NIS 2 a RODO. Jak podmioty kluczowe i ważne mają przygotować się na incydenty cyberbezpieczeństwa ebook

NIS 2 a RODO. Jak podmioty kluczowe i ważne mają przygotować się na incydenty cyberbezpieczeństwa

Copyright © Warszawa 2026 by Wiedza i Praktyka sp. z o.o.

Autorzy: Ewa Lewańska, Maciej Lipka

Redakcja: Anna Śmigulska-Wojciechowska

Korekta: Zespół

Koordynator produkcji: Mariusz Jezierski

Koordynator projektów wydawniczych: Anna Jagodzińska

Content & Publishing Leader: Marta Grabowska-Peda

Projekt graficzny okładki: Agnieszka Makowska

Zdjęcie na okładce: Freepick

Skład i łamanie: Agnieszka Makowska

Wydanie I 

Stan prawny: marzec 2026 r.

ISBN: 978-83-8409-642-0

Kod produktu: 1BG58

Wydawca:

Wiedza i Praktyka sp. z o.o.

03-918 Warszawa, ul. Łotewska 9a

tel. 22 518 29 29, faks 22 617 60 10

www.wip.pl

Publikacja uwzględnia stan prawny obowiązujący na dzień 16 marca 2026 r.

Niniejsza publikacja oraz wszystkie zawarte w niej teksty, grafiki i materiały są chronione prawem autorskim. Żadna część tego e-booka nie może być reprodukowana, przechowywana w systemach wyszukiwania lub transmitowana w jakiejkolwiek formie i jakimikolwiek środkami – elektronicznymi, mechanicznymi, kopiowania, nagrywania lub innymi – bez uprzedniej pisemnej zgody Redakcji.

Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło.

Treści zawarte w niniejszej publikacji mają charakter wyłącznie informacyjny i edukacyjny. Publikacja została przygotowana z zachowaniem najwyższej staranności oraz z wykorzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Niemniej jednak zawiera ona ogólne wskazówki i nie powinna być traktowana jako indywidualna porada prawna, finansowa, medyczna ani żadna inna forma profesjonalnej konsultacji.

Redakcja nie ponosi odpowiedzialności za decyzje podjęte na podstawie informacji zawartych w tej publikacji. W przypadku potrzeby uzyskania specjalistycznej porady zaleca się konsultację z odpowiednim ekspertem lub specjalistą w danej dziedzinie.

Spis treści

Katalog podmiotów ważnych i kluczowych według ustawy KSC 6

Sprzęt i infrastruktura podmiotów na podstawie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa 14

NIS 2 a rola CSIRT w zarządzaniu incydentami cyberbezpieczeństwa 20

Zakres obowiązków podmiotów ważnych i kluczowych wynikających ze znowelizowanych przepisów o cyberbezpieczeństwie 27

WZÓR 29

Katalog podmiotów ważnych i kluczowych według ustawy KSC

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi istotny etap dostosowania polskiego porządku prawnego do wymogów dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. W debacie publicznej dominują kwestie zarządzania ryzykiem, raportowania incydentów oraz sankcji, jednak kluczowym elementem pozostaje katalog podmiotów objętych tymi obowiązkami, określający zakres podmiotowyregulacji.

To właśnie katalog podmiotów objętych systemem cyberbezpieczeństwa przesądza o tym, kto w ogóle podlega ustawie i kto zostaje włączony do krajowego systemu cyberbezpieczeństwa. Bez tej kwalifikacji nie powstają obowiązki szczególne, nie uruchamia się nadzór ani nie aktualizują się mechanizmy reagowania na incydenty. Z perspektywy przedsiębiorców omawiany katalog jest więc punktem wyjścia do oceny własnejsytuacji.

Rola katalogu w konstrukcji ustawy

Ustawa o krajowym systemie cyberbezpieczeństwa opiera się na założeniu, że nie wszystkie podmioty funkcjonujące w gospodarce muszą podlegać jednakowym wymaganiom w zakresie cyberbezpieczeństwa. Regulacja koncentruje się na tych organizacjach, których działalność ma istotne znaczenie dla funkcjonowania państwa, bezpieczeństwa obywateli lub ciągłości kluczowychusług.

Katalog podmiotów pełni w tym modelu funkcję selekcyjną. Ustawodawca wskazuje sektory i rodzaje działalności, które uznaje za wrażliwe z punktu widzenia odporności systemowej. Dopiero podmioty mieszczące się w tym katalogu podlegają dalszej kwalifikacji oraz szczególnym obowiązkom wynikającym z ustawy.

W nowelizacji katalog został istotnie rozszerzony, co oznacza, że wiele podmiotów, które do tej pory funkcjonowały poza reżimem krajowego systemu cyberbezpieczeństwa, będzie musiało po raz pierwszy zmierzyć się z formalnymi obowiązkami w zakresie bezpieczeństwa systemówinformacyjnych.

Podmioty objęte ustawą: nowe podejście sektorowe

Dotychczasowe regulacje były postrzegane jako skierowane przede wszystkim do operatorów infrastruktury krytycznej oraz wybranych dostawców usług cyfrowych. Nowelizacja zmienia tę perspektywę, wprowadzając podejście sektorowe, zbliżone do rozwiązań przyjętych w dyrektywie NIS2.

Katalog podmiotów został oparty na wybranych sektorach i pod sektorach działalności. Obejmują one zarówno obszary tradycyjnie uznawane za infrastrukturę krytyczną, jak i sektory, których znaczenie dla bezpieczeństwa państwa i ciągłości usług publicznych ujawniło się wraz z postępującą cyfryzacjągospodarki.

Do sektorów objętych ustawą o krajowym systemie cyberbezpieczeństwa należą w szczególności:

Samo przypisanie do sektora nie oznacza jednak automatycznego objęcia obowiązkami. Jest to pierwszy etap kwalifikacji, który musi zostać uzupełniony o ocenę skali działalności oraz znaczenia danego podmiotu dla funkcjonowaniasystemu.

Podmioty kluczowe i podmioty ważne

Centralnym elementem nowego katalogu jest podział podmiotów na podmioty kluczowe oraz podmioty ważne. To rozróżnienie ma charakter systemowy i wynika bezpośrednio z dyrektywy NIS2.

Uwaga

Podmioty kluczowe to te organizacje, których działalność ma szczególne znaczenie dla funkcjonowania państwa lub gospodarki. Zakłócenie ich usług może prowadzić do poważnych skutków w skali krajowej lub regionalnej. Wobec tej kategorii ustawodawca przewiduje najbardziej rygorystyczne obowiązki oraz intensywniejszynadzór.

Podmioty ważne również działają w sektorach istotnych z punktu widzenia cyberbezpieczeństwa, jednak ich wpływ systemowy jest co do zasady mniejszy. Nie oznacza to braku obowiązków, lecz ich pewne zróżnicowanie w zakresie oczekiwań organizacyjnych, jak i praktyki nadzorczej.

Kwalifikacja do katalogu: obowiązek samooceny

Włączenie do katalogu podmiotów nie następuje na zasadzie dobrowolności. Jeżeli przedsiębiorca prowadzi działalność w sektorze objętym ustawą i spełnia określone kryteria, podlega reżimowi krajowego systemu cyberbezpieczeństwaz mocyprawa.

