5 Minuty
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wprowadza w Polsce wymogi wynikające z dyrektywy NIS 2 oraz wytycznych Toolbox 5G. Zmiany obejmą nie tylko energetykę i bankowość, lecz także producentów żywności, wodociągi, sektor ICT, a nawet branże takie jak gospodarka ściekowa czy przestrzeń kosmiczna. Najważniejsze: za naruszenia grożą wysokie kary finansowe — w ekstremalnych przypadkach nawet do 100 mln zł.
Nowe obowiązki — kogo obejmą?
Nowe regulacje rozróżniają "podmioty kluczowe" i "podmioty ważne", rozszerzając katalog sektorów podlegających nadzorowi. Oprócz dotychczasowych branż (energia, transport, zdrowie, bankowość, infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa) dodano m.in.: gospodarkę ściekową, zarządzanie ICT, przestrzeń kosmiczną, pocztę, chemię oraz produkcję i dystrybucję żywności.
Obowiązki obejmują m.in.: wdrożenie systemu zarządzania bezpieczeństwem informacji (ISMS), zabezpieczenie łańcucha dostaw ICT, regularną ocenę ryzyka i testy, raportowanie incydentów oraz przeprowadzanie audytów i ćwiczeń reagowania na zdarzenia.
Skala sankcji i kiedy grozi 100 mln zł
Dla podmiotów kluczowych przewidziano kary od min. 20 tys. zł do max. 10 mln EUR (~42,4 mln zł) lub do 2% rocznych przychodów; dla podmiotów ważnych - od min. 15 tys. zł do max. 7 mln EUR (~20 mln zł) lub do 1,4% przychodów. Dodatkowo, za niezastosowanie się do nakazów organu cyberbezpieczeństwa przewidziane są kary dzienne od 500 zł do 100 tys. zł. Maksymalna sankcja — do 100 mln zł — ma obowiązywać w przypadkach, gdy naruszenie przepisów powoduje bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa, życia i zdrowia ludzi, poważnej szkody majątkowej lub trwałych zakłóceń w świadczeniu usług.
Dlaczego te zmiany są kluczowe dla Polski?
Wicepremier i minister cyfryzacji podkreślił, że celem jest zwiększenie odporności kraju w obliczu rosnącego ryzyka ataków hybrydowych. W praktyce oznacza to dbałość o ciągłość zasilania, dostaw wody i bezpieczeństwo sektorów krytycznych — wszystko po to, by w sytuacji kryzysowej uniknąć przerw w dostawach energii lub usług publicznych.
Polski kontekst rynkowy
Dla polskich firm implementacja wymogów będzie zarówno wyzwaniem, jak i szansą. Duże przedsiębiorstwa i instytucje publiczne muszą zintensyfikować inwestycje w SOC, SIEM, zarządzanie tożsamością (IAM) i zabezpieczenia 5G. Dla lokalnych dostawców usług cyberbezpieczeństwa otwiera się rynek usług konsultingowych, audytów i wdrożeń — szczególnie w Warszawie, Wrocławiu czy Poznaniu.
Porównanie z rynkami regionu — co z Litwą i krajami bałtyckimi?
W kontekście współpracy transgranicznej warto odnieść się do doświadczeń Litwy: państwa takie jak Lietuva szybko wdrażają podobne regulacje, a integracja standardów ułatwia współpracę operatorów infrastruktury i wymianę informacji. Przedsiębiorstwa działające na Lietuvos rinka oraz firmy lietuviams aktywne w Polsce będą musiały ujednolicić procedury — szczególnie istotne dla dostawców ICT i operatorów 5G w Vilniuje czy Kaune.
Funkcje, które warto wdrożyć — praktyczne rekomendacje
Firmy powinny skoncentrować się na kilku kluczowych elementach bezpieczeństwa:
- Wdrożenie ISMS zgodnego z ISO 27001 lub równoważnym standardem.
- Systemy detekcji i reagowania (EDR, XDR), integracja z SIEM i dedykowany SOC.
- Zarządzanie ryzykiem łańcucha dostaw: audyty dostawców, klauzule bezpieczeństwa w umowach.
- Testy odporności i ćwiczenia incydentowe oraz plany ciągłości działania (BCP/DRP).
- Zabezpieczenia dla sieci 5G i architektur chmurowych zgodne z zaleceniami Toolbox 5G.
Zalety wdrożeń: lepsza ochrona przed utratą danych, mniejsze ryzyko przerw w działaniu, wzrost zaufania klientów i kontrahentów oraz zgodność z unijnymi wymogami, co przyspiesza ekspansję na rynki UE.
.avif)
Przykładowe use case’y dla polskich firm
Wodociągi: monitoring ICS/SCADA, segmentacja sieci, plany awaryjne. Bankowość: szyfrowanie danych, monitoring transakcji i procedury reagowania na wyciek. Przemysł spożywczy: zabezpieczenie łańcucha dostaw, audyty dostawców surowców. Wszystkie te sektory w Polsce będą musiały uwzględnić lokalne regulacje i specyfikę rynkową przy wdrożeniach.
Co to oznacza dla konsumentów i małych firm?
Dla konsumentów implementacja nowych zasad powinna oznaczać większą stabilność usług i lepszą ochronę danych. Małe firmy będą natomiast musiały wykazać większą staranność przy wyborze partnerów i dostawców ICT — bo odpowiedzialność łańcucha dostaw może przełożyć się na kontraktowe obowiązki i ryzyko finansowe.
Podsumowanie i kroki do podjęcia
Nowelizacja ustawy o KSC to istotny krok w kierunku wzmocnienia cyberodporności Polski. Termin implementacji NIS 2 minął 18 października 2024 r., a obecna wersja prawa z 2018 r. wymaga uaktualnienia. Przedsiębiorstwa powinny jak najszybciej przeprowadzić audyt zgodności, zaplanować inwestycje w technologie bezpieczeństwa i skontaktować się z lokalnymi dostawcami usług — zarówno w Polsce, jak i w krajach sąsiednich, jak Lietuva, by zapewnić spójność procedur transgranicznych.
Źródło: bankier
Zostaw komentarz