Wraz z postępującą cyfryzacją rośnie znaczenie ochrony systemów informatycznych, od których zależy ciągłość działania firm i całych sektorów gospodarki. Cyberbezpieczeństwo staje się jednym z kluczowych obowiązków przedsiębiorców. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza nowe wymagania wobec przedsiębiorców dotyczące zarządzania ryzykiem i ochrony systemów IT.

W artykule wyjaśniamy, kogo obejmą przepisy, jakie obowiązki wprowadzą oraz jak przygotować się do ich wdrożenia.

Podmioty kluczowe i podmioty ważne

Katalog podmiotów krajowego systemu cyberbezpieczeństwa został znacząco rozszerzony o nowe sektory gospodarki, m. in.:

• produkcja (w szczególności elektronika, maszyny, pojazdy, urządzenia elektryczne i wyroby medyczne),
• produkcja i przetwarzanie żywności,
• ochrona zdrowia (w szczególności udzielanie świadczeń zdrowotnych, produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych),
• gospodarka odpadami,
• usługi pocztowe,
• produkcja i dystrybucja chemikaliów,
• dostawcy usług cyfrowych czy
• działalność badawczo-rozwojowa w zakresie produktów leczniczych.

Przedsiębiorcy muszą zweryfikować, czy ich działalność objęta jest przepisami ustawy. Jeśli tak, to do której grupy należą: podmiotów kluczowych czy podmiotów ważnych działających w sektorach istotnych dla gospodarki i bezpieczeństwa państwa. Od tego będzie zależało powstanie szeregu praw i obowiązków wynikających z ustawy.

Wielkość podmiotu

Podstawowym kryterium objęcia ustawą jest wielkość podmiotu. Ta zależy od przewyższenia lub spełnienia wymogów średniego przedsiębiorstwa. Średnim przedsiębiorstwem jest przedsiębiorstwo, które zatrudnia mniej niż 250 pracowników i którego roczny obrót nie przekracza 50 milionów EUR lub roczna suma bilansowa nie przekracza 43 milionów EUR.

Warto zaznaczyć, że w przypadku przedsiębiorstw powiązanych i przedsiębiorstw partnerskich ich przychody, sumę bilansową i liczbę pracowników dolicza się przy ustalaniu wielkości podmiotu.

Obowiązki podmiotów kluczowych i ważnych

Ustawa nakłada na podmioty kluczowe i ważne szereg obowiązków, w tym:

• obowiązek samoidentyfikacji polegający na złożeniu wniosku o wpis w wykazie podmiotów kluczowych i ważnych,
• wdrożenie systemu zarządzania bezpieczeństwem informacji,
• zapewnienie raz w roku szkolenia w zakresie cyberbezpieczeństwa dla kierowników podmiotu oraz osób, którym powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa,
• zgłaszanie i obsługę incydentów związanych z cyberbezpieczeństwem.

 Brak rejestracji w wykazie podmiotów kluczowych i ważnych nie zwalnia z obowiązków i daje możliwość organom do zastosowania sankcji.

Odpowiedzialność

Za niewdrożenie wymagań odpowiada zarówno organizacja objęta regulacją, jak i jej kadra zarządzająca, która ma obowiązek nadzorować wdrożenie środków cyberbezpieczeństwa. Za naruszenie grożą wysokie kary administracyjne:

• do 10 mln EUR lub 2% obrotu dla podmiotów kluczowych oraz
• do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych.

Kara pieniężna dla kierownika podmiotu kluczowego lub ważnego może być wymierzona w kwocie nie większej niż 300 % otrzymywanego wynagrodzenia.

Ważne terminy

• od 7 maja 2026 r. do 3 października 2026 r. należy złożyć wniosek o wpis do wykazu,
• do 3 kwietnia 2027 r. podmioty kluczowe i ważne, które w dniu wejścia w życie nowelizacji spełniają ustawowe kryteria, muszą wdrożyć obowiązki wynikające z nowych przepisów.
• do 3 kwietnia 2028 r. podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa.

Podsumowanie

W pierwszej kolejności przedsiębiorcy powinni zweryfikować, czy nowe przepisy obejmują prowadzoną działalność. W praktyce warto sprawdzić:

• czy działalność organizacji mieści się w sektorach objętych ustawą (m.in. na podstawie kodów PKD, koncesji, zezwoleń lub wpisów do rejestrów działalności regulowanej),
• czy organizacja – również po uwzględnieniu podmiotów powiązanych i partnerskich – spełnia (dla podmiotów ważnych) lub przewyższa (dla podmiotów kluczowych) kryteria średniego przedsiębiorstwa,
• czy podmiot nie należy do szczególnych kategorii objętych ustawą, np. dostawców usług DNS, podmiotów krytycznych lub podmiotów leczniczych,
• czy systemy IT i świadczone usługi są współdzielone z podmiotami powiązanymi lub przedsiębiorstwami partnerskimi.

Doradztwo prawne dla przedsiębiorców w zakresie zgodności z ustawą o krajowym systemie cyberbezpieczeństwa zapewnia radczyni prawna dr Martyna Komarowska-Horosz.