Zakres obowiązków podmiotów ważnych i kluczowych wynikających ze znowelizowanych przepisów o cyberbezpieczeństwie
Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa dobiegł końca. Dlatego też warto zebrać w jednym miejscu, w formie listy sprawdzającej, obowiązki kierowników niektórych podmiotów, np. członka zarządu, wspólnika, dyrektora SP ZOZ, na których nowelizacja nałożyła szereg nowych obowiązków.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa miała na celu wdrożenie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (dalej zwanej NIS-2 lub dyrektywą; patrz: podstawa prawna). W dalszej części niniejszego opracowania:
ustawę o krajowym systemie cyberbezpieczeństwa opisano skrótem uksc; jej nowelizację z 23 stycznia 2026 r. określa się jako "nowelizacja".
Uksc obecnie kieruje nowe obowiązki do podmiotów, w tym firm, zaliczonych do kategorii podmiotów kluczowych i ważnych (dalej: PKW), a tym samym do ich kierowników. Kwestia zaliczania się do tej kategorii wymaga zatem odrębnej analizy. Skrótowo można wskazać, że często PKW będą duże przedsiębiorstwa energetyczne, szpitale, średnie lub duże firmy mające do czynienia z chemikaliami, ściekami odpadami i lekami, podmioty zaopatrujące w wodę, czy też jednostki sektora finansów publicznych - z zastrzeżeniem szczegółowych unormowań uksc - a przy ich indywidualnej identyfikacji pomoc stanowi treść załączników do uksc.
Uwaga!
Część przepisów nowelizacji wprost skierowano do kierowników PKW. Za ich niewypełnianie kierownik może otrzymać karę finansową. Kierownik ponosi odpowiedzialność za wykonywanie wskazanych w niniejszym kwestionariuszu zadań także wtedy, gdy niektóre z jego obowiązków albo wszystkie obowiązki powierzono innej osobie za jego zgodą.
Dlatego też do istotnych kwestii zarządczych należy poznanie poniższego zakresu odpowiedzialności kierownika. Poniższa lista pomoże sprawdzić, czy kierownik podmiotu z kategorii PKW wypełnia podstawowe obowiązki ustalone przez uksc w obecnym brzmieniu.
Sama nowelizacja, a zwłaszcza jej artykuł 33, przewidują szereg przepisów przejściowych, co ma umożliwić PKW i ich kierownikom przegląd własnych procedur w celu dostosowania ich do nowych zasad.
Przykład
Podmioty, które z dniem wejścia w życie nowelizacji (3 kwietnia 2026 r.) spełniają przesłanki uznania ich za podmiot kluczowy albo za podmiot ważny, mają rozpocząć realizuję zaktualizowanych obowiązków określonych w rozdziale 3 uksc "Obowiązki podmiotów kluczowych i ważnych" w terminie 12 miesięcy od dnia wejścia w życie nowelizacji (kwiecień 2027r.). Rozdział 3 obejmuje art. 8-16 uksc, tj. znakomitą większość przepisów opisanych w poniższym kwestionariuszu.
Zasadniczo karę pieniężną dla kierownika PKW można wymierzyć w kwocie nie większej niż 300 % otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop (kara wynosi do 100% ww. wynagrodzenia w przypadku kierownika PKW zaliczanego do podmiotów publicznych).
Kary przewidziane wobec kierownika PKW można będzie po raz pierwszy nałożyć po upływie 2 lat od dnia wejścia w życie nowelizacji (a zatem od kwietnia 2028 r.). Przepisy przewidują również możliwość wydania zakazu pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu do czasu usunięcia uchybień lub zaprzestania naruszeń (o ile nie doprowadzi to do uniemożliwienia funkcjonowania podmiotu kluczowego w zakresie niezbędnym do usunięcia uchybień lub zaprzestania naruszeń). Zakaz wydaje organ właściwy ds. cyberbezpieczeństwa (np. minister właściwy dla sektora, w którym działa dany podmiot).
Poniższy kwestionariusz często operuje pojęciem "usługi". Uksc zawiera opis wielu usług, do których taki ogólny termin się odnosi. Należy zatem wyjaśnić, że pod pojęciem niezdefiniowanej wprost "usługi" może się kryć - w zależności od konkretnej sytuacji - wiele usług wspomnianych w uksc, np. usługa DNS, usługa chmury obliczeniowej, usługa centrum przetwarzania danych, ICT i - co istotne dla szerszej grupy firm - usługi wymienione w załącznikach do uksc w kontekście zakwalifikowania firmy do kategorii PKW (np. usługa w zakresie transportu odpadów). W przypadku podmiotu publicznego pod pojęciem usługi należy także rozumieć zadanie publiczne realizowane przez ten podmiot. Tym samym, określenie co w danym przypadku będzie usługą (lub usługami) podlegającą/podlegającymi przepisom uksc, wymaga każdorazowo indywidualnego podejścia.
WZÓR
Lista sprawdzająca: podstawowe obowiązki kierownika PKW wynikające z ustawy o krajowym systemie cyberbezpieczeństwa w brzmieniu obowiązującym od 3 kwietnia 2026 r.
Pytanie
Odpowiedź
Uwagi (obok uwag wydawnictwa, osoba weryfikująca listę może wpisywać komentarze)
TAK
NIE
N/D
I. Status kierownika i obowiązki związane z wykazem PKW
Czy jesteś kierownikiem w rozumieniu uksc?
Według uksc, kierownik podmiotu kluczowego lub podmiotu ważnego (PKW) to:
kierownik jednostki w rozumieniu art. 3 ust. 1 pkt 6 ustawy o rachunkowości, który kieruje PKW albo kierownik jednostki sektora finansów publicznych, o którym mowa w art. 53 ust. 1 ustawy o finansach publicznych - w przypadku PKW będącego jednostką sektora finansów publicznych.
Z punktu widzenia przedsiębiorstw kluczowa będzie zatem definicja z ustawy o rachunkowości, zgodnie z którą za kierownika jednostki należy uznać członka zarządu lub innego organu zarządzającego, a jeżeli organ jest wieloosobowy - członków tego organu, z wyłączeniem pełnomocników ustanowionych przez jednostkę. Jednakże, za kierownika jednostki należy uznać w przypadku:
spółki jawnej i spółki cywilnej - wspólników prowadzących sprawy spółki; spółki partnerskiej - wspólników prowadzących sprawy spółki albo zarząd; spółki komandytowej i spółki komandytowo-akcyjnej - komplementariuszy prowadzących sprawy spółki; osoby fizycznej prowadzącej działalność gospodarczą - tę osobę.
Powyższa zasada znajdzie odpowiednio zastosowanie do osób wykonujących wolne zawody.
Za kierownika jednostki należy uznać również:
likwidatora, a także syndyka lub zarządcę ustanowionego w postępowaniu restrukturyzacyjnym oraz zarządcę sukcesyjnego, o którym mowa w ustawie o zarządzie sukcesyjnym przedsiębiorstwem osoby fizycznej i innych ułatwieniach związanych z sukcesją przedsiębiorstw albo osobę, o której mowa w art. 14 tej ustawy (np. spadkobiercę przedsiębiorcy, który legalnie podejmuje opisane w art. 13 tej ustawy czynności w ramach przedsiębiorstwa), która dokonała zgłoszenia, o którym mowa w art. 12 ust. 1c ustawy z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (zgłoszenia do naczelnika urzędu skarbowego o kontynuowaniu prowadzenia przedsiębiorstwa).
Uwaga
W przypadku niektórych zdefiniowanych kierowników, np. kierownika podmiotu wykonującego działalność leczniczą zdefiniowanego w ustawie o działalności leczniczej, aby poznać swój status kierownika PKW w rozumieniu uksc, należy stosować definicję zawartą w uksc.
Uksc doprecyzowuje, że gdy kierownikiem PKW jest organ wieloosobowy i nie wskazano osoby odpowiedzialnej, odpowiedzialność ponoszą wszyscy członkowie tego organu.
Kierownik PKW odpowiada zwłaszcza za kwestie wskazane w art. 8c uksc, tj. za kwestie wymienione w tym przepisie jako odsyłającym do poszczególnych artykułów ustawy.
Czy kierownik zna swoje obowiązki związane z zapewnieniem wpisu do wykazu PKW?
Według nowych przepisów, PKW muszą same złożyć wniosek o wpis do wykazu PKW ustanowionego w miejsce dotychczasowego wykazu operatorów usług kluczowych. Muszą tego dokonać, w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (zasada samoidentyfikacji PKW).
Za dopilnowanie tej procedury odpowiada właśnie kierownik PKW (obowiązek z art. 7c uksc jako przypisany kierownikowi na podstawie art. 8c tej ustawy).
Uwaga
Podmioty, które z dniem 3 kwietnia 2026 r. spełniają przesłanki uznania ich za PKW, muszą złożyć wniosek o wpis do wykazu PKW zgodnie z harmonogramem określonym w art. 34 ust. 3 pkt 1 uksc (przepis odsyła do przyszłego komunikatu ministra właściwego do spraw informatyzacji, który podlega ogłoszeniu w dzienniku urzędowym ministra).
Czy kierownik zna swoje obowiązki związane z uzupełnianiem danych w wykazie PKW
Pomimo zasadniczej samoidentyfikacji PKW pod kątem ich wpisania w wykazie PKW, w przypadku:
przedsiębiorców telekomunikacyjnych; dostawców usług zaufania; podmiotów publicznych oraz podmiotów krytycznych
- minister właściwy do spraw informatyzacji z urzędu wpisuje do wykazu PKW dane, o których mowa w art. 7 ust. 2 pkt 1-8 oraz pkt 19-26 uksc (tj. np. nazwę, adres, sektor), dotyczące tych podmiotów - na podstawie danych zawartych w rejestrach publicznych, bazie adresów elektronicznych lub przekazanych przez właściwe organy nadzorcze.
Art. 7b ust. 4 uksc stanowi, że powyżej wskazane 4 typy PKW mają uzupełniać dane w wykazie, składając wniosek o zmianę wpisu w tym wykazie, w tym również uzupełnić dane w wykazie w zakresie ich działalności, której nie objęto wpisem z urzędu. Za tego typu aktualizacje odpowiada właśnie kierownik takich PKW, o czym przesądza art. 8c uksc.
Jak stanowi art. 34 nowelizacji:
minister właściwy do spraw informatyzacji wpisuje, z urzędu, do wykazu PKW tych operatorów usług kluczowych, których wpisano przed 3 kwietnia 2026 r. do wcześniejszego wykazu operatorów usług kluczowych; art. 7b uksc dodany nowelizacją należy stosować odpowiednio, co oznacza że powyższe obowiązki kierownika z art. 7b ust. 4 (uzupełnianie danych) dotyczą także podmiotów wpisanych w dotychczasowym wykazie operatorów usług kluczowych.
Czy kierownik zna swoje obowiązki związane ze składaniem ewentualnego wniosku o wykreślenie z wykazu PKW?
Kierownik PKW musi dopilnować, aby PKW złożyły ewentualny wniosek o wykreślenie z wykazu PKW. Obowiązek ten wynika z art. 7f ust. 3 uksc w związku z obowiązkami kierownika PKW określonymi w art. 8c tej ustawy.
Taki wniosek należy złożyć za pomocą systemu teleinformatycznego (system zarządzania cyberbezpieczeństwem S46). Trzeba tego dokonać w zakresie sektora, podsektora lub rodzaju działalności. Obowiązek ten zaistnieje, jeżeli dany podmiot przestał spełniać przesłanki uznania go za podmiot
kluczowy lub podmiot ważny w tym sektorze, podsektorze lub dla określonego rodzaju działalności. Wniosek o wykreślenie z wykazu zawierać powinien uzasadnienie.
Przykład
Firma X przestaje świadczyć usługi w zakresie gospodarowania odpadami. W takim wypadku kierownik PKW musi zadbać o wykreślenie z wykazu w zakresie sektora gospodarowania odpadami.
II. System zarządzania bezpieczeństwem informacji (SZBI) i weryfikacja informacji z Krajowego Rejestru Karnego
Czy kierownik zna swoje obowiązki związane z prowadzeniem SZBI?
System Zarządzania Bezpieczeństwem Informacji (SZBI) ma zapewniać m.in.:
prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, czy też wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych
- o czym wiedzą dotychczasowi operatorzy usług kluczowych.
