W związku ze zmianą ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) wiele organizacji stoi przed wyzwaniem przygotowania się do nowych obowiązków. Bazując na najczęściej pojawiających się pytaniach podczas szkoleń i webinarów, przygotowaliśmy serię FAQ, która porządkuje najważniejsze zagadnienia związane ze stosowaniem nowych przepisów.
Podleganie pod UKSC i wpis do wykazu podmiotów kluczowych i ważnych – obowiązki i termin
Podleganie pod przepisy UKSC oraz ustalenie statusu określonego podmiotu następuje z mocy prawa. Przepisy UKSC wprowadzają jednocześnie zasadę samoidentyfikacji, zgodnie z którą to podmiot podlegający pod przepisy UKSC powinien samodzielnie ocenić, czy jest podmiotem kluczowym lub ważnym. Każdy podmiot powinien to ocenić samodzielnie w oparciu o trzy podstawowe kryteria: rodzaj prowadzonej działalności, wielkość przedsiębiorstwa oraz miejsce prowadzenia działalności.
Podmioty najważniejsze i ważne mają obowiązek dokonać samoidentyfikacji i złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot najważniejszy lub ważny. jeżeli podmiot będzie spełniał przesłanki do uznania za podmiot najważniejszy lub istotny już w dniu wejścia w życie nowelizacji UKSC (tj. 3 kwietnia 2026 r.), powinien złożyć wniosek o wpis najpóźniej do 3 października 2026 r.
Należy również pamiętać, iż przepisy UKSC przewidują w tym zakresie częściowo autonomiczne regulacje dla podmiotów, które podlegają wpisowi do wykazu z urzędu (są to m.in. dotychczasowi operatorzy usług kluczowych, wybrane podmioty sektora publicznego, czy przedsiębiorcy telekomunikacyjni).
Dotychczasowi operatorzy usług kluczowych podlegają wpisowi do wykazu podmiotów kluczowych i ważnych z urzędu. Wpisu dokonuje Minister Cyfryzacji, który może wezwać te podmioty do uzupełnienia danych zawartych w wykazie.
Dotychczasowi operatorzy usług kluczowych zostali wyznaczeni na mocy decyzji administracyjnej wydanej przez odpowiedni organ nadzorczy. o ile w odniesieniu do podmiotu nie została wydana taka decyzja, to na gruncie dotychczasowych przepisów nie jest on operatorem usługi kluczowej.
Niezależnie od tego, o ile dotychczasowy operator usługi kluczowych podlega pod przepisy UKSC również w oparciu o dodatkowe rodzaje działalności (inne niż dotychczas), powinien on złożyć wniosek w wpis do wykazu, w którym uwzględni te dodatkowe rodzaje działalności.
Określony podmiot będzie podmiotem kluczowym lub ważnych niezależnie od treści złożonego wniosku o wpis do wykazu podmiotów kluczowych i ważnych, ponieważ wpis w wykazie ma charakter deklaratoryjny.
Jednocześnie do wniosku o wpis do wykazu kierownik podmiotu kluczowego lub ważnego powinien dołączyć oświadczenie – składane pod rygorem odpowiedzialności karnej z art. 233 § 6 Kodeksu karnego – iż dane zawarte we wniosku są zgodne z prawdą. Oznacza to, iż o ile we wniosku o wpis umyślnie zostały przedstawione informacje niezgodne z prawdą, to takie działanie jest zagrożone sankcją karną. o ile jednak informacje niezgodne z prawdą zostały przedstawione w sposób nieumyślny, to takie działanie nie będzie zagrożone karą.
Określanie wielkości podmiotu w UKSC
Wielkość podmiotu należy liczyć sumując dane dotyczące wielkości jego podmiotów powiązanych i partnerskich. Ta kwestia nie jest jednak regulowana przepisami UKSC, tylko unijnym rozporządzaniem nr 651/2014 (w szczególności tej kwestii dotyczy załącznik I do tego rozporządzenia).
Przepisy UKSC przewidują jednak ograniczoną możliwość wyłączenia obowiązku sumowania danych dotyczących wielkości podmiotów powiązanych i partnerskich, o ile określony podmiot nie świadczy usług wspólnie ze swoimi podmiotami powiązanymi i partnerskimi lub o ile jego systemy informacyjne są niezależne od systemów informacyjnych jego podmiotów powiązanych lub partnerskich.
Badając wielkość przedsiębiorstwa nie należy ograniczać pojęcie „pracownika” wyłącznie do osób zatrudnionych w oparciu o umowę o pracę. Ta kwestia nie jest jednak regulowana przepisami UKSC, tylko unijnym rozporządzaniem nr 651/2014 (w szczególności tej kwestii dotyczy art. 5 załącznika I do tego rozporządzenia).
Przepisy UKSC posługują się szerokim pojęciem „systemu informacyjnego”, nie zawężając go jedynie do systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej lub ważnej. Warto przy tym zauważyć, iż przepisy UKSC regulują zarządzanie bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym „w procesach wpływających na świadczenie usług” – a nie jedynie w systemie wykorzystywanym do świadczenia danej usługi.
Terminy stosowania UKSC
Tak, podmioty najważniejsze i ważne mają ten sam termin na wdrożenie i rozpoczęcie stosowania nowych obowiązków. Warto jednak zwrócić uwagę na dwie kwestie:
- dotychczasowi operatorzy usług kluczowych będą zobowiązani zgłaszać incydenty na nowych zasadach najpóźniej od 3 października 2026 r. podczas gdy pozostałe podmioty ważne i najważniejsze mają taki obowiązek od 3 kwietnia 2027 r.;
- podmioty ważne nie będą objęte obowiązkiem przeprowadzania cyklicznych audytów bezpieczeństwa, które podmioty najważniejsze muszą po raz pierwszy przeprowadzić do dnia 3 kwietnia 2028 r..
Tak, podmioty zobowiązane do stosowania rozporządzenia wykonawczego 2024/2690 będą zobowiązane do wdrożenia wynikających z niego obowiązków najpóźniej w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot najważniejszy lub ważny. jeżeli podmiot będzie spełniał przesłanki do uznania za podmiot najważniejszy lub istotny już w dniu wejścia w życie nowelizacji UKSC (tj. 3 kwietnia 2026 r.), powinien zacząć stosować te obowiązki najpóźniej do 3 kwietnia 2027 r.