O zakwalifikowaniu podmiotu jako kluczowego lub ważnego nie decyduje wyłącznie sektor, w którym prowadzi on działalność. Ustawa oraz rozwiązania przyjęte w dyrektywie NIS 2 opierają się na zestawie kryteriów, które mają odzwierciedlać rzeczywiste znaczenie danego podmiotu dla bezpieczeństwa i ciągłościusług.

Ważne

Nowelizacja zakłada, że to sam podmiot powinien dokonać wstępnej oceny swojej sytuacji („samoidentyfikacji”). W praktyce brane pod uwagę są w szczególności:

Brak formalnej decyzji administracyjnej wprowadzającej do katalogu nie zwalnia z odpowiedzialności. Kwalifikacja do katalogu może stać się przedmiotem oceny ze strony organu nadzoru, w szczególności w toku kontroli. Jeżeli organ uzna, że podmiot błędnie wyłączył się spod reżimu ustawy lub nieprawidłowo określił swój status, konsekwencje mogą obejmować nie tylko nakaz wdrożenia obowiązków, lecz także sankcje za ich wcześniejsze niewykonywanie. Ta kwestia budzi bardzo dużekontrowersje.

Skutki wejścia do katalogu podmiotów KSC

Zakwalifikowanie do katalogu podmiotów krajowego systemu cyberbezpieczeństwa uruchamia określony zestaw obowiązków o charakterze organizacyjnym, technicznym i zarządczym. Ich wspólnym mianownikiem jest konieczność podejścia do cyberbezpieczeństwa w sposób systemowy, oparty na analizie ryzyka i ciągłym doskonaleniu przyjętych środkówochrony.

Uwaga

Podmiot objęty ustawą zobowiązany jest do identyfikowania i oceny ryzyk dla swoich systemów informacyjnych oraz do wdrożenia adekwatnych środków technicznych i organizacyjnych. Obejmuje to m.in. polityki bezpieczeństwa, procedury reagowania na incydenty, rozwiązania zapewniające ciągłość działania i odtwarzanie po awarii, a także mechanizmy ograniczające ryzyka wynikające z korzystania z usług dostawcówzewnętrznych.

Istotnym elementem systemu jest obowiązek zgłaszania poważnych incydentów do właściwych zespołów CSIRT. Wymaga to od podmiotów nie tylko zdolności technicznej do wykrywania zdarzeń, lecz także jasnych procedur decyzyjnych pozwalających na szybką ocenę ich znaczenia i eskalację na poziomkrajowy.

Nowelizacja wyraźnie akcentuje również rolę kierownictwa. Cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem operacyjnym, a staje się elementem nadzoru właścicielskiegoi odpowiedzialności zarządczej, obejmującym akceptację ryzyka, nadzór nad wdrażaniem środków ochrony oraz zapewnienie odpowiednichzasobów.

Istotną nowością jest silne powiązanie katalogu podmiotów z koncepcją bezpieczeństwa łańcuchów dostaw. Włączenie do systemu cyberbezpieczeństwa może dotyczyć nie tylko podmiotów bezpośrednio świadczących usługi kluczowe, lecz także organizacji pełniących funkcję krytycznych dostawców technologii, usług lub rozwiązań informatycznych dla podmiotówkluczowych.

Podmioty objęte katalogiem podlegają nadzorowi właściwych organów, które są uprawnione do prowadzenia kontroli oraz stosowania środków egzekucyjnych, w tym kar pieniężnych. Nadaje to regulacji realny, a nie wyłącznie deklaratywnycharakter.

Katalog a zasada proporcjonalności

Jednym z najczęściej podnoszonych argumentów w dyskusji nad nowelizacją jest kwestia proporcjonalności. Rozszerzenie katalogu oznacza, że obowiązki obejmą również podmioty, które dotychczas nie posiadały rozbudowanych struktur bezpieczeństwa ani dedykowanychzespołów.

Ustawodawca deklaruje jednak, że wymagania mają być stosowane z uwzględnieniem skali działalności oraz realnego poziomu ryzyka. Katalog nie oznacza automatycznie identycznych obowiązków dla wszystkich – ma raczej wyznaczać ramy, w których środki bezpieczeństwa powinny być dostosowane do charakteru i znaczenia danegopodmiotu.

Zakres obowiązków oraz intensywność nadzoru są zróżnicowane w zależności od tego, czy dany podmiot został zakwalifikowany jako kluczowy, czy jako ważny. Wobec podmiotów kluczowych ustawodawca przewiduje bardziej rygorystyczne podejście, obejmujące wyższe oczekiwania co do dojrzałości procesów bezpieczeństwa, częstsze kontrole oraz priorytetowe traktowanie zgłaszanychincydentów.

Podmioty ważne również podlegają obowiązkom wynikającym z ustawy, jednak ich stosowanie ma uwzględniać mniejszą skalę oddziaływania systemowego. Zróżnicowanie to ma realizować zasadę proporcjonalności i ograniczać ryzyko nadmiernego obciążenia regulacyjnego, przy jednoczesnym zachowaniu spójnego poziomu bezpieczeństwa w całymsystemie.

Znaczenie katalogu dla praktyki biznesowej

Z perspektywy przedsiębiorców katalog podmiotów KSC pełni funkcję sygnału ostrzegawczego. Jeżeli działalność firmy mieści się w sektorach objętych ustawą, oznacza to konieczność przeprowadzenia oceny i wcześniejszego przygotowania się na nowe realiaregulacyjne.

Będzie to więc impuls do uporządkowania obszarów, które dotąd funkcjonowały fragmentarycznie: dokumentacji bezpieczeństwa, zarządzania incydentami, relacji z dostawcami IT czy raportowania ryzyk dozarządu.

Ważne

Logika katalogu podmiotów objętych krajowym systemem cyberbezpieczeństwa będzie intuicyjnie zrozumiała przez analogię do RODO. W obu przypadkach kluczowe znaczenie ma prawidłowa identyfikacja własnej roli, skali działalności oraz wpływu na otoczenie. Błędna samoocena może prowadzić do iluzorycznego poczucia bezpieczeństwa regulacyjnego, które weryfikowane jest dopiero na etapiekontroli.

Nowe grupy przedsiębiorców

Katalog podmiotów w ustawie o krajowym systemie cyberbezpieczeństwa stanowi fundament całej regulacji. To on decyduje o tym, kto zostaje włączony do systemu i kto musi spełniać szczególne wymagania w zakresie ochrony systemówinformacyjnych.

Nowelizacja znacząco poszerzy ten katalog, obejmując nowe sektory i nowe grupy przedsiębiorców. Dla wielu z nich będzie to pierwsze zetknięcie z tak rozbudowanym reżimem cyberbezpieczeństwa. W praktyce oznacza to konieczność spojrzenia na bezpieczeństwo nie jako na koszt czy problem techniczny, lecz jako na element trwałego zarządzania ryzykiem i odpowiedzialnościbiznesowej.

Ważne

Status podmiotu objętego katalogiem nie ma charakteru trwałego i niezmiennego. Zmiana skali działalności, rozszerzenie zakresu usług, wejście w nowe łańcuchy dostaw lub rozpoczęcie współpracy z podmiotami kluczowymi może prowadzić do ponownej oceny pozycji przedsiębiorcy na gruncieustawy.