Kierownik PKW odpowiada za to, aby PKW wdrożył SZBI zawierający elementy wymagane przepisami, o czym przesądza art. 8c w związki z art. 8 uksc.
W porównaniu do dotychczasowych przepisów wymagany zakres SZBI uległ rozbudowie, zwłaszcza we kontekście środków technicznych i organizacyjnych odpowiednich do oszacowanego ryzyka. W przypadku podmiotów, które dopiero uzyskają status PKW, budowa lub przebudowa SZBI w sposób zgodny z uksc może stanowić kompletną nowość.
Przykład
Dotychczas SZBI miał m.in. zapewniać wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy. Obecnie zobowiązano PKW do wdrożenia ww. środków
uwzględniających - poza najnowszym stanem wiedzy - również koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, skutki społeczne i gospodarcze, podając rozbudowany katalog przykładowych działań w tym zakresie (m.in. wprowadzenie polityk szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityk tematycznych). Dochodzą także obowiązki m.in. w zakresie zapewnienia odpowiedniej edukacji personelu w zakresie cyberbezpieczeństwa.
Uwaga
Wdrożenie SZBI należy do kierownika PKW, o czym przesądza art. 8c uksc w związku z art. 8 tej ustawy. Kierownik zwykle nie szykuje procedur osobiście, ale musi zorganizować proces ich stworzenia, zebrania i aktualizacji.
Podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI w podmiocie wskazano bowiem jako obowiązek kierownika PKW w art. 8d uksc.
Co więcej, należy uważać na ewentualne wskazania szczególne. Rada Ministrów może bowiem określić rozporządzeniem, odrębnie dla danego rodzaju działalności wykonywanej przez PKW, szczegółowe wymagania dla SZBI, biorąc pod uwagę rekomendacje międzynarodowe o charakterze specjalistycznym, w tym rekomendacje Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa (ENISA), wielkość podmiotu, skalę działalności wykonywanej przez te podmioty oraz potrzebę podejmowania przez te podmioty działań zapewniających cyberbezpieczeństwo.
Uwaga
W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.
Czy kierownik zna swoje obowiązki związane z przedstawianiem zaświadczeń z KRK?
Art. 8c uksc pośrednio wskazał kierownika PKW jako odpowiedzialnego za zebranie informacji z Krajowego Rejestru Karnego, przywołując art. 8f ust. 1 i 2.
Art. 8f uksc stanowi bowiem, że przed rozpoczęciem realizacji następujących zadań:
wdrażanie SZBI oraz obsługa incydentu w zakresie podanym w art. 11 uksc (w tym prowadzenie związanej z nim dokumentacji)
- osoba, która ma te zadania realizować, musi przedstawić PKW informację z Krajowego Rejestru Karnego stwierdzającą niekaralność za przestępstwa przeciwko ochronie informacji. Kierownik PKW może dopuścić taką osobę do realizacji ww. zadań dopiero po otrzymaniu takiej informacji
Ponadto, kierownik PKW odpowiada za to, aby PKW wezwał osobę realizującą ww. zadania do ponownego przedstawienia informacji o osobie z Krajowego Rejestru Karnego, jeżeli poweźmie uzasadnione podejrzenie, że osobę tą skazano za przestępstwo przeciwko ochronie informacji.
Uwaga
Wymagania w zakresie informacji z Krajowego Rejestru Karnego przepisy uznają za spełnione, jeżeli osoba realizująca wskazane zadania posiada ważne poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli "poufne" lub wyższej.
Należy także pamiętać, że osoba skazana prawomocnym wyrokiem sądu za przestępstwa przeciwko ochronie informacji nie może realizować zadań wskazanych w niniejszej rubryce.
Uwaga
Podmioty kluczowe lub podmioty ważne, które przed 3 kwietnia 2026 r. były operatorami usług kluczowych, do czasu wdrożenia SZBI zgodnego z nowym brzmieniem art. 8 uksc, stosować mają SZBI zgodny z art. 8 uksc w brzmieniu dotychczasowym
III. Zapewnienie wymaganego przepływu informacji z osobami i jednostkami zewnętrznymi
Czy kierownik wie o obowiązku wyznaczenia co najmniej 2 osób do kontaktu z podmiotami ksc?
Kierownik PKW odpowiada za to, żeby PKW wyznaczył co najmniej 2 osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
Podmioty ksc to m.in.:
CSIRT MON; CSIRT NASK; CSIRT GOV oraz CSIRT sektorowe (ustanowione przez organ właściwy do spraw cyberbezpieczeństwa dla danego sektora lub podsektora)
Skrót CSiRT oznacza "Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego"
Czy kierownik wie o odpowiedzialności za politykę informacyjną wobec użytkowników?
Kierownik PKW odpowiada za to, aby PKW zapewnił użytkownikom usług dostęp do wiedzy pozwalającej na zrozumienie cyberzagrożeń i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczonymi usługami, m.in. przez udostępnianie informacji na ten temat na swojej stronie internetowej.
Uwaga
Obowiązek ten można wypełnić poprzez zamieszczenie na stronie internetowej podmiotu hiperłącza do stron internetowych organu właściwego do spraw cyberbezpieczeństwa, CSIRT GOV, CSIRT MON, CSIRT NASK lub CSIRT sektorowego.
Czy kierownik wie o odpowiedzialności za politykę umożliwienia dokonywania zgłoszeń?
Kierownik PKW odpowiada za to, aby PKW zapewnił użytkownikowi usługi możliwość zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą.
Czy kierownik wie o odpowiedzialności za rozpoczęcie korzystania z systemu s46?
Kierownik PKW odpowiada za to, aby PKW - po uzyskaniu wpisu podmiotu do wykazu PKW - rozpoczął korzystanie z systemu teleinformatycznego tworzonego przez ministra właściwego do spraw informatyzacji (art. 46 ust. 1 uksc), tj. systemu zarządzania cyberbezpieczeństwem S46.
Czy PKW przewidział wyznaczenie co najmniej jednej osoby odpowiedzialnej za utrzymywanie kontaktów z innymi PKW? (dotyczy sektora MSP i podmiotu ważnego będącego podmiotem publicznym)
Kierownik odpowiada za to, aby PKW wyznaczył co najmniej jedną osobę, która odpowiadać będzie za utrzymywanie kontaktów z innymi PKW.
Taką osobę musi wyznaczyć PKW będący mikro- lub małym przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do unijnego rozporządzenia 651/2014/UE. Ten unijny przepis stanowi, że:
do kategorii mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw ("MŚP") należą przedsiębiorstwa, które zatrudniają mniej niż 250 pracowników i których roczny obrót nie przekracza 50 milionów EUR, lub roczna suma bilansowa nie przekracza 43 milionów EUR; w kategorii MŚP małe przedsiębiorstwo należy definiować jako przedsiębiorstwo, które zatrudnia mniej niż 50 pracowników i którego roczny obrót lub roczna suma bilansowa nie przekracza 10 milionów EUR; w kategorii MŚP mikroprzedsiębiorstwo należy definiować jako przedsiębiorstwo, które zatrudnia mniej niż 10 pracowników i którego roczny obrót lub roczna suma bilansowa nie przekracza 2 milionów EUR
Jednakże ww. MŚP muszą należeć do kategorii PKW, aby podlegały niniejszemu obowiązkowi w zakresie wyznaczania osoby do kontaktu.
Ten obowiązek dotyczy także podmiotu ważnego będącego podmiotem publicznym.
Uwaga
W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.
IV. Obowiązki związane z dokumentacją bezpieczeństwa systemu informacyjnego (DBSI)
Czy kierownik zna swoje obowiązki związane z dopilnowaniem stworzenia DBSI?
Kierownik odpowiada za to, aby PKW opracował, stosował i aktualizował na bieżąco dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (dalej: DBSI). Taki system to zwłaszcza system teleinformatyczny (szczegółową definicję umieszczono w definicjach w ramach uksc).
Taką DBSI przepisy dzielą na normatywną i operacyjną.
Dokumentacja normatywna to m.in.:
dokumentacja SZBI (o SZBI była mowa wcześniej); dokumentacja ochrony infrastruktury, z wykorzystaniem której firma świadczy usługę; dokumentacja systemu zarządzania ciągłością działania; dokumentacja techniczna systemu informacyjnego wykorzystywanego w procesie świadczenia usługi; dokumentacja wynikająca ze specyfiki świadczonej usługi w danym sektorze lub podsektorze.
Dokumentację operacyjną stanowią natomiast zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych.
DBSI można prowadzić w postaci papierowej lub elektronicznej.
Czy kierownik ustanowił nadzór nad DBSI?
Kierownik odpowiada za to, aby PKW ustanowił nadzór nad DBSI, a nadzór ma zapewnić:
dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami; ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności oraz oznaczanie kolejnych wersji dokumentów w sposób umożliwiający określenie zmian dokonanych w tych dokumentach.
Czy kierownik wie o konieczności dopilnowania obowiązków w zakresie przechowywania i niszczenia DBSI?
Kierownik odpowiada za to, aby PKW przechowywał DBSI przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi. Termin ten liczymy od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania. Przepis nie obowiązuje wobec podmiotów podlegających ustawie o narodowym zasobie archiwalnym i archiwach.
Uwaga
Zniszczenie wycofanej z użytkowania dokumentacji należy potwierdzić protokołem brakowania zawierającym zwłaszcza:
datę protokołu; oznaczenie niszczonej dokumentacji; opis sposobu zniszczenia oraz dane osoby zatwierdzającej protokół.
Protokoły brakowania DBSI należy przechowywać w sposób trwały.
Uwaga
W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.
V. Obowiązki kierownicze
Czy kierownik wie, jakie obowiązki o ściśle kierowniczym charakterze musi wykonywać na podstawie uksc?
Art. 8d uksc wprost wskazuje, że do zadań kierownika PKW należy:
podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI w podmiocie, którym kieruje; planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa; przydzielanie zadań z zakresu cyberbezpieczeństwa w tym podmiocie i nadzorowanie ich wykonania; zapewnienie, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje podmiotu w tym zakresie; zapewnienie zgodności działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.
Powyższe zadania nachodzą na inne zadania wymienione w niniejszym kwestionariuszu i mają uświadomić kierownikowi PKW zakres działań, które musi podjąć odgórnie, aby wypełnić aktualne wymogi uksc.
VI. Obowiązki związane z obsługą incydentów bezpieczeństwa - art. 11-12b uksc
Czy kierownik zna swoje obowiązki związane z obsługą incydentów bezpieczeństwa?
Kierownik odpowiada za to, aby PKW:
zapewniał obsługę incydentu, rozumianego jako zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych; zapewniał dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu w zakresie niezbędnym do realizacji jego zadań; klasyfikował incydent jako poważny* na podstawie progów uznawania incydentu za poważny (progi te ma określić rozporządzenie Rady Ministrów); zgłaszał do właściwego CSIRT sektorowego wczesne ostrzeżenie o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia (za pomocą systemu S46); zgłaszał do właściwego CSIRT sektorowego incydent poważny niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia (art. 11 ust. 1a uksc przewiduje w przypadku dostawcy usług zaufania krótszy, 24-godzinny termin) - za pomocą systemu S46; przekazywał, na wniosek właściwego CSIRT sektorowego, sprawozdanie okresowe z obsługi incydentu poważnego (za pomocą systemu S46); przekazywał właściwemu CSIRT sektorowemu sprawozdanie końcowe z obsługi incydentu poważnego, nie później niż w ciągu miesiąca od dnia zgłoszenia incydentu poważnego (za pomocą systemu S46); współdziałał podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowym, przekazując niezbędne dane, w tym dane osobowe; usuwał podatności, o których mowa w art. 32 ust. 2 uksc oraz informował o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa (CSIRT MON, CSIRT NASK lub CSIRT GOV mogą bowiem wystąpić do organu właściwego do spraw cyberbezpieczeństwa z wnioskiem o wezwanie PKW, aby w wyznaczonym terminie usunął podatności, które doprowadziły lub mogłyby doprowadzić do incydentu poważnego lub krytycznego)
* incydent poważny - wg uksc to incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez PKW, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej
Uwaga
W zakresie dokumentacji związanej z incydentem, której istnienie i zawartość powinien nadzorować kierownik, uksc obecnie przewiduje:
dokumentacja z klasyfikacji incydentu; wczesne ostrzeżenie o incydencie poważnym; zgłoszenie incydentu poważnego; sprawozdania okresowe z obsługi incydentu poważnego (na wniosek CSIRT); sprawozdanie końcowe z obsługi incydentu poważnego oraz inne dokumenty - związane z komunikacją z uprawnionymi podmotami.
Czy kierownik zna swoje obowiązki związane z informowaniem użytkowników o cyberzagrożeniach i poważnych incydentach?
Kierownik odpowiada za to, aby PKW - w przypadku zaistnienia poważnego cyberzagrożenia** - poinformował użytkowników swoich usług, na których takie cyberzagrożenie* może mieć wpływ, o możliwych środkach zapobiegawczych, które użytkownicy ci mogą podjąć.
Należy poinformować tych użytkowników o samym poważnym cyberzagrożeniu, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa systemów informacyjnych. Kierownik odpowiada także za to, aby PKW poinformował użytkowników swoich usług o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie tych usług.
* cyberzagrożenie* - wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć w przypadku sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób
* poważne cyberzagrożenie - cyberzagrożenie, które przez swoje właściwości techniczne może mieć poważny wpływ na bezpieczeństwo systemów informacyjnych lub użytkowników tych systemów przez wywołanie poważnej szkody materialnej lub niematerialnej.
Czy kierownik wie o konieczności dopilnowania poprawności formalnej dokumentacji związanej ze zgłaszaniem incydentów?
W nawiązaniu do poprzedniej rubryki, wczesne ostrzeżenie ma zawierać:
dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer z właściwego rejestru, siedzibę i adres; imię i nazwisko, numer telefonu służbowego oraz adres służbowej poczty elektronicznej osoby dokonującej zgłoszenia; imię i nazwisko, numer telefonu służbowego oraz adres służbowej poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji; wskazanie momentu wystąpienia i wykrycia incydentu poważnego oraz czas jego trwania; wskazanie, czy incydent poważny został wywołany działaniem bezprawnym lub działaniem w złej wierze, jeżeli mamy możliwość dokonanie takiej oceny; określenie, czy incydent dotyczy innych państw członkowskich Unii Europejskiej.
Uwaga
Pracę kierownikowi ułatwia fakt, że powyższe wczesne ostrzeżenie może zawierać wniosek do CSIRT sektorowego o wskazanie wytycznych dotyczących możliwych do wdrożenia środków ograniczających skutki incydentu poważnego lub o dodatkowe wsparcie techniczne przy obsłudze incydentu. CSIRT sektorowy - nie później niż w ciągu 24 godzin - powinien przekazać podmiotowi zgłaszającemu:
wytyczne dotyczące wdrożenia ww. środków (lub udzielić mu dodatkowego wsparcia technicznego) oraz informacje o sposobie zgłoszenia incydentu organom ścigania - w przypadku incydentu poważnego wyczerpującego znamiona przestępstwa.
Zgłoszenie incydentu poważnego musi natomiast zawierać:
opis wpływu incydentu poważnego na świadczenie usługi, w tym: wskazanie usługi zgłaszającego, na którą incydent poważny miał wpływ, liczbę użytkowników usługi, na których incydent poważny miał wpływ, zasięg geograficzny obszaru, którego dotyczy incydent po
ważny oraz wpływ incydentu poważnego na świadczenie usługi przez inne podmioty;
opis przyczyn tego incydentu, sposób jego przebiegu oraz prawdopodobne skutki oddziaływania na systemy informacyjne lub świadczone usługi; informacje o podjętych działaniach zapobiegawczych; informacje o podjętych działaniach naprawczych; aktualizację informacji zawartych we wczesnym ostrzeżeniu o incydencie, jeżeli nastąpiła ich zmiana; fakultatywnie - inne istotne informacje związane z przebiegiem incydentu poważnego lub podjętymi działaniami.
Uwaga
W zgłoszeniu incydentu trzeba przekazywać informacje znane w chwili dokonywania zgłoszenia, które należy uzupełniać w trakcie obsługi incydentu poważnego.
We wspomnianych wczesnych ostrzeżeniach lub zgłoszeniach należy też przekazać, w niezbędnym zakresie, informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań właściwego CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowego. Takie informacje należy oznaczyć.
Sprawozdanie końcowe musi natomiast zawierać:
szczegółowy opis incydentu poważnego, w tym spowodowane zakłócenia i szkody; rodzaj zagrożenia lub przyczynę, która prawdopodobnie była źródłem incydentu; zastosowane i wdrażane środki ograniczające ryzyko; transgraniczne skutki incydentu (jeżeli takie skutki wystąpiły).
Uwaga
Jeżeli obsługi incydentu poważnego nie zakończono w terminie składania sprawozdania końcowego, należy przekazać właściwemu CSIRT sektorowemu:
sprawozdanie z postępu obsługi tego incydentu (za pomocą systemu S46) oraz sprawozdanie końcowe nie później niż w ciągu miesiąca od zakończenia obsługi incydentu poważnego.
Uwaga
W celu realizacji tych zadań kierownik odpowiada za to, aby PKW powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.
Do podmiotu ważnego będącego podmiotem publicznym należy stosować przepisy art. 11 i art. 12 uksc, z wyjątkiem przepisów o przekazywaniu wczesnego ostrzeżenia, sprawozdania okresowego, sprawozdania z postępu obsługi incydentu i sprawozdania końcowego.
Podmioty kluczowe lub podmioty ważne, które przed dniem wejścia w życie nowelizacji były operatorami usług kluczowych, mają zgłaszać incydenty poważne zgodnie z art. 11-12b w nowym brzmieniu w terminie 6 miesięcy od dnia wejścia w życie nowelizacji.
VII. Obowiązki związane z dopilnowaniem terminowego przeprowadzania audytu bezpieczeństwa systemu informacyjnego
Czy kierownik zna swoje obowiązki związane z zapewnieniem audytu bezpieczeństwa?
Kierownik odpowiada za to, aby podmiot kluczowy przeprowadził, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (dalej: audyt). Powyższy 3-letni termin należy liczyć od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.
Podmiot kluczowy musi przedstawiać - w wersji elektronicznej - kopię raportu z przeprowadzonego audytu organowi właściwemu do spraw cyberbezpieczeństwa, w terminie 3 dni roboczych od dnia jego otrzymania przez PKW.
Organ właściwy do spraw cyberbezpieczeństwa, może nakazać przeprowadzenie audytu:
odmiotowi kluczowemu - w każdym czasie lub podmiotowi ważnemu - w przypadku wystąpienia incydentu poważnego lub innego naruszenia uksc przez ten podmiot,
- wraz z określeniem terminu przekazania kopii raportu z przeprowadzonego audytu i wskazaniem rodzaju podmiotów uprawnionych do jego przeprowadzenia. Organ może również określić zakres audytu.
Art. 15 ust. 2 i 2a wskazują, kto taki audyt może przeprowadzić, a kto jest w takim przypadku wykluczony (audytu nie może, wg aktualnych przepisów, przeprowadzić m.in. osoba realizująca w podmiocie audytowanym większość zadań opisanych w niniejszym kwestionariuszu lub osoba, która realizowała te zadania w podmiocie audytowanym w przeciągu roku przed dniem rozpoczęcia audytu).
Na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu i przekazuje je do PKW wraz z dokumentacją z przeprowadzonego audytu.
Uwaga
Podmioty, które z dniem wejścia w życie niniejszej ustawy spełniają przesłanki uznania ich za podmiot kluczowy, mają przeprowadzić pierwszy audyt według nowych zasad w terminie 24 miesięcy od dnia wejścia w życie nowelizacji.
Uwaga ogólna
Kierownik PKW oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa muszą raz w roku kalendarzowym przechodzić szkolenie w zakresie zadań wymienionych w niniejszym kwestionariuszu, o czym przesądza art. 8e uksc.
Udział w szkoleniu należy dokumentować.
Postawa prawna i merytoryczna:
ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2026 r. poz. 20 ze zm.); ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (t.j. Dz. U. z 2026 r. poz. 252); dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).