Ostatnie aktualności
- Wyroku TSUE z dnia 22 stycznia 2026 roku, C-902/24 – Potrącenia dokonywane przez banki w sprawach frankowych
- Od 1 maja 2026 r. obowiązują nowe zasady ustalania stażu pracy w sektorze prywatnym
- Nowe obowiązki z zakresu cyberbezpieczeństwa – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa
- Ułatwienia dla przedsiębiorców przy zakładaniu i prowadzeniu działalności gospodarczej
- Zmiana zasad przyłączania nowych źródeł do sieci elektroenergetycznej – nowelizacja ustawy Prawo Energetyczne
- Czy przedwstępna umowa dzierżawy może stanowić tytuł prawny do nieruchomości dla zawarcia umowy o przyłączenie do sieci energetycznej?
- Obowiązkowa mediacja w sprawach gospodarczych – nowe przepisy Kodeksu Postępowania Cywilnego i konsekwencje odmowy
- Partner Kancelarii, mec. Andrzej Stankiewicz został powołany w skład Rady Branżowego Centrum Umiejętności w Miastku
- Wyrok TSUE dot. WIBOR
- Kontrole UODO w 2026 roku
Nowe obowiązki z zakresu cyberbezpieczeństwa – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa
27.04.2026
3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Nowe przepisy gruntownie zmieniają dotychczasowe zasady dotyczące działania systemu oraz wprowadzają szereg obowiązków dla podmiotów objętych zastosowaniem ustawy.
Samoidentyfikacja podmiotów
Ustawa wprowadza obowiązek samoidentyfikacji podmiotów, tzn. podmioty same dokonują oceny, czy stanowią podmioty kluczowe albo ważne na podstawie przepisów ustawy i na podstawie tej identyfikacji wykonują określone w ustawie obowiązki.
W większości sytuacji status podmiotu kluczowego lub podmiotu ważnego zależy od wielkości podmiotu. W takiej sytuacji przesłanki uznania za podmiot kluczowy lub ważny bada się według stanu na dzień sporządzenia sprawozdania finansowego:
- Jeśli podmiot przekracza wymogi do uznania go za średnie przedsiębiorstwo i jednocześnie jego działalność wskazana jest w załączniku nr 1 do ustawy – stanowi podmiot kluczowy;
- Jeśli podmiot nie przekracza wymogów do uznania go za średnie przedsiębiorstwo i jednocześnie jego działalność jest wskazana w załączniku nr 1 bądź 2 do ustawy – stanowi podmiot ważny.
Rejestracja podmiotu w wykazie podmiotów kluczowych i podmiotów ważnych
Jeżeli w wyniku dokonanej samoidentyfikacji, podmiot uzna, iż stanowi podmiot kluczowy bądź ważny, ma obowiązek rejestracji w wykazie podmiotów kluczowych i podmiotów ważnych w terminie 6 miesięcy od dnia spełnienia przesłanek, tj. do 3 października 2026 r.
Rejestracji dokonuje się za pomocą dedykowanego systemu do obsługi krajowego systemu cyberbezpieczeństwa – S46.
Nowe obowiązki dla podmiotów objętych zastosowaniem ustawy
Nowelizacja zakłada kompleksową zmianę dotychczasowego funkcjonowania systemu – podmioty objęte jej zastosowaniem mają czas do 3 kwietnia 2027 r. na dostosowanie swoich wewnętrznych procesów do wymogów ustawy.
Najważniejszym obowiązkiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji w systemach informacyjnych wykorzystywanych w procesach wpływających na świadczenie usług przez dany podmiot. System ma określać m.in. zasady zarządzania incydentami, stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo podmiotu oraz prowadzenia systematycznego szacowania ryzyka wystąpienia incydentów.
Nowelizacja nakłada obowiązki także na kierowników podmiotów, którzy stają się odpowiedzialni za cały system cyberbezpieczeństwa w jednostce, w szczególności: nadzorują przygotowanie, wdrażanie i stosowanie systemu zarządzania bezpieczeństwem informacji w podmiocie oraz zapewniają zgodność działania tego podmiotu z przepisami prawa.
Kary finansowe dla podmiotów
W ustawie została przewidziana możliwość nakładania kar pieniężnych w sytuacji, gdy podmioty nie realizują swoich obowiązków wynikających z ustawy. Z uwagi na obszerność zmian – kary będą mogły być nałożone dopiero po upływie 2 lat od wejścia w życie nowelizacji.
Karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który m.in.:
- nie uzupełnił w terminie brakujących danych w wykazie albo nie dokonał korekty danych pomimo wezwania;
- nie przeprowadza systematycznego szacowania ryzyka wystąpienia incydentu lub nie zarządza tym ryzykiem;
- nie wdrożył systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym do świadczenia usługi albo system ten nie zapewnia funkcjonalności lub nie spełnia wymogów, o których mowa w ustawie
Karze pieniężnej może podlegać także kierownik podmiotu – taka kara jest niezależna od kary nałożonej na podmiot.
Wpływ nowelizacji
Nowelizacja zrewolucjonizowała funkcjonowanie krajowego systemu cyberbezpieczeństwa.
Podmioty nią objęte muszą być przygotowane na gruntowne zmiany w swoich wewnętrznych procesach. Dostosowanie się do nowych przepisów będzie w szczególności wiązać się z koniecznością przeglądu dotychczasowych polityk i procedur obowiązujących w podmiocie, zorganizowaniem szkolenia pracowników z zakresu cyberbezpieczeństwa oraz stworzeniem nowych planów działania w przypadku wykrycia incydentów mogących mieć wpływ na bezpieczeństwo systemów informacyjnych.