Katalog podmiotów należy więc postrzegać jako konstrukcję dynamiczną, wymagającą okresowej weryfikacji wraz z rozwojem działalności biznesowej i zmianą otoczeniaregulacyjnego.

Podstawa prawna:

Sprzęt i infrastruktura podmiotów na podstawie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, ma wzmacniać odporność cyfrową państwa poprzez doprecyzowanie obowiązków podmiotów kluczowych i ważnych, w tym wymagań dotyczących sprzętu oraz infrastruktury teleinformatycznej. Zmiany będą miały istotne znaczenie dla wielu przedsiębiorstw w Polsce.

Zmiany prawa wiążą się z wprowadzeniem kilku istotnych nowości. Dla niektórych szczególnie ważny będzie fakt, że sprzęt oraz infrastruktura teleinformatyczna przestają być postrzegane wyłącznie jako zaplecze techniczne pozostające w sferze swobodnych decyzji organizacyjnych, a stają się obszarem objętym konkretnymi obowiązkami regulacyjnymi oraz oceną ryzyka. W konsekwencji, podmioty objęte ustawą powinny już zacząć myśleć o przygotowaniach do nadchodzącychzmian.

Sprzęt jako element systemu bezpieczeństwa państwa

Nowelizacja ustawy wyraźnie zmienia sposób patrzenia na sprzęt ICT. Nie jest on już neutralnym narzędziem technicznym, lecz potencjalnym elementem infrastruktury krytycznej z punktu widzenia bezpieczeństwa państwa. Ustawa posługuje się pojęciem produktu ICT, przez który należy rozumieć element lub grupę elementów sieci lub systemów informatycznych. Chodzi więc o np. urządzenia sieciowe, serwery, systemy pamięci masowej, elementy infrastruktury chmurowej czy specjalistyczny sprzęt przemysłowy wykorzystywany w systemachsterowania.

ICT, czyli?

Na gruncie nowelizacji ustawy pojęcie ICT (ang. Information and Communications Technology; technologie informacyjno-komunikacyjne) ma znaczenie normatywne i nie ogranicza się wyłącznie do potocznie rozumianego sprzętu IT. Ustawa, odwołując się do definicji zawartych w rozporządzeniu 2019/881, obejmuje zakresem ICT produkty, takie jak urządzenia i oprogramowanie, lecz także usługi oraz procesy związane z przetwarzaniem, przechowywaniem i transmisjądanych.

Oznacza to, że regulacjom podlegają zarówno fizyczne komponenty infrastruktury, jak i sposób ich wykorzystania w ramach systemów informacyjnych, w tym procesy operacyjne oraz usługi świadczone z użyciem technologii informacyjno-komunikacyjnych.

Kluczowe znaczenie ma tu cykl życia sprzętu: od projektowania i produkcji, przez dystrybucję i wdrożenie, aż po utrzymanie i wycofanie z eksploatacji. W tym ujęciu istotne staje się również planowanie wycofania sprzętu z eksploatacji w sposób, który nie generuje dodatkowych podatności ani ryzyk dla systemówinformacyjnych.

Ważne

Nowelizacja ustawy KSC, poprzez obowiązek zarządzania ryzykiem, kładzie nacisk na to, aby sprzęt wykorzystywany przez podmioty kluczowe i ważne:

Sprzęt staje się więc przedmiotem oceny ryzyka, a nie tylko elementem wyposażeniaIT.

Obowiązki podmiotów a sprzęt i infrastruktura

Kwestie sprzętu i infrastruktury bezpośrednio wiążą się z obowiązkami nałożonymi na podmioty kluczowe i ważne. W szczególności elementy te podlegają systematycznej identyfikacji oraz ocenie ryzyka w ramach systemu zarządzania bezpieczeństweminformacji.

Uwaga

W praktyce oznacza to konieczność uwzględniania sprzętu i infrastruktury w takich obszarachjak:

Infrastruktura teleinformatyczna – więcej niż sieć i serwerownia

Nowelizacja obejmuje reżimem prawnym szerokie spektrum zasobów cyfrowych, które dotychczas często pozostawały poza ścisłym nadzorem KSC. Obejmuje ona nie tylko klasyczne sieci teleinformatyczne, aletakże:

Szczególną uwagę poświęcono usługom centrów przetwarzania danych oraz chmurze obliczeniowej, które wprost zostały objęte reżimem ustawy. Oznacza to, że infrastruktura, nawet jeśli jest zewnętrzna lub współdzielona, pozostaje częścią systemu odpowiedzialności podmiotu korzystającego z usług.

W konsekwencji podmioty objęte ustawą muszązapewnić:

Przykład

Podmiot kluczowy, który decyduje się na korzystanie z zewnętrznego centrum przetwarzania danych lub usług chmurowych, nadal odpowiada za bezpieczeństwo systemów informacyjnych wykorzystywanych do realizacji jego zadań. Nowelizacja ustawy przesuwa akcent z samego faktu posiadania infrastruktury na sposób jej wykorzystania i nadzoru, niezależnie od tego, czy zasoby techniczne znajdują się wewnątrz organizacji, czy pozanią.

Dostawcy sprzętu i infrastruktury jako element łańcucha bezpieczeństwa

Jedną z istotnych zmian w nowelizacji jest wyraźne włączenie dostawców sprzętu i usług ICT do ekosystemu cyberbezpieczeństwa. Ustawa identyfikuje ich jako odrębną kategorię podmiotów, co podkreśla, że bezpieczeństwo infrastruktury nie kończy się naorganizacji.

Ważne

Dla podmiotów kluczowych i ważnych oznacza tokonieczność:

Sprzęt i infrastruktura nie powinny być więc oceniane wyłącznie pod kątem wydajności czy ceny, lecz w kontekście długoterminowego bezpieczeństwa i stabilnościdziałania.

Podmioty kluczowe będą miały obowiązek wycofania produktów ICT od dostawcy uznanego decyzją administracyjną za dostawcę wysokiego ryzyka w terminie do 7lat.

Infrastruktura a incydenty na dużą skalę

Nowelizacja wprowadza pojęcie incydentów w cyberbezpieczeństwie na dużą skalę, których skutki mogą przekraczać możliwości reagowania pojedynczego podmiotu lub nawet państwa. W tym kontekście infrastruktura, a także jej architektura, centralizacja lub nadmierna koncentracja, staje się czynnikiem ryzykasystemowego.

Przykład

Wyobraźmy sobie podmiot z sektora gospodarki komunalnej, który centralnie przetwarza dane oraz steruje infrastrukturą operacyjną, np. systemami uzdatniania wody lub odprowadzania ścieków, w jednym, silnie skoncentrowanym środowisku IT. Atak typu ransomware lub awaria kluczowego systemu zarządzania może w takim modelu doprowadzić jednocześnie do utraty dostępu do systemów operacyjnych, danych oraz narzędzi monitorujących, skutecznie paraliżując świadczenie usług na dużymobszarze.

W takim scenariuszu incydent przestaje być problemem pojedynczej organizacji. Jego skutki rozciągają się na bezpieczeństwo publiczne. To właśnie tego rodzaju sytuacje ustawodawca identyfikuje jako incydenty w cyberbezpieczeństwie na dużą skalę, wobec których kluczowe znaczenie ma odporna architektura infrastruktury, odpowiednia segmentacja systemów oraz gotowość do skoordynowanej współpracy właściwymiorganami.

Ustawa pośrednio wymuszawięc:

Bezpieczny sprzęt i infrastruktura

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jasno pokazuje, że bezpieczny system zaczyna się od bezpiecznego sprzętu i przemyślanej infrastruktury. Procedury, polityki i dokumenty są ważne, ale to właśnie fizyczne i logiczne komponenty IT decydują o realnej odporności nazagrożenia.

Choć ustawa formalnie jeszcze nie weszła w życie, wyznacza właściwe kierunki, w których warto podążać. Dla podmiotów objętych nowymi regulacjami to moment, aby spojrzeć na swoją infrastrukturę z perspektywy bezpieczeństwa państwa i odpowiedzialności systemowej

Podstawa prawna:

NIS 2 a rola CSIRT w zarządzaniu incydentami cyberbezpieczeństwa

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa implementująca dyrektywę NIS 2 wprowadza istotne zmiany w zarządzaniu incydentami cyberbezpieczeństwa, porządkując odpowiedzialność podmiotów kluczowych i ważnych, operatorów usług kluczowych oraz wzmacniając rolę zespołów CSIRT. Reagowanie na incydenty cyberbezpieczeństwa staje się integralnym elementem formalnego systemu bezpieczeństwa państwa, z jasno zdefiniowanymi kompetencjami, obowiązkami raportowania i kanałami współpracy zgodnymi z wymogami NIS2.

Ważne miejsce w tym systemie zajmują Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (Computer Security Incident Response Team, CSIRT), czyli wyspecjalizowane podmioty systemowe, działające na poziomie krajowym, a niedługo także sektorowym. To właśnie im ustawa przypisuje zadania koordynacyjne, analityczne i wspierające w obsłudzeincydentów.

CSIRT-y krajowe

Ustawa w aktualnym brzmieniu wskazuje trzy zespoły o charakterze krajowym, pełniące funkcję filarówsystemu:

Zespoły te tworzą fundament państwowego reagowania na incydenty cyberbezpieczeństwa, pełniąc funkcję centralnych punktów reagowania i wymiany informacji. Ich zadania obejmują m.in.:

CSIRT-y sektorowe

Kluczowym elementem systemu są Sektorowe Zespoły Cyberbezpieczeństwa (SZC), które po wykazaniu pełnej zdolności operacyjnej, pełnią funkcję CSIRT-ów sektorowych w rozumieniu dyrektywy NIS 2 (Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555). Ustawa definiuje je jako Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, działające na poziomie sektora lub podsektora, ustanowione przez organ właściwy do spraw cyberbezpieczeństwa dla danego sektora lubpodsektora.

CSIRT sektorowe mają odpowiadać na potrzebę uwzględnienia specyfiki poszczególnych sektorów gospodarki i administracji. Inaczej bowiem wygląda krajobraz zagrożeń w energetyce, inaczej w ochronie zdrowia, finansach czy transporcie. Zadaniem CSIRT sektorowego jest zatem zapewnienie reagowania osadzonego w realiach danego sektora przy jednoczesnym zachowaniu spójności z systememkrajowym.

Jak będą powstawać CSIRT sektorowe?

Ustawodawca przewidział dwa mechanizmy powstawania CSIRT-ówsektorowych:

W rezultacie część CSIRT sektorowych będzie tworzona od podstaw, natomiast część uzyska nowy status prawny w drodze przekształcenia. Mechanizm ten zapewnia płynne przejście pomiędzy dotychczasowym a nowym modelem organizacji systemu cyberbezpieczeństwa, przy zachowaniu ciągłościoperacyjnej.

Zakres zadań CSIRT-ów

Nowelizacja wyraźnie wzmacnia rolę CSIRT-ów, a w zależności od poziomu (krajowego lub sektorowego) zespoły te są odpowiedzialne m.in. za:

Ważne

W przypadku przyjęcia zgłoszenia poważnego incydentu, CSIRT sektorowy jest zobowiązany do udzielenia wsparcia technicznego albo przekazania podmiotowi wytycznych dotyczących wdrożenia adekwatnych środków zaradczych. Jeżeli incydent nosi znamiona przestępstwa, CSIRT przekazuje podmiotowi informacje dotyczące sposobu dokonania zgłoszenia właściwym organomścigania.

W związku z realizacją swoich zadań CSIRT sektorowy może również zwrócić się do podmiotu zgłaszającego o uzupełnienie informacji, w zakresie niezbędnym do analizy. Zakres ten może obejmować także dane stanowiące tajemnice prawnie chronione, o ile jest to konieczne dla wykonania ustawowych obowiązkówzespołu.

Nowelizacja ustawy KSC wzmacnia także wymiar prewencyjny działania CSIRT-ów. Zespoły te gromadzą informacje o podatnościach i zagrożeniach, współpracują z podmiotami sektora w zakresie wymiany dobrych praktyk, organizują oraz uczestniczą w ćwiczeniach, a także wspierają inicjatywyszkoleniowe.

CSIRT-y są uprawnione do prowadzenia zautomatyzowanych skanowań systemów informatycznych podmiotów kluczowych i ważnych w celu wykrywania podatności i zagrożeń. W określonych przypadkach mogą również występować do właściwego organu z wnioskiem o wezwanie podmiotu do usunięcia wykrytychpodatności.

Uwaga

CSIRT-y nie zastępują działań podejmowanych przez podmioty kluczowe i ważne, lecz funkcjonują jako element nadrzędnej koordynacji, umożliwiający spójne reagowanie i wymianę informacji w skali sektora lubpaństwa.

Relacja pomiędzy CSIRT sektorowym a CSIRT krajowym

Ustawa o krajowym systemie cyberbezpieczeństwa tworzy model komplementarnej współpracy CSIRT sektorowych i krajowych, eliminując konkurencję na rzecz wzajemnego uzupełniania się ról w reagowaniu na incydenty cyberbezpieczeństwa. CSIRT sektorowy odpowiada za pierwszy poziom koordynacji, podczas gdy CSIRT krajowy przejmuje nadrzędną rolę w poważnych przypadkach wymagających szerszej analizy lub współpracymiędzynarodowej.

Do czasu osiągnięcia przez CSIRT sektorowy pełnej zdolności operacyjnej, obsługa incydentów cyberbezpieczeństwa odbywa się bezpośrednio z właściwym CSIRT-em krajowym. Po ogłoszeniu gotowości operacyjnej koordynacja incydentów sektorowych przechodzi na CSIRT-y sektorowe, które utrzymują stały kontakt z CSIRT-amikrajowymi.

Nowelizacja podkreśla również obowiązek współpracy pomiędzy CSIRT MON, CSIRT NASK oraz CSIRT GOV w zakresie koordynowanego reagowania na incydenty. Wzmacnia to model, w którym odpowiedzialność operacyjna pozostaje rozproszona, lecz analiza i wymiana informacji mają charakterzintegrowany.

CSIRT a obowiązki podmiotów kluczowych i ważnych

Obowiązki podmiotów kluczowych i ważnych po nowelizacji będą koncentrować się na zgłaszaniu incydentów, współpracy z właściwym CSIRT oraz realizacji ewentualnych zaleceń wynikających z obsługiincydentu.

Uwaga

Ustawa KSC wyraźnie rozdziela role:

Takie rozdzielenie ma zapobiegać chaosowi kompetencyjnemu i zapewnić, że w sytuacji kryzysowej istnieje jasny punkt odniesienia po stronie państwa lubsektora.

Przykład

Podmiot kluczowy z sektora ochrony zdrowia wykrywa incydent polegający na zaszyfrowaniu części systemów informatycznych przez złośliwe oprogramowanie. Incydent wpływa na dostępność systemu rejestracji pacjentów, ale nie powoduje bezpośredniego zagrożeniażycia.

Podmiot podejmuje działania we własnym zakresie: odłącza zainfekowane systemy, uruchamia procedury ciągłości działania oraz analizuje skalę zdarzenia. Równolegle, zgodnie z obowiązkami wynikającymi z ustawy, dokonuje zgłoszenia incydentu do właściwegoCSIRT.

Jeżeli dla sektora ochrony zdrowia został ustanowiony CSIRT sektorowy i ogłoszono już jego zdolność operacyjną, zgłoszenie trafia właśnie do tego zespołu. CSIRT sektorowy analizuje zdarzenie w kontekście zagrożeń charakterystycznych dla sektora, weryfikuje, czy podobne incydenty występują u innych podmiotów oraz przekazuje, w razie potrzeby, informacje do właściwego CSIRTkrajowego.

CSIRT nie przejmuje jednak zarządzania systemami podmiotu ani nie zastępuje jego działań technicznych. Jego rola polega na koordynacji, analizie i wsparciu systemowym, umożliwiającym ocenę czy incydent ma charakter jednostkowy, czy też może stanowić element szerszego zagrożenia sektorowego lubkrajowego.

Incydenty na dużą skalę

Rola CSIRT-ów nabiera szczególnego znaczenia przy incydentach cyberbezpieczeństwa na dużą skalę, których skutki przekraczają możliwości pojedynczego podmiotu lub państwa. W takich sytuacjach CSIRT-y działają jako centra analityczne i koordynacyjne, umożliwiając szybkie przekazywanie informacji, synchronizację działań oraz współpracę międzynarodową zgodnie z wymogami NIS2.

Ustawa o krajowym systemie cyberbezpieczeństwa, wprowadzając pojęcie incydentu na dużą skalę, podkreśla, że cyberbezpieczeństwo to nie tylko sprawa indywidualnych organizacji, ale kluczowy element bezpieczeństwa publicznego i państwowego.

W odpowiedzi na potrzebę systemowego reagowania na incydenty o dużej skali, Rada Ministrów ma obowiązek w ciągu 6 miesięcy od wejścia w życie ustawy przyjąć Krajowy plan reagowania na incydenty i sytuacje kryzysowe oraz Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Dokumenty te określają cele, procedury i zadania organów odpowiedzialnych za zarządzanie incydentami oraz zasady współpracy między sektorem publicznym i prywatnym, w tym kanały wymiany informacji, krajowe środki gotowości oraz ćwiczenia i szkolenia.

Ważne

CSIRT-y krajowe wymieniają się informacjami o incydentach krytycznych oraz na dużą skalę, jednocześnie powiadamiając Rządowe Centrum Bezpieczeństwa, właściwy CSIRT sektorowy i ministra spraw zagranicznych – zgodnie z wymogami NIS2.

Koordynację działań w cyberbezpieczeństwie na dużą skalęzapewniają:

Organ odpowiedzialny za zarządzanie incydentami na dużą skalę koordynuje działania wszystkich właściwych organów zgodnie z Krajowym planem. Dokument ten ma zawierać m.in. procedury zarządzania kryzysowego, hierarchię działań, ramy czasowe, podmioty odpowiedzialne, sposoby finansowania, kryteria oceny infrastruktury oraz mechanizmy współpracy z państwami członkowskimi UE. Dzięki temu system reagowania staje się nie tylko szybszy i skuteczniejszy, ale także przygotowany na sytuacje transgraniczne i złożone zagrożenia technologiczne.

Przykład

Wyobraźmy sobie sytuację, w której w sektorze energetycznym dochodzi do rozległego ataku ransomware, obejmującego kluczowe elektrownie. Skala zdarzenia przekracza możliwości pojedynczych operatorów, dlatego incydent zostaje zgłoszony do właściwego CSIRT sektorowego, który koordynuje wymianę informacji między podmiotami sektora oraz z CSIRT-ami krajowymi. Jednocześnie Rządowe Centrum Bezpieczeństwa monitoruje sytuację, a minister właściwy do spraw informatyzacji, w ramach Krajowego planu reagowania, aktywuje procedury zarządzania kryzysowego i wspiera współpracę z państwami UE. Taki mechanizm pozwoliłby ograniczyć skutki ataku i zminimalizować ryzyko przerwania dostaw energii w całymkraju.

Podstawa prawna:

Zakres obowiązków podmiotów ważnych i kluczowych wynikających ze znowelizowanych przepisów o cyberbezpieczeństwie

Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa dobiegł końca. Dlatego też warto zebrać w jednym miejscu, w formie listy sprawdzającej, obowiązki kierowników niektórych podmiotów, np. członka zarządu, wspólnika, dyrektora SP ZOZ, na których nowelizacja nałożyła szereg nowychobowiązków.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa miała na celu wdrożenie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (dalej zwanej NIS-2 lub dyrektywą; patrz: podstawa prawna). W dalszej części niniejszegoopracowania:

Uksc obecnie kieruje nowe obowiązki do podmiotów, w tym firm, zaliczonych do kategorii podmiotów kluczowych i ważnych (dalej: PKW), a tym samym do ich kierowników. Kwestia zaliczania się do tej kategorii wymaga zatem odrębnej analizy. Skrótowo można wskazać, że często PKW będą duże przedsiębiorstwa energetyczne, szpitale, średnie lub duże firmy mające do czynienia z chemikaliami, ściekami odpadami i lekami, podmioty zaopatrujące w wodę, czy też jednostki sektora finansów publicznych – z zastrzeżeniem szczegółowych unormowań uksc – a przy ich indywidualnej identyfikacji pomoc stanowi treść załączników do uksc.

Uwaga!

Część przepisów nowelizacji wprost skierowano do kierowników PKW. Za ich niewypełnianie kierownik może otrzymać karę finansową. Kierownik ponosi odpowiedzialność za wykonywanie wskazanych w niniejszym kwestionariuszu zadań także wtedy, gdy niektóre z jego obowiązków albo wszystkie obowiązki powierzono innej osobie za jego zgodą.

Dlatego też do istotnych kwestii zarządczych należy poznanie poniższego zakresu odpowiedzialności kierownika. Poniższa lista pomoże sprawdzić, czy kierownik podmiotu z kategorii PKW wypełnia podstawowe obowiązki ustalone przez uksc w obecnymbrzmieniu.

Sama nowelizacja, a zwłaszcza jej artykuł 33, przewidują szereg przepisów przejściowych, co ma umożliwić PKW i ich kierownikom przegląd własnych procedur w celu dostosowania ich do nowych zasad.

Przykład

Podmioty, które z dniem wejścia w życie nowelizacji (3 kwietnia 2026 r.) spełniają przesłanki uznania ich za podmiot kluczowy albo za podmiot ważny, mają rozpocząć realizuję zaktualizowanych obowiązków określonych w rozdziale 3 uksc „Obowiązki podmiotów kluczowych i ważnych” w terminie 12 miesięcy od dnia wejścia w życie nowelizacji (kwiecień 2027r.). Rozdział 3 obejmuje art. 8-16 uksc, tj. znakomitą większość przepisów opisanych w poniższymkwestionariuszu.

Zasadniczo karę pieniężną dla kierownika PKW można wymierzyć w kwocie nie większej niż 300 % otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop (kara wynosi do 100% ww. wynagrodzenia w przypadku kierownika PKW zaliczanego do podmiotówpublicznych).

Kary przewidziane wobec kierownika PKW można będzie po raz pierwszy nałożyć po upływie 2 lat od dnia wejścia w życie nowelizacji (a zatem od kwietnia 2028 r.). Przepisy przewidują również możliwość wydania zakazu pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu do czasu usunięcia uchybień lub zaprzestania naruszeń (o ile nie doprowadzi to do uniemożliwienia funkcjonowania podmiotu kluczowego w zakresie niezbędnym do usunięcia uchybień lub zaprzestania naruszeń). Zakaz wydaje organ właściwy ds. cyberbezpieczeństwa (np. minister właściwy dla sektora, w którym działa danypodmiot).

Poniższy kwestionariusz często operuje pojęciem „usługi”. Uksc zawiera opis wielu usług, do których taki ogólny termin się odnosi. Należy zatem wyjaśnić, że pod pojęciem niezdefiniowanej wprost „usługi” może się kryć – w zależności od konkretnej sytuacji – wiele usług wspomnianych w uksc, np. usługa DNS, usługa chmury obliczeniowej, usługa centrum przetwarzania danych, ICT i - co istotne dla szerszej grupy firm - usługi wymienione w załącznikach do uksc w kontekście zakwalifikowania firmy do kategorii PKW (np. usługa w zakresie transportu odpadów). W przypadku podmiotu publicznego pod pojęciem usługi należy także rozumieć zadanie publiczne realizowane przez ten podmiot. Tym samym, określenie co w danym przypadku będzie usługą (lub usługami) podlegającą/podlegającymi przepisom uksc, wymaga każdorazowo indywidualnegopodejścia.

WZÓR

Lista sprawdzająca: podstawowe obowiązki kierownika PKW wynikające z ustawy o krajowym systemie cyberbezpieczeństwa w brzmieniu obowiązującym od 3 kwietnia 2026r.

Pytanie

Odpowiedź

Uwagi (obok uwag wydawnictwa, osoba weryfikująca listę może wpisywać komentarze)

TAK

NIE

N/D

I. Status kierownika i obowiązki związane z wykazem PKW

Czy jesteś kierownikiem w rozumieniu uksc?

Według uksc, kierownik podmiotu kluczowego lub podmiotu ważnego (PKW) to:

Z punktu widzenia przedsiębiorstw kluczowa będzie zatem definicja z ustawy o rachunkowości, zgodnie z którą za kierownika jednostki należy uznać członka zarządu lub innego organu zarządzającego, a jeżeli organ jest wieloosobowy - członków tego organu, z wyłączeniem pełnomocników ustanowionych przez jednostkę. Jednakże, za kierownika jednostki należy uznać w przypadku:

Powyższa zasada znajdzie odpowiednio zastosowanie do osób wykonujących wolne zawody.

Za kierownika jednostki należy uznać również:

Uwaga

W przypadku niektórych zdefiniowanych kierowników, np. kierownika podmiotu wykonującego działalność leczniczą zdefiniowanego w ustawie o działalności leczniczej, aby poznać swój status kierownika PKW w rozumieniu uksc, należy stosować definicję zawartą w uksc.

Uksc doprecyzowuje, że gdy kierownikiem PKW jest organ wieloosobowy i nie wskazano osoby odpowiedzialnej, odpowiedzialność ponoszą wszyscy członkowie tego organu.

Kierownik PKW odpowiada zwłaszcza za kwestie wskazane w art. 8c uksc, tj. za kwestie wymienione w tym przepisie jako odsyłającym do poszczególnych artykułów ustawy.

Czy kierownik zna swoje obowiązki związane z zapewnieniem wpisu do wykazu PKW?

Według nowych przepisów, PKW muszą same złożyć wniosek o wpis do wykazu PKW ustanowionego w miejsce dotychczasowego wykazu operatorów usług kluczowych. Muszą tego dokonać, w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (zasada samoidentyfikacji PKW).

Za dopilnowanie tej procedury odpowiada właśnie kierownik PKW (obowiązek z art. 7c uksc jako przypisany kierownikowi na podstawie art. 8c tej ustawy).

Uwaga

Podmioty, które z dniem 3 kwietnia 2026 r. spełniają przesłanki uznania ich za PKW, muszą złożyć wniosek o wpis do wykazu PKW zgodnie z harmonogramem określonym w art. 34 ust. 3 pkt 1 uksc (przepis odsyła do przyszłego komunikatu ministra właściwego do spraw informatyzacji, który podlega ogłoszeniu w dzienniku urzędowym ministra).

Czy kierownik zna swoje obowiązki związane z uzupełnianiem danych w wykazie PKW

Pomimo zasadniczej samoidentyfikacji PKW pod kątem ich wpisania w wykazie PKW, w przypadku:

– minister właściwy do spraw informatyzacji z urzędu wpisuje do wykazu PKW dane, o których mowa w art. 7 ust. 2 pkt 1–8 oraz pkt 19–26 uksc (tj. np. nazwę, adres, sektor), dotyczące tych podmiotów – na podstawie danych zawartych w rejestrach publicznych, bazie adresów elektronicznych lub przekazanych przez właściwe organy nadzorcze.

Art. 7b ust. 4 uksc stanowi, że powyżej wskazane 4 typy PKW mają uzupełniać dane w wykazie, składając wniosek o zmianę wpisu w tym wykazie, w tym również uzupełnić dane w wykazie w zakresie ich działalności, której nie objęto wpisem z urzędu. Za tego typu aktualizacje odpowiada właśnie kierownik takich PKW, o czym przesądza art. 8c uksc.

Jak stanowi art. 34 nowelizacji:

Czy kierownik zna swoje obowiązki związane ze składaniem ewentualnego wniosku o wykreślenie z wykazu PKW?

Kierownik PKW musi dopilnować, aby PKW złożyły ewentualny wniosek o wykreślenie z wykazu PKW. Obowiązek ten wynika z art. 7f ust. 3 uksc w związku z obowiązkami kierownika PKW określonymi w art. 8c tej ustawy.

Taki wniosek należy złożyć za pomocą systemu teleinformatycznego (system zarządzania cyberbezpieczeństwem S46). Trzeba tego dokonać w zakresie sektora, podsektora lub rodzaju działalności. Obowiązek ten zaistnieje, jeżeli dany podmiot przestał spełniać przesłanki uznania go za podmiot

kluczowy lub podmiot ważny w tym sektorze, podsektorze lub dla określonego rodzaju działalności. Wniosek o wykreślenie z wykazu zawierać powinien uzasadnienie.

Przykład

Firma X przestaje świadczyć usługi w zakresie gospodarowania odpadami. W takim wypadku kierownik PKW musi zadbać o wykreślenie z wykazu w zakresie sektora gospodarowania odpadami.

II. System zarządzania bezpieczeństwem informacji (SZBI) i weryfikacja informacji z Krajowego Rejestru Karnego

Czy kierownik zna swoje obowiązki związane z prowadzeniem SZBI?

System Zarządzania Bezpieczeństwem Informacji (SZBI) ma zapewniać m.in.:

- o czym wiedzą dotychczasowi operatorzy usług kluczowych.

Kierownik PKW odpowiada za to, aby PKW wdrożył SZBI zawierający elementy wymagane przepisami, o czym przesądza art. 8c w związki z art. 8 uksc.

W porównaniu do dotychczasowych przepisów wymagany zakres SZBI uległ rozbudowie, zwłaszcza we kontekście środków technicznych i organizacyjnych odpowiednich do oszacowanego ryzyka. W przypadku podmiotów, które dopiero uzyskają status PKW, budowa lub przebudowa SZBI w sposób zgodny z uksc może stanowić kompletną nowość.

Przykład

Dotychczas SZBI miał m.in. zapewniać wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy. Obecnie zobowiązano PKW do wdrożenia ww. środków

uwzględniających – poza najnowszym stanem wiedzy - również koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, skutki społeczne i gospodarcze, podając rozbudowany katalog przykładowych działań w tym zakresie (m.in. wprowadzenie polityk szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityk tematycznych). Dochodzą także obowiązki m.in. w zakresie zapewnienia odpowiedniej edukacji personelu w zakresie cyberbezpieczeństwa.

Uwaga

Wdrożenie SZBI należy do kierownika PKW, o czym przesądza art. 8c uksc w związku z art. 8 tej ustawy. Kierownik zwykle nie szykuje procedur osobiście, ale musi zorganizować proces ich stworzenia, zebrania i aktualizacji.

Podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI w podmiocie wskazano bowiem jako obowiązek kierownika PKW w art. 8d uksc.

Co więcej, należy uważać na ewentualne wskazania szczególne. Rada Ministrów może bowiem określić rozporządzeniem, odrębnie dla danego rodzaju działalności wykonywanej przez PKW, szczegółowe wymagania dla SZBI, biorąc pod uwagę rekomendacje międzynarodowe o charakterze specjalistycznym, w tym rekomendacje Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa (ENISA), wielkość podmiotu, skalę działalności wykonywanej przez te podmioty oraz potrzebę podejmowania przez te podmioty działań zapewniających cyberbezpieczeństwo.

Uwaga

W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

Czy kierownik zna swoje obowiązki związane z przedstawianiem zaświadczeń z KRK?

Art. 8c uksc pośrednio wskazał kierownika PKW jako odpowiedzialnego za zebranie informacji z Krajowego Rejestru Karnego, przywołując art. 8f ust. 1 i 2.

Art. 8f uksc stanowi bowiem, że przed rozpoczęciem realizacji następujących zadań:

- osoba, która ma te zadania realizować, musi przedstawić PKW informację z Krajowego Rejestru Karnego stwierdzającą niekaralność za przestępstwa przeciwko ochronie informacji. Kierownik PKW może dopuścić taką osobę do realizacji ww. zadań dopiero po otrzymaniu takiej informacji

Ponadto, kierownik PKW odpowiada za to, aby PKW wezwał osobę realizującą ww. zadania do ponownego przedstawienia informacji o osobie z Krajowego Rejestru Karnego, jeżeli poweźmie uzasadnione podejrzenie, że osobę tą skazano za przestępstwo przeciwko ochronie informacji.

Uwaga

Wymagania w zakresie informacji z Krajowego Rejestru Karnego przepisy uznają za spełnione, jeżeli osoba realizująca wskazane zadania posiada ważne poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli „poufne” lub wyższej.

Należy także pamiętać, że osoba skazana prawomocnym wyrokiem sądu za przestępstwa przeciwko ochronie informacji nie może realizować zadań wskazanych w niniejszej rubryce.

Uwaga

Podmioty kluczowe lub podmioty ważne, które przed 3 kwietnia 2026 r. były operatorami usług kluczowych, do czasu wdrożenia SZBI zgodnego z nowym brzmieniem art. 8 uksc, stosować mają SZBI zgodny z art. 8 uksc w brzmieniu dotychczasowym

III. Zapewnienie wymaganego przepływu informacji z osobami i jednostkami zewnętrznymi

Czy kierownik wie o obowiązku wyznaczenia co najmniej 2 osób do kontaktu z podmiotami ksc?

Kierownik PKW odpowiada za to, żeby PKW wyznaczył co najmniej 2 osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Podmioty ksc to m.in.:

Skrót CSiRT oznacza „Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego”

Czy kierownik wie o odpowiedzialności za politykę informacyjną wobec użytkowników?

Kierownik PKW odpowiada za to, aby PKW zapewnił użytkownikom usług dostęp do wiedzy pozwalającej na zrozumienie cyberzagrożeń i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczonymi usługami, m.in. przez udostępnianie informacji na ten temat na swojej stronie internetowej.

Uwaga

Obowiązek ten można wypełnić poprzez zamieszczenie na stronie internetowej podmiotu hiperłącza do stron internetowych organu właściwego do spraw cyberbezpieczeństwa, CSIRT GOV, CSIRT MON, CSIRT NASK lub CSIRT sektorowego.

Czy kierownik wie o odpowiedzialności za politykę umożliwienia dokonywania zgłoszeń?

Kierownik PKW odpowiada za to, aby PKW zapewnił użytkownikowi usługi możliwość zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą.

Czy kierownik wie o odpowiedzialności za rozpoczęcie korzystania z systemu s46?

Kierownik PKW odpowiada za to, aby PKW - po uzyskaniu wpisu podmiotu do wykazu PKW - rozpoczął korzystanie z systemu teleinformatycznego tworzonego przez ministra właściwego do spraw informatyzacji (art. 46 ust. 1 uksc), tj. systemu zarządzania cyberbezpieczeństwem S46.

Czy PKW przewidział wyznaczenie co najmniej jednej osoby odpowiedzialnej za utrzymywanie kontaktów z innymi PKW? (dotyczy sektora MSP i podmiotu ważnego będącego podmiotem publicznym)

Kierownik odpowiada za to, aby PKW wyznaczył co najmniej jedną osobę, która odpowiadać będzie za utrzymywanie kontaktów z innymi PKW.

Taką osobę musi wyznaczyć PKW będący mikro- lub małym przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do unijnego rozporządzenia 651/2014/UE. Ten unijny przepis stanowi, że:

Jednakże ww. MŚP muszą należeć do kategorii PKW, aby podlegały niniejszemu obowiązkowi w zakresie wyznaczania osoby do kontaktu.

Ten obowiązek dotyczy także podmiotu ważnego będącego podmiotem publicznym.

Uwaga

W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

IV. Obowiązki związane z dokumentacją bezpieczeństwa systemu informacyjnego (DBSI)

Czy kierownik zna swoje obowiązki związane z dopilnowaniem stworzenia DBSI?

Kierownik odpowiada za to, aby PKW opracował, stosował i aktualizował na bieżąco dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (dalej: DBSI). Taki system to zwłaszcza system teleinformatyczny (szczegółową definicję umieszczono w definicjach w ramach uksc).

Taką DBSI przepisy dzielą na normatywną i operacyjną.

Dokumentacja normatywna to m.in.:

Dokumentację operacyjną stanowią natomiast zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych.

DBSI można prowadzić w postaci papierowej lub elektronicznej.

Czy kierownik ustanowił nadzór nad DBSI?

Kierownik odpowiada za to, aby PKW ustanowił nadzór nad DBSI, a nadzór ma zapewnić:

Czy kierownik wie o konieczności dopilnowania obowiązków w zakresie przechowywania i niszczenia DBSI?

Kierownik odpowiada za to, aby PKW przechowywał DBSI przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi. Termin ten liczymy od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania. Przepis nie obowiązuje wobec podmiotów podlegających ustawie o narodowym zasobie archiwalnym i archiwach.

Uwaga

Zniszczenie wycofanej z użytkowania dokumentacji należy potwierdzić protokołem brakowania zawierającym zwłaszcza:

Protokoły brakowania DBSI należy przechowywać w sposób trwały.

Uwaga

W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

V. Obowiązki kierownicze

Czy kierownik wie, jakie obowiązki o ściśle kierowniczym charakterze musi wykonywać na podstawie uksc?

Art. 8d uksc wprost wskazuje, że do zadań kierownika PKW należy:

Powyższe zadania nachodzą na inne zadania wymienione w niniejszym kwestionariuszu i mają uświadomić kierownikowi PKW zakres działań, które musi podjąć odgórnie, aby wypełnić aktualne wymogi uksc.

VI. Obowiązki związane z obsługą incydentów bezpieczeństwa - art. 11-12b uksc

Czy kierownik zna swoje obowiązki związane z obsługą incydentów bezpieczeństwa?

Kierownik odpowiada za to, aby PKW:

* incydent poważny – wg uksc to incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez PKW, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej

Uwaga

W zakresie dokumentacji związanej z incydentem, której istnienie i zawartość powinien nadzorować kierownik, uksc obecnie przewiduje:

Czy kierownik zna swoje obowiązki związane z informowaniem użytkowników o cyberzagrożeniach i poważnych incydentach?

Kierownik odpowiada za to, aby PKW - w przypadku zaistnienia poważnego cyberzagrożenia** - poinformował użytkowników swoich usług, na których takie cyberzagrożenie* może mieć wpływ, o możliwych środkach zapobiegawczych, które użytkownicy ci mogą podjąć.

Należy poinformować tych użytkowników o samym poważnym cyberzagrożeniu, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa systemów informacyjnych. Kierownik odpowiada także za to, aby PKW poinformował użytkowników swoich usług o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie tych usług.

* cyberzagrożenie* – wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć w przypadku sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób

* poważne cyberzagrożenie – cyberzagrożenie, które przez swoje właściwości techniczne może mieć poważny wpływ na bezpieczeństwo systemów informacyjnych lub użytkowników tych systemów przez wywołanie poważnej szkody materialnej lub niematerialnej.

Czy kierownik wie o konieczności dopilnowania poprawności formalnej dokumentacji związanej ze zgłaszaniem incydentów?

W nawiązaniu do poprzedniej rubryki, wczesne ostrzeżenie ma zawierać:

Uwaga

Pracę kierownikowi ułatwia fakt, że powyższe wczesne ostrzeżenie może zawierać wniosek do CSIRT sektorowego o wskazanie wytycznych dotyczących możliwych do wdrożenia środków ograniczających skutki incydentu poważnego lub o dodatkowe wsparcie techniczne przy obsłudze incydentu. CSIRT sektorowy - nie później niż w ciągu 24 godzin – powinien przekazać podmiotowi zgłaszającemu:

Zgłoszenie incydentu poważnego musi natomiast zawierać:

ważny oraz wpływ incydentu poważnego na świadczenie usługi przez inne podmioty;

Uwaga

W zgłoszeniu incydentu trzeba przekazywać informacje znane w chwili dokonywania zgłoszenia, które należy uzupełniać w trakcie obsługi incydentu poważnego.

We wspomnianych wczesnych ostrzeżeniach lub zgłoszeniach należy też przekazać, w niezbędnym zakresie, informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań właściwego CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowego. Takie informacje należy oznaczyć.

Sprawozdanie końcowe musi natomiast zawierać:

Uwaga

Jeżeli obsługi incydentu poważnego nie zakończono w terminie składania sprawozdania końcowego, należy przekazać właściwemu CSIRT sektorowemu:

Uwaga

W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

Do podmiotu ważnego będącego podmiotem publicznym należy stosować przepisy art. 11 i art. 12 uksc, z wyjątkiem przepisów o przekazywaniu wczesnego ostrzeżenia, sprawozdania okresowego, sprawozdania z postępu obsługi incydentu i sprawozdania końcowego.

Podmioty kluczowe lub podmioty ważne, które przed dniem wejścia w życie nowelizacji były operatorami usług kluczowych, mają zgłaszać incydenty poważne zgodnie z art. 11–12b w nowym brzmieniu w terminie 6 miesięcy od dnia wejścia w życie nowelizacji.

VII. Obowiązki związane z dopilnowaniem terminowego przeprowadzania audytu bezpieczeństwa systemu informacyjnego

Czy kierownik zna swoje obowiązki związane z zapewnieniem audytu bezpieczeństwa?

Kierownik odpowiada za to, aby podmiot kluczowy przeprowadził, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (dalej: audyt). Powyższy 3-letni termin należy liczyć od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.

Podmiot kluczowy musi przedstawiać - w wersji elektronicznej - kopię raportu z przeprowadzonego audytu organowi właściwemu do spraw cyberbezpieczeństwa, w terminie 3 dni roboczych od dnia jego otrzymania przez PKW.

Organ właściwy do spraw cyberbezpieczeństwa, może nakazać przeprowadzenie audytu:

- wraz z określeniem terminu przekazania kopii raportu z przeprowadzonego audytu i wskazaniem rodzaju podmiotów uprawnionych do jego przeprowadzenia. Organ może również określić zakres audytu.

Art. 15 ust. 2 i 2a wskazują, kto taki audyt może przeprowadzić, a kto jest w takim przypadku wykluczony (audytu nie może, wg aktualnych przepisów, przeprowadzić m.in. osoba realizująca w podmiocie audytowanym większość zadań opisanych w niniejszym kwestionariuszu lub osoba, która realizowała te zadania w podmiocie audytowanym w przeciągu roku przed dniem rozpoczęcia audytu).

Na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu i przekazuje je do PKW wraz z dokumentacją z przeprowadzonego audytu.

Uwaga

Podmioty, które z dniem wejścia w życie niniejszej ustawy spełniają przesłanki uznania ich za podmiot kluczowy, mają przeprowadzić pierwszy audyt według nowych zasad w terminie 24 miesięcy od dnia wejścia w życie nowelizacji.

Uwaga ogólna

Kierownik PKW oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa muszą raz w roku kalendarzowym przechodzić szkolenie w zakresie zadań wymienionych w niniejszym kwestionariuszu, o czym przesądza art. 8e uksc.

Udział w szkoleniu należy dokumentować.

Postawa prawna i merytoryczna: