę dostępu.
2. Zgłaszanie incydentów NIS 2
Procedura raportowania została znacznie zaostrzona. KSC wprowadza kaskadowy model zgłaszania incydentów poważnych do właściwego CSIRT (sektorowego, a w jego braku – poziomu krajowego: NASK, GOV lub MON):
Wczesne ostrzeżenie (Early Warning): W ciągu 24 godzin od wykrycia incydentu. Ma ono na celu zasygnalizowanie, czy incydent może mieć skutki transgraniczne lub czy jest wynikiem celowego ataku.
Zgłoszenie incydentu: W ciągu 72 godzin – pełniejsza informacja o zdarzeniu (wstępna ocena, skutki, wskaźniki kompromitacji).
Raport końcowy: Nie później niż miesiąc od zgłoszenia.
3. Obowiązkowy Audyt KSC
Podmioty kluczowe będą zobowiązane przeprowadzać zewnętrzny audyt bezpieczeństwa systemu informacyjnego co najmniej raz na 3 lata. Audyt ten musi być wykonany przez akredytowaną jednostkę lub audytorów spełniających ustawowe wymogi kompetencyjne. Podmioty ważne podlegają audytom w trybie nadzoru następczego lub na wezwanie organu w przypadku nieprawidłowości.
4. Odpowiedzialność zarządu NIS2 i szkolenia
To znacząca zmiana. Projekt ustawy o KSC (art. 8c) stanowi wprost, że kierownik podmiotu (Zarząd) ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa. Odpowiedzialności tej nie można w pełni scedować. Co więcej, członkowie organów zarządzających mają obowiązek odbywać szkolenia cyberbezpieczeństwo NIS2, aby posiadać wiedzę niezbędną do nadzoru nad tymi procesami.
Harmonogram i Vacatio Legis – ile mamy czasu?
Analizując przepisy przejściowe nowelizacji ustawy o KSC (wersja z 3.10.2024), kluczowe są następujące terminy:
Wejście w życie: Ustawa wchodzi w życie po upływie 1 miesiąca od dnia ogłoszenia, tutaj wiemy, że tak się nie stało.
Okres dostosowawczy: Zgodnie z art. 25 projektu, podmioty, które w dniu wejścia w życie ustawy spełniają przesłanki uznania za podmiot kluczowy lub ważny, mają 6 miesięcy na wdrożenie obowiązków określonych w Rozdziale 3 (czyli m.in. wdrożenie SZBI, szacowanie ryzyka, procedury reakcji na incydent).
Pierwszy audyt: Podmioty kluczowe muszą przeprowadzić pierwszy audyt w terminie 24 miesięcy od wejścia w życie ustawy.
Rejestracja: Minister właściwy ds. informatyzacji ogłosi harmonogram składania wniosków o wpis do wykazu. Proces ten ma trwać maksymalnie do kwietnia 2025 r. (zgodnie z założeniami dyrektywy, choć termin ten może ulec przesunięciu w zależności od daty uchwalenia ustawy).
Wniosek: Czasu jest bardzo mało. 6 miesięcy na zbudowanie lub dostosowanie systemu zarządzania bezpieczeństwem, łańcuchem dostaw i procedur reakcji na incydent to dla dużej organizacji niezwykle ambitny termin.
Sankcje NIS2 – cena zaniechania
Brak zgodności z ustawą wiąże się z dotkliwymi konsekwencjami finansowymi. Kary NIS2 mają być „skuteczne, proporcjonalne i odstraszające”.
Dla podmiotów kluczowych: Kara może wynieść do 10 000 000 EUR lub 2% łącznego rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa).
Dla podmiotów ważnych: Do 7 000 000 EUR lub 1,4% obrotu.
Dla kierowników podmiotów: Organ nadzoru może nałożyć karę pieniężną na kierownika podmiotu (np. Prezesa Zarządu) w wysokości do 600% jego wynagrodzenia, jeśli nie dopełni on obowiązków nadzorczych lub nie zapewni realizacji audytów i szkoleń.
Lista działań dla CISO i Zarządu
Aby sprostać wymogom NIS2, organizacje powinny natychmiast przystąpić do działań. Poniżej prezentujemy priorytetową listę zadań.
Dla Zarządu (CEO, COO, CFO):
Weryfikacja statusu: Ustalenie, czy firma jest podmiotem kluczowym czy ważnym w świetle załączników do ustawy (analiza kodów PKD, wielkości zatrudnienia i finansów).
Budżetowanie: Zabezpieczenie środków na cyberbezpieczeństwo. Wymagania NIS2 oznaczają koszty, nie tylko technologii, ale także audytów, szkoleń i obsługi prawnej.
Szkolenia: Zaplanowanie szkoleń dla Zarządu. Jest to wymóg ustawowy, którego zignorowanie skutkuje bezpośrednią odpowiedzialnością osobistą.
Governance: Formalne włączenie kwestii cyberbezpieczeństwa do agendy posiedzeń Zarządu. Nadzór nad zarządzaniem ryzykiem nie może być fasadowy.
Dla CISO / Działu Bezpieczeństwa:
Gap Analysis (Analiza luk): Przeprowadzenie audytu zerowego. Porównanie obecnego stanu zabezpieczeń (np. wg ISO 27001) z nowymi wymogami ustawy KSC.
Inwentaryzacja aktywów i procesów: Precyzyjne określenie, które systemy informacyjne wspierają usługi kluczowe/ważne.
Aktualizacja dokumentacji: Dostosowanie polityk bezpieczeństwa, planów ciągłości działania (BCP) i planów odtwarzania awaryjnego (DRP).
Procedury reagowania na incydent: Przetestowanie ścieżki zgłaszania incydentów. Czy organizacja jest w stanie wykryć incydent i zaraportować go w ciągu 24h?
Audyt łańcucha dostaw: Rozpoczęcie weryfikacji kluczowych dostawców IT/OT. Czy umowy zawierają odpowiednie klauzule bezpieczeństwa? Czy dostawcy są gotowi na NIS2?
Jak przyspieszyć proces wdrożenia?
Samodzielna implementacja wymogów NIS2, szczególnie w obszarze technicznym i audytowym, może być wyzwaniem czasowym i kompetencyjnym. Warto rozważyć wsparcie zewnętrzne, szczególnie na etapie analizy luk i przygotowania do audytu.
Partnerzy technologiczni, tacy jak Tenesys, dysponują doświadczeniem w zakresie bezpieczeństwa infrastruktury i zgodności regulacyjnej. Współpraca z wyspecjalizowanym podmiotem pozwala z jednej strony na obiektywną ocenę stanu bezpieczeństwa (niezależne spojrzenie z zewnątrz), a z drugiej umożliwia organizacjom przejść przez proces dostosowawczy szybko i efektywnie, skupiając się na krytycznych obszarach wymagających poprawy przed upływem 6-miesięcznego vacatio legis. Zewnętrzne wsparcie jest szczególnie cenne przy mapowaniu procesów technicznych na wymogi prawne oraz przy wdrażaniu mechanizmów ciągłego monitorowania i raportowania incydentów.
Podsumowanie
Nowelizacja ustawy o KSC wdrażająca NIS2 to nie tylko biurokracja. To wymuszenie profesjonalizacji i standaryzacji cyberbezpieczeństwa w Polsce. Odpowiedzialność przesuwa się z działów IT bezpośrednio na sale posiedzeń zarządów.
Kluczem do sukcesu nie jest „kupienie bezpieczeństwa”, lecz zbudowanie procesu. Biorąc pod uwagę krótkie terminy wdrożenia NIS2, organizacje, które jeszcze nie rozpoczęły analizy swojego statusu i luk w zabezpieczeniach, działają już w strefie ryzyka. Pamiętajmy: sankcje NIS2 są realne, ale jeszcze bardziej realne są zagrożenia cyfrowe, przed którymi ustawa ma nas chronić.