Pytania i odpowiedzi — KSC i NIS 2

Sprawdź dwie rzeczy łącznie: czy prowadzisz działalność w sektorze wymienionym w załączniku nr 1 lub 2 do ustawy oraz czy spełniasz próg wielkości przedsiębiorstwa (zwykle co najmniej średni przedsiębiorca wg rozporządzenia 651/2014/UE). Klasyfikacja następuje z mocy prawa (samoidentyfikacja) — nie dostajesz decyzji administracyjnej potwierdzającej status. Podstawą jest art. 5 ustawy, który definiuje podmiot kluczowy (ust. 1) i podmiot ważny (ust. 2). Niektóre podmioty podlegają niezależnie od wielkości (np. dostawcy DNS, podmioty krytyczne, kwalifikowani dostawcy usług zaufania).

Różnica wynika głównie z sektora (załącznik nr 1 = kluczowe, załącznik nr 2 = ważne) oraz wielkości podmiotu. Co do zasady podmiotem kluczowym jest podmiot z załącznika nr 1 przewyższający próg średniego przedsiębiorcy, a podmiotem ważnym — podmiot z załącznika nr 1 lub 2 spełniający próg średniego przedsiębiorcy (art. 5 ust. 1 i 2). Różni je też zakres nadzoru (kluczowe podlegają nadzorowi ex ante i ex post, ważne tylko ex post) oraz wysokość kar (do 10 mln euro / 2% przychodu dla kluczowych, do 7 mln euro / 1,4% dla ważnych). Jeżeli podmiot spełnia przesłanki dla obu kategorii, jest podmiotem kluczowym (art. 5 ust. 4).

Wielkość określa się według kryteriów z załącznika I do rozporządzenia Komisji (UE) nr 651/2014 (liczba zatrudnionych oraz roczny obrót lub suma bilansowa). Średni przedsiębiorca to co do zasady do 250 pracowników i obrót do 50 mln euro lub suma bilansowa do 43 mln euro; przewyższenie tych progów oznacza dużego przedsiębiorcę. Przesłanki bada się według stanu na dzień sporządzenia sprawozdania finansowego (art. 5 ust. 5). Co do zasady uwzględnia się także przedsiębiorstwa partnerskie i powiązane.

Co do zasady przy ustalaniu wielkości uwzględnia się przedsiębiorstwa partnerskie i powiązane. Ustawa przewiduje jednak wyjątek: jeśli podmiot przewyższa próg średniego przedsiębiorcy wyłącznie przez doliczenie tych przedsiębiorstw, a jego system informacyjny jest niezależny od ich systemów lub nie świadczy usług wspólnie z nimi, to nie jest podmiotem kluczowym (art. 5 ust. 6). Analogiczna reguła dotyczy podmiotu ważnego (art. 5 ust. 7). To rozwiązanie pozwala uniknąć sztucznego zawyżania statusu w grupach kapitałowych.

Art. 5 ust. 1 pkt 4 wskazuje podmioty kluczowe bez względu na rozmiar: dostawcy usług DNS, kwalifikowani dostawcy usług zaufania (w rozumieniu rozporządzenia 910/2014), podmioty krytyczne, podmioty publiczne wskazane w załączniku nr 1 w sektorze podmioty publiczne, rejestry nazw domen TLD, podmioty świadczące usługi rejestracji nazw domen oraz operatorzy obiektów energetyki jądrowej. Dla tych podmiotów progi MŚP nie mają zastosowania — sam charakter działalności przesądza o objęciu ustawą.

Co do zasady podmiot kluczowy lub ważny podlega ustawie, jeśli ma miejsce zamieszkania lub prowadzi działalność na terytorium RP przez siedzibę, oddział albo w ramach działalności transgranicznej (art. 5a ust. 1). Dla niektórych usług cyfrowych (m.in. dostawcy chmury, centrów danych, usług zarządzanych, platform) decyduje główne miejsce prowadzenia działalności, czyli państwo, w którym kierownik podejmuje decyzje o SZBI (art. 5a ust. 3–4). Przedsiębiorca komunikacji elektronicznej podlega ustawie, jeśli świadczy usługi na terytorium RP (art. 5a ust. 2). Podmioty publiczne podlegają niezależnie od miejsca siedziby (art. 5a ust. 10).

Tak, jeżeli ta poboczna działalność mieści się w sektorze z załącznika nr 1 lub 2 i spełnia próg wielkości, podlegasz ustawie w zakresie tej działalności. Liczy się działalność faktycznie wykonywana, a nie wyłącznie kody PKD w rejestrach. Podmiot prowadzący kilka rodzajów działalności wykazuje je odrębnie we wniosku o wpis do wykazu (art. 7d ust. 2). Warto przeanalizować każdy obszar działalności osobno pod kątem przynależności do sektorów objętych ustawą.

Co do zasady nie — status powstaje z mocy prawa po spełnieniu przesłanek z art. 5, a obowiązek samoidentyfikacji i wpisu do wykazu spoczywa na podmiocie (art. 7c). Wpis do wykazu ma charakter deklaratoryjny i jest czynnością materialno-techniczną (art. 7d ust. 5). Decyzję administracyjną otrzymasz tylko w szczególnych trybach, np. gdy organ właściwy uzna Cię za podmiot na podstawie art. 7l, albo gdy minister uzna państwową osobę prawną za podmiot kluczowy na podstawie art. 7m.

Zwykle nie, bo większość obowiązków uruchamia próg co najmniej średniego przedsiębiorcy. Są jednak wyjątki: niektóre podmioty podlegają niezależnie od wielkości (np. dostawcy DNS, kwalifikowani dostawcy usług zaufania), a część mikro/małych podmiotów może być podmiotami ważnymi (np. niekwalifikowany dostawca usług zaufania, mikro/mały przedsiębiorca komunikacji elektronicznej — art. 5 ust. 2 pkt 3–4). Jeśli jesteś mikro/małym przedsiębiorcą objętym ustawą, masz złagodzone niektóre obowiązki, np. wystarczy jedna osoba do kontaktu zamiast dwóch (art. 9 ust. 2).

Organ właściwy do spraw cyberbezpieczeństwa może w drodze decyzji uznać podmiot z załącznika nr 1 lub 2 za kluczowy albo ważny, mimo niespełniania zwykłych przesłanek, jeśli zachodzi co najmniej jedna szczególna okoliczność (art. 7l ust. 1): jako jedyny świadczy usługę kluczową dla krytycznej działalności społecznej lub gospodarczej, zakłócenie usługi zagroziłoby bezpieczeństwu państwa lub zdrowiu publicznemu, powstałoby ryzyko systemowe, albo usługa ma istotne znaczenie wojewódzkie/krajowe lub dla wielu sektorów. Decyzja podlega natychmiastowemu wykonaniu (art. 7l ust. 5), a podmiot ma 12 miesięcy na realizację obowiązków i 24 miesiące na pierwszy audyt.

Podmiot kluczowy lub ważny musi wdrożyć system zarządzania bezpieczeństwem informacji w systemach informacyjnych wpływających na świadczenie usługi (art. 8 ust. 1). SZBI obejmuje systematyczne szacowanie ryzyka i zarządzanie nim oraz wdrożenie proporcjonalnych środków technicznych i organizacyjnych — m.in. polityk bezpieczeństwa, bezpieczeństwa łańcucha dostaw ICT, planów ciągłości działania, ciągłego monitorowania, kryptografii, uwierzytelniania wieloskładnikowego, edukacji personelu i cyberhigieny. Środki muszą uwzględniać najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu i poziom ryzyka. Termin docelowy wdrożenia SZBI dla podmiotów istniejących to 3 kwietnia 2027 r.

Trzeba opracować, stosować i aktualizować dokumentację bezpieczeństwa systemu informacyjnego, dzielącą się na normatywną i operacyjną (art. 10). Dokumentacja normatywna obejmuje m.in. dokumentację SZBI, dokumentację ochrony infrastruktury, dokumentację systemu zarządzania ciągłością działania oraz dokumentację techniczną systemu. Dokumentacja operacyjna to zapisy potwierdzające wykonywanie czynności, w tym logi systemowe. Można ją prowadzić papierowo lub elektronicznie, ale trzeba zapewnić nadzór nad nią (dostęp tylko dla upoważnionych, wersjonowanie, ochrona przed utratą) i przechowywać co najmniej 2 lata od wycofania (art. 10 ust. 7).

Niekoniecznie. Gotowy szablon może być punktem wyjścia, ale obowiązki wynikają z polskiej ustawy, a nie wprost z dyrektywy NIS2 — dokumentacja musi odzwierciedlać rzeczywiste procesy, systemy i wyniki szacowania ryzyka w Twoim podmiocie (art. 8 i art. 10). SZBI z definicji jest dostosowane do konkretnej organizacji: jej wielkości, ryzyka i świadczonych usług. Sama zakupiona dokumentacja bez faktycznego wdrożenia środków i realnego szacowania ryzyka nie zapewni zgodności i nie ochroni przed odpowiedzialnością.

Tak. SZBI obejmuje edukację personelu z zakresu cyberbezpieczeństwa i podstawowe zasady cyberhigieny (art. 8 ust. 1 pkt 2 lit. i–j). Dodatkowo kierownik podmiotu oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, przechodzą szkolenie co najmniej raz w roku kalendarzowym, a udział musi być udokumentowany (art. 8e). Zakres szkolenia kierownika obejmuje wykonywanie obowiązków wskazanych w ustawie (m.in. art. 8, 8d, 9–12b, 14, 15).

W ramach SZBI trzeba zapewnić bezpieczeństwo i ciągłość łańcucha dostaw produktów, usług i procesów ICT, od których zależy świadczenie usługi, z uwzględnieniem relacji z bezpośrednim dostawcą sprzętu lub oprogramowania (art. 8 ust. 1 pkt 2 lit. e). Wdrażając te środki, podmiot uwzględnia podatności związane z dostawcą, ogólną jakość jego produktów ICT, wyniki skoordynowanej oceny ryzyka Grupy Współpracy oraz wyniki postępowań w sprawie dostawcy wysokiego ryzyka (art. 8 ust. 2). W praktyce oznacza to ocenę dostawców, klauzule bezpieczeństwa w umowach i monitorowanie ryzyka w całym łańcuchu.

Tak. Przed dopuszczeniem do zadań z art. 8 lub art. 11 osoba przedstawia informację z Krajowego Rejestru Karnego o niekaralności za przestępstwa przeciwko ochronie informacji, a kierownik dopuszcza ją dopiero po jej otrzymaniu (art. 8f ust. 1). Osoba prawomocnie skazana za takie przestępstwa nie może realizować tych zadań (art. 8f ust. 4). Wymóg uznaje się za spełniony, gdy osoba ma ważne poświadczenie bezpieczeństwa do informacji niejawnych o klauzuli poufne lub wyższej (art. 8f ust. 3). Podmiot ponownie żąda zaświadczenia przy uzasadnionym podejrzeniu skazania.

Tak. Do realizacji zadań podmiot może albo powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, albo zawrzeć umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa (art. 14). Outsourcing nie zdejmuje jednak odpowiedzialności — kierownik podmiotu ponosi ją także wtedy, gdy obowiązki powierzono innej osobie za jej zgodą (art. 8c ust. 3). Warto więc precyzyjnie określić zakres usług w umowie i utrzymywać własny nadzór nad ich realizacją.

Co do zasady podmiot kluczowy lub ważny wyznacza co najmniej dwie osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa (art. 9 ust. 1 pkt 1). Wyjątek dotyczy mikro- i małych przedsiębiorców oraz podmiotów ważnych będących podmiotami publicznymi — wystarczy jedna osoba (art. 9 ust. 2 i 3). Trzeba też zapewnić użytkownikom dostęp do wiedzy o cyberzagrożeniach oraz możliwość zgłaszania cyberzagrożeń, incydentów i podatności związanych z usługą (art. 9 ust. 1 pkt 2–3).

Ustawa nie nakazuje wprost konkretnych zapisów umownych, ale obowiązek zapewnienia bezpieczeństwa łańcucha dostaw ICT (art. 8 ust. 1 pkt 2 lit. e i ust. 2) w praktyce wymusza odzwierciedlenie wymogów bezpieczeństwa w kontraktach B2B. Powinny one obejmować m.in. zarządzanie podatnościami, obowiązki informacyjne dostawcy o incydentach, prawo do oceny lub audytu oraz wymagania dotyczące jakości produktów i usług ICT. To element zarządzania ryzykiem dostawcy, którego skutki obciążają objęty ustawą podmiot, a nie jego poddostawcę.

Ustawa nie nakłada wprost obowiązku posiadania SOC jako odrębnej jednostki. Wymaga jednak objęcia systemu informacyjnego wykorzystywanego do świadczenia usługi monitorowaniem w trybie ciągłym oraz zarządzania incydentami (art. 8 ust. 1 pkt 2 lit. g i pkt 4). Funkcję tę można realizować wewnętrznie albo poprzez umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa (art. 14). Sposób realizacji ma być proporcjonalny do ryzyka i wielkości podmiotu — kluczowy jest efekt (ciągłe monitorowanie i reagowanie), a nie konkretna struktura organizacyjna.

Obowiązują dwa terminy. Wczesne ostrzeżenie o incydencie poważnym zgłaszasz niezwłocznie, nie później niż w ciągu 24 godzin od jego wykrycia (art. 11 ust. 1 pkt 4). Pełne zgłoszenie incydentu poważnego przekazujesz nie później niż w ciągu 72 godzin od wykrycia (art. 11 ust. 1 pkt 4a). Oba zgłoszenia kierujesz do właściwego CSIRT sektorowego przez system teleinformatyczny S46. Dostawca usług zaufania zgłasza incydent poważny w ciągu 24 godzin (art. 11 ust. 1a).

Wczesne ostrzeżenie (24h) to wstępny sygnał — zawiera dane podmiotu i osób kontaktowych, moment wystąpienia i wykrycia incydentu, wstępną ocenę, czy był wynikiem działania bezprawnego, oraz informację o ewentualnym wpływie transgranicznym (art. 12 ust. 1). Zgłoszenie (72h) jest pełniejsze: zawiera opis wpływu na usługę, liczbę dotkniętych użytkowników, zasięg geograficzny, opis przyczyn i przebiegu oraz podjęte działania zapobiegawcze i naprawcze (art. 12 ust. 3). We wczesnym ostrzeżeniu można też wnioskować o wytyczne lub wsparcie techniczne CSIRT.

Nie — obowiązkowemu zgłoszeniu podlega tylko incydent poważny, czyli taki, który przekracza progi uznania incydentu za poważny określone dla danego sektora i podsektora w rozporządzeniu Rady Ministrów lub w aktach wykonawczych Komisji Europejskiej (art. 11 ust. 1 pkt 3 i ust. 4). Pozostałe