3 kwietnia wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Kolejne ważne terminy to odpowiednio 3 października 2026 r. oraz 3 kwietnia 2027 r. i 3 kwietnia 2028 r.
NIS2 i nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa
Dyrektywa NIS2 została przyjęta 14 grudnia 2022 roku. Była ona następcą starszej i o wiele mniej restrykcyjnej dyrektywy NIS z roku 2016. 16 stycznia 2023 roku dyrektywa weszła w życie. Termin na jej transpozycję do krajowych porządków prawnych został wyznaczony na 17 października 2024 roku. Większość państw Unii Europejskiej, w tym Polska, nie zdążyły tego zrobić.
Prace nad nowelizacją rozpoczęły się stosunkowo wcześnie, ale projekt ustawy przez długi czas nie był w stanie wyjść poza etap prac rządowych. Projekt był wielokrotnie wycofywany i procedowany od nowa, dlatego minęły lata zanim opuścił Radę Ministrów i został przedłożony parlamentowi. Dopiero 7 listopada 2025 roku trafił do Sejmu. Parlament zakończył procedowanie ustawy 28 stycznia 2026 roku. 19 lutego ustawa została podpisana przez Prezydenta, a 2 marca została opublikowana w Dzienniku Ustaw.
Celem dyrektywy i implementujących ją ustaw, jest dostosowanie regulacji prawnych do współczesnych wymogów cyberbezpieczeństwa. Jak się szacuje ustawa obejmie swoim zakresem około 10 000 podmiotów. Nowe prawo jest zatem ważne nie tylko dlatego, że adresuje rosnący z roku na rok problem cyberzagrożeń, ale dlatego że swoimi wymogami obejmuje bardzo dużą liczbę podmiotów, w tym w dużej części nieświadomych zmian.
Co dalej z u.k.s.c.?
Omawiając przyszłość ustawy o krajowym systemie cyberbezpieczeństwa, zwrócić trzeba uwagę na kilka najważniejszych kwestii.
Po pierwsze, nowelizacja została skierowana przez Prezydenta do Trybunału Konstytucyjnego, który rozstrzygnie o zgodności z Konstytucją regulacji dotyczących nakładania administracyjnych kar pieniężnych. Prezydent skorzystał z następczego, a nie prewencyjnego trybu kontroli, co oznacza, że ustawa uzyska moc obowiązującą zgodnie ze swoim zwykłym vacatio legis, tj. 3 kwietnia 2026 roku.
Do 2 października 2026 roku podmioty objęte regulacjami nowej ustawy będą miały czas na dokonanie samoidentyfikacji, czyli złożenie wniosku o wpis do centralnego rejestru prowadzonego przez ministra cyfryzacji.
Do 2 kwietnia 2027 roku, powinny wdrożyć środki zarządzania ryzykiem w cyberbezpieczeństwie a 3 kwietnia 2028 roku to termin na przeprowadzenie pierwszego obowiązkowego audytu podmiotów kluczowych. 3 kwietnia 2028 roku jest również datą od której zaczną być nakładane kary za nieprzestrzeganie przepisów ustawy.
Samoidentyfikacja
Pierwszym problemem, z którym mierzą się obecnie podmioty działające w sektorach regulowanych przez NIS2 i ustawę, jest samodzielna ocena tego, czy w ogóle mieszczą się w zakresie regulacji. Podmioty ważne i kluczowe są zobowiązane ocenić swój status i zgłosić się do rejestru prowadzonego przez MC. Zadanie to może nie być wcale proste – nowe regulacje wymagają wzięcia pod uwagę szeregu czynników. Pomocą może tu służyć przygotowana przez nas ankieta „Czy podlegasz pod NIS2”
Niedopełnienie obowiązku samoidentyfikacji i rejestracji może pociągać za sobą poważne konsekwencje – brak rejestracji może skutkować nałożeniem administracyjnej kary pieniężnej, która w przypadku podmiotów „ważnych” może wynosić do 7 mln euro albo do 1,4 proc. Obrotu rocznego.
Na koniec warto przytoczyć badania EY Polska i CSO Council oraz Trend Micro, z których wynika, że 25 proc. podmiotów w Polsce objętych nowymi przepisami nie ma świadomości, że NIS2 będzie ich dotyczyć!
