FAQ – Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC)

Podleganie pod przepisy UKSC oraz ustalenie statusu określonego podmiotu następuje z mocy prawa. Przepisy UKSC wprowadzają jednocześnie zasadę samoidentyfikacji, zgodnie z którą to podmiot podlegający pod przepisy UKSC powinien samodzielnie ocenić, czy jest podmiotem kluczowym lub ważnym. Każdy podmiot powinien to ocenić samodzielnie w oparciu o trzy podstawowe kryteria: rodzaj prowadzonej działalności, wielkość przedsiębiorstwa oraz miejsce prowadzenia działalności.

Podmioty kluczowe i ważne mają obowiązek dokonać samoidentyfikacji i złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Jeśli podmiot będzie spełniał przesłanki do uznania za podmiot kluczowy lub ważny już w dniu wejścia w życie nowelizacji UKSC (tj. 3 kwietnia 2026 r.), powinien złożyć wniosek o wpis najpóźniej do 3 października 2026 r.

Należy również pamiętać, że przepisy UKSC przewidują w tym zakresie częściowo autonomiczne regulacje dla podmiotów, które podlegają wpisowi do wykazu z urzędu (są to m.in. dotychczasowi operatorzy usług kluczowych, wybrane podmioty sektora publicznego, czy przedsiębiorcy telekomunikacyjni).

Dotychczasowi operatorzy usług kluczowych podlegają wpisowi do wykazu podmiotów kluczowych i ważnych z urzędu. Wpisu dokonuje Minister Cyfryzacji, który może wezwać te podmioty do uzupełnienia danych zawartych w wykazie.

Dotychczasowi operatorzy usług kluczowych zostali wyznaczeni na mocy decyzji administracyjnej wydanej przez odpowiedni organ nadzorczy. Jeżeli w odniesieniu do podmiotu nie została wydana taka decyzja, to na gruncie dotychczasowych przepisów nie jest on operatorem usługi kluczowej.

Niezależnie od tego, jeżeli dotychczasowy operator usługi kluczowych podlega pod przepisy UKSC również w oparciu o dodatkowe rodzaje działalności (inne niż dotychczas), powinien on złożyć wniosek w wpis do wykazu, w którym uwzględni te dodatkowe rodzaje działalności.

Określony podmiot będzie podmiotem kluczowym lub ważnych niezależnie od treści złożonego wniosku o wpis do wykazu podmiotów kluczowych i ważnych, ponieważ wpis w wykazie ma charakter deklaratoryjny.
Jednocześnie do wniosku o wpis do wykazu kierownik podmiotu kluczowego lub ważnego powinien dołączyć oświadczenie – składane pod rygorem odpowiedzialności karnej z art. 233 § 6 Kodeksu karnego – że dane zawarte we wniosku są zgodne z prawdą. Oznacza to, że jeżeli we wniosku o wpis umyślnie zostały przedstawione informacje niezgodne z prawdą, to takie działanie jest zagrożone sankcją karną. Jeżeli jednak informacje niezgodne z prawdą zostały przedstawione w sposób nieumyślny, to takie działanie nie będzie zagrożone karą.

Jeżeli średni przedsiębiorca działa w sektorze kluczowym, to jest podmiotem ważnym (ponieważ nie spełnia kryterium wielkości dla podmiotu kluczowego).

Należy przy tym pamiętać, że przepisy UKSC przewidują pewne wyjątki w tym zakresie – np. już mały przedsiębiorca wykonujący działalność jako dostawca usług zarządzanych w zakresie cyberbezpieczeństwa będzie uważany za podmiot kluczowy.

Jeżeli mikro lub mały przedsiębiorca działa w sektorze kluczowym lub ważnym, to co do zasady nie podlega pod regulacje UKSC (ponieważ nie spełnia kryterium wielkości).

Należy przy tym pamiętać, że przepisy UKSC przewidują pewne wyjątki w tym zakresie – np. przedsiębiorcy komunikacji elektronicznej, dostawcy usług zaufania czy podmioty będące operatorem obiektu energetyki jądrowej podlegają pod przepisy UKSC niezależnie od spełnienia kryterium wielkości.

Podmioty publiczne podlegają wpisowi do wykazu z urzędu. Minister Cyfryzacji wezwie jednak te podmioty do uzupełnienia brakujących danych w wykazie.

Wielkość podmiotu należy liczyć sumując dane dotyczące wielkości jego podmiotów powiązanych i partnerskich. Ta kwestia nie jest jednak regulowana przepisami UKSC, tylko unijnym rozporządzaniem nr 651/2014 (w szczególności tej kwestii dotyczy załącznik I do tego rozporządzenia).

Przepisy UKSC przewidują jednak ograniczoną możliwość wyłączenia obowiązku sumowania danych dotyczących wielkości podmiotów powiązanych i partnerskich, jeżeli określony podmiot nie świadczy usług wspólnie ze swoimi podmiotami powiązanymi i partnerskimi lub jeżeli jego systemy informacyjne są niezależne od systemów informacyjnych jego podmiotów powiązanych lub partnerskich.

Badając wielkość przedsiębiorstwa nie należy ograniczać pojęcie „pracownika” wyłącznie do osób zatrudnionych w oparciu o umowę o pracę. Ta kwestia nie jest jednak regulowana przepisami UKSC, tylko unijnym rozporządzaniem nr 651/2014 (w szczególności tej kwestii dotyczy art. 5 załącznika I do tego rozporządzenia).

Przepisy UKSC posługują się szerokim pojęciem „systemu informacyjnego”, nie zawężając go jedynie do systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej lub ważnej. Warto przy tym zauważyć, że przepisy UKSC regulują zarządzanie bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym „w procesach wpływających na świadczenie usług” – a nie jedynie w systemie wykorzystywanym do świadczenia danej usługi.

Tak, podmioty kluczowe i ważne mają ten sam termin na wdrożenie i rozpoczęcie stosowania nowych obowiązków. Warto jednak zwrócić uwagę na dwie kwestie:

1. dotychczasowi operatorzy usług kluczowych będą zobowiązani zgłaszać incydenty na nowych zasadach najpóźniej od 3 października 2026 r. podczas gdy pozostałe podmioty ważne i kluczowe mają taki obowiązek od 3 kwietnia 2027 r.;
2. podmioty ważne nie będą objęte obowiązkiem przeprowadzania cyklicznych audytów bezpieczeństwa, które podmioty kluczowe muszą po raz pierwszy przeprowadzić do dnia 3 kwietnia 2028 r..

Tak, podmioty zobowiązane do stosowania rozporządzenia wykonawczego 2024/2690 będą zobowiązane do wdrożenia wynikających z niego obowiązków najpóźniej w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Jeśli podmiot będzie spełniał przesłanki do uznania za podmiot kluczowy lub ważny już w dniu wejścia w życie nowelizacji UKSC (tj. 3 kwietnia 2026 r.), powinien zacząć stosować te obowiązki najpóźniej do 3 kwietnia 2027 r.

Dotychczasowi operatorzy usług kluczowych powinni wdrożyć system zarządzania bezpieczeństwem informacji zgodny z wymaganiami znowelizowanej UKSC najpóźniej do 3 kwietnia 2027 r. Do czasu wdrożenia nowego systemu operatorzy usług kluczowych mają obowiązek stosować dotychczasowe regulacje w tym zakresie.
Niezależnie od powyższego dotychczasowi operatorzy usług kluczowych mają obowiązek rozpocząć zgłaszanie incydentów poważnych w sposób wynikający ze znowelizowanej UKSC najpóźniej od 3 października 2027 r.

W ramach badania bezpieczeństwa i ciągłość łańcucha dostaw dla podmiotów ważnych i kluczowych należy uwzględnić związki pomiędzy bezpośrednim dostawcą produktów, usług i procesów ICT a podmiotem kluczowym lub ważnym.

Nie, jeżeli podmiot będący częścią łańcucha dostaw dla podmiotu kluczowego lub ważnego samodzielnie nie jest klasyfikowany jako podmiot kluczowy lub ważnym, to taki podmiot nie podlega obowiązkowi wpisu do wykazu podmiotów kluczowych i ważnych.

Przepisy UKSC przewidują możliwość nałożenia kary pieniężnej wyłącznie na podmioty kluczowe i ważne (oraz na kierowników tych podmiotów). A zatem jeżeli sam dostawca nie jest podmiotem kluczowym lub ważnym, nie będzie można nałożyć na niego kary pieniężnej na podstawie UKSC.

Można się jednak spodziewać, że jeżeli do powstania incydentu cyberbezpieczeństwa – i w konsekwencji nałożenia na podmiot kluczowy lub ważny kary pieniężnej – przyczyni się taki dostawca, to podmiot regulowany przepisami UKSC może próbować dochodzić roszczeń odszkodowawczych w stosunku do takiego dostawcy.

Jeżeli dostawca samodzielnie nie podlega pod przepisy UKSC (tj. nie jest podmiotem kluczowym ani ważnym), to nie będzie on objęty obowiązkiem audytowym wynikającym z UKSC.

Należy jednak pamiętać, że wymagania dotyczące audytów bezpieczeństwa mogą być nakładane na takiego dostawcę umownie przez jego klientów (np. w celu wykazania zgodności postępowania takiego podmiotu z przepisami UKSC w zakresie bezpieczeństwa łańcucha dostaw).

Przepisy UKSC nie przewidują żadnych włączeń dla podmiotów wchodzących w skład tej samej grupy kapitałowej. W konsekwencji również podmioty wchodzące w skład tej samej grupy kapitałowej powinny we wzajemnych relacjach zarządzać bezpieczeństwem łańcucha dostaw.

Przepisy UKSC nie wykluczają możliwości przeprowadzenia audytu wewnętrznego w celu realizacji obowiązku audytowego, o ile osoby przeprowadzające audyt spełnią wymagane warunki formalne (dotyczące posiadanego doświadczenia lub uprawnień) oraz w przeciągu roku przed dniem rozpoczęcia audytu nie będą realizowały w danym podmiocie obowiązków dotyczących zarządzania cyberbezpieczeństwem (wynikających z UKSC).

Jednocześnie należy pamiętać, że organ właściwy do spraw cyberbezpieczeństwa w określonych przypadkach może nakazać podmiotowi kluczowemu lub ważnemu przeprowadzenie zewnętrznego audytu bezpieczeństwa.

Przepisy UKSC nie wprowadzają żadnych domniemań co do sposobu zapewnienia zgodności, wobec czego przejście audytu zgodnie z normą ISO 27001 może okazać się niewystarczające dla wykazania zgodności z przepisami UKSC.

Należy przy tym zauważyć, że przepisy UKSC wymagają przeprowadzenia „audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi”, natomiast audyt zgodny z normą ISO 27001 dotyczy „systemu zarządzania bezpieczeństwem informacji” – przedmiot tych audytów nie jest więc ze sobą w pełni tożsamy.

Na podmioty ważne z sektora publicznego nie jest nakładany typowy obowiązek audytowy – tak jak ma to miejsce w przypadku podmiotów kluczowych.

Podmioty te co najmniej raz w roku mają jednak obowiązek dokonania przeglądu systemu zarządzania bezpieczeństwem informacji (a w przypadkach wskazanych w UKSC taki podmiot może mieć obowiązek bezzwłocznego przeprowadzenia dodatkowego przeglądu), co wynika z przepisów załącznika nr 4 do UKSC.

Do operatorów usług kluczowych, którzy wykonali już audyt bezpieczeństwa wymagany przez dotychczasowe UKSC, nie stosuje się przepisów wyznaczających 24 miesięczny okres na przeprowadzenie pierwszego audytu (wynika to z przepisów przejściowych). Oznacza to, że wynikający ze znowelizowanej UKSC trzyletni okres pomiędzy kolejnymi audytami należy liczyć od zakończenia poprzedniego audytu.
W przypadku wskazanym w pytaniu kolejny audyt powinien zostać przeprowadzony najpóźniej w maju 2027 r.

Odpowiedzialność za zarządzanie cyberbezpieczeństwem i realizację obowiązków wynikających z UKSC spoczywa na kierowniku podmiotu, tj. osobie kierującej podmiotem kluczowym lub ważnym. Przykładowo: w przypadku spółek kapitałowych pod tym pojęciem należy rozumieć członków zarządu lub innego organu zarządzającego, a w przypadku jednostek sektora finansów publicznych – kierownika jednostki sektora finansów publicznych.
Kierownik podmiotu (np. zarząd) może powierzyć faktyczną realizację tych obowiązków innej osobie (np. kierownikowi IT), ale kierownik podmiotu zawsze będzie ponosił prawną odpowiedzialności za realizację tych obowiązków.

Tak, wyznaczenie jednego członka zarządu, który będzie odpowiedzialny za wykonywanie obowiązków w zakresie cyberbezpieczeństwa, zwalnia pozostałych członków zarządu z odpowiedzialności za naruszenie przez podmiot przepisów UKSC.
Jednocześnie przepisy UKSC precyzują, że taka osoba będzie ponosiła odpowiedzialność także wtedy w przypadku, gdy faktyczne wykonywanie obowiązków w zakresie cyberbezpieczeństwa zostanie powierzone innej osobie, która nie jest członkiem zarządu (np. kierownikowi IT).

Kara pieniężna za naruszenie przepisów UKSC może zostać nałożona jedynie na kierownika podmiotu kluczowego lub ważnego (w przypadku spółek kapitałowych pod tym pojęciem należy rozumieć członków zarządu lub innego organu zarządzającego). Tym samym przepisy UKSC nie przewidują możliwości nałożenia kary pieniężnej na osobę niebędącą kierownikiem podmiotu, nawet jeżeli taka osoba jest faktycznie odpowiedzialna ze kwestie związane z zarządzaniem cyberbezpieczeństwem.

Decyzję w sprawie uznania podmiotu za dostawcę wysokiego ryzyka wydaje Minister Cyfryzacji po przeprowadzeniu postępowania administracyjnego, w tym po zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa. Szczegółowy przebieg tej procedury – w tym przesłanki do wydania decyzji oraz zasady dotyczące możliwości wzięcia udziału w tym postępowaniu – zostały opisane w art. 67b UKSC.

Nie, przepisy UKSC nie przewidują prawa do uzyskania odszkodowania w takim przypadku.

DORA stanowi lex specialis w stosunku do dyrektywy NIS 2 (a więc regulacji implementowanej w przepisach UKSC). Jednocześnie w pewnych sytuacjach i w określonym zakresie podmioty podlegające pod przepisy DORA mogą również podlegać pod przepisy UKSC – np. poprzez obowiązek złożenia wniosku o wpis do wykazu podmiotów kluczowych lub ważnych lub poprzez obowiązek wyznaczenia co najmniej dwóch osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Mimo że wynikający z przepisów CRA termin na rozpoczęcie zgłaszania incydentów zacznie być stosowany wcześniej niż ostateczny termin rozpoczęcia zgłaszania incydentów zgodnie z przepisami UKSC (w przypadku CRA termin ten przypada 11 września 2026 r.), to terminy te nie stoją ze sobą w sprzeczności ani się nie wykluczają.

Przepisy CRA nakładają bowiem obowiązek zgłaszania incydentów mających wpływ na bezpieczeństwo produktu z elementami cyfrowymi. Z kolei przepisy UKSC nakładają obowiązek zgłaszania incydentów mających wpływ na obniżenie jakości lub przerwanie ciągłości świadczenia usług przez podmiot kluczowy lub ważny, straty finansowe dla tego podmiotu lub wywołanie poważnej szkody materialnej lub niematerialnej dla innych podmiotów. Oznacza to, że na mocy przepisów CRA i UKSC zgłoszeniu podlegają zupełnie inne rodzaje incydentów.

Przepisu UKSC nie różnicują świadczenia usług na rzecz grupy kapitałowej i poza tę grupę. Oznacza to, że jeżeli podmiot z grupy kapitałowej będzie świadczył usługi zarządzanie w zakresie IT lub cyberbezpieczeństwa i jednocześnie będzie spełniał kryterium wielkości (w przypadku usług zarządzanych w zakresie cyberbezpieczeństwa kryterium to zostało obniżone do co najmniej małego przedsiębiorstwa), to taki podmiot będzie podlegał przepisom UKSC.

Świadczenie usług IT bardzo często będzie podlegać pod przepisy UKSC. Nie oznacza to jednak, że każde świadczenie usług IT będzie automatycznie podlegać przepisom UKSC, ponieważ nie wszystkie rodzaje usług IT będą rodzajowo odpowiadać działalności wskazanej w załączniku nr 1 lub nr 2 do UKSC.

Warto jednak pamiętać, że nawet jeżeli podmioty świadczące usługi IT nie będą w danych okolicznościach bezpośrednio regulowane przepisami UKSC, to ze strony ich klientów, (na rzecz których podmioty te świadczą usługi IT) mogą pojawić się dodatkowe wymagania, które będą służyły wykazaniu przez tego klienta, że dba on o bezpieczeństwa swojego łańcucha dostaw.

Są to usługi związane z instalacją, eksploatacją lub konserwacją produktów, usług lub procesów ICT lub systemów informacyjnych przez wsparcie lub aktywną administrację przeprowadzane u usługobiorcy na miejscu lub zdalnie. W praktyce jest to bardzo szerokie pojęcie, obejmujące dużą część usług IT.

Przepisy UKSC nie różnicują podlegania pod regulacje ustawy od formy prawnej prowadzenia działalności. Oznacza to, że osoba prowadząca jednoosobową działalność gospodarczą świadcząca usługi z zakresu cyberbezpieczeństwa może podlegać pod przepisy UKSC, jeśli spełnia wymagane przez przepisy UKSC kryterium wielkości (tj. jest co najmniej małym przedsiębiorstwem). Tym samym osoba prowadząca jednoosobową działalność gospodarczą kwalifikująca się jako mikroprzedsiębiorca i świadcząca usługi z zakresu cyberbezpieczeństwa nie będzie podlegać pod przepisy UKSC.

Urząd gminy podlega pod przepisy UKSC, jeżeli zatrudnia co najmniej 50 pracowników w przeliczeniu na pełny wymiar czasu pracy na podstawie umowy o pracę.

UKSC nie odnosi się wprost do tego rodzaju działalności. Organizator sieci sklepów franczyzowych może jednak podlegać pod przepisy UKSC w oparciu o inne przesłanki – przykładowo: jeśli dostarcza systemy informatyczne dla sieci i nimi zarządza, to może podlegać jako podmiot świadczący usługi „cyfrowe”.

Dostawcą internetowej platformy handlowej jest przedsiębiorca dostarczający usługę cyfrową (platformę), która umożliwia zawieranie umów na odległość powinno między konsumentem a innymi przedsiębiorcą (tzw. B2C) lub dwoma osobami fizycznym niebędącymi przedsiębiorcami (tzw. C2C). Należy przy tym podkreślić dwie ważne kwestie:

1. platforma musi umożliwiać zawieranie umów na odległość (w praktyce nie każda platforma oferuje taką możliwość);
2. w przypadku zawierania umów w modelu B2C wskazuje się na konieczność zawarcia umowy z innym przedsiębiorcą (a więc z innym podmiotem niż dostawca platformy).

Jeżeli podmiot leczniczy w rozumieniu ustawy o działalności leczniczej jest przedsiębiorcą, to podlega pod regulacje UKSC na zasadach ogólnych wynikających z UKSC. Jeżeli natomiast podmiot leczniczy nie jest przedsiębiorcą, to:

1. jest podmiotem ważnym, jeśli zatrudnia od 50 do 249 osób lub
2. jest podmiotem kluczowym, jeśli zatrudnia co najmniej 250 osób.

Jednocześnie profil działalności takiego podmiotu (np. szpital, przychodnia czy ośrodek rehabilitacyjny) nie ma znaczenia z perspektywy podlegania pod przepisy UKSC.

Tak. Uczelnie podlegają pod przepisy UKSC jako podmioty z sektora badań naukowych (jako podmiot, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce).

Incydenty należy zgłaszać właściwemu CSIRT sektorowemu (Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego) za pośrednictwem dedykowanego systemu informatycznego (systemu S46). Na ten moment system S46 nie obsługuje jeszcze funkcjonalności zgłaszania incydentów.

Progi uznania incydentu za poważny (czyli incydentu podlegającego zgłoszeniu) w odniesieniu dla poszczególnych podmiotów z sektorów kluczowych i ważnych zostaną określone w rozporządzeniu Rady Ministrów.

Wyjątek od tej zasady stanowią podmioty z sektorów „cyfrowych” (z wyłączeniem przedsiębiorców komunikacji elektronicznej), ponieważ w odniesieniu do tych podmiotów progi uznania incydentu za poważny zostały określone w rozporządzeniu wykonawczym Komisji (UE) 2024/2690 z dnia 17 października 2024 r.

Tak, wymagania wynikające z rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI) wciąż będą obowiązywały mimo wejścia w życie przepisów UKSC.

Z uzasadnienia do projektu UKSC wynika, że niezbędna będzie nowelizacja KRI, aby wykluczyć kolizję tych przepisów z przepisami UKSC. Wydaje się jednocześnie, że nie należy się jednak spodziewać, aby doszło do tego przed faktycznym rozpoczęciem stosowania przepisów UKSC (np. upływu terminu na wdrożenie wymaganych środków zarządzania ryzykiem w cyberbezpieczeństwie).
Jednocześnie nie należy się spodziewać uchylenia KRI w całości, ponieważ poza wymaganiami z zakresu cyberbezpieczeństwa przepisy KRI regulują również inne zagadnienia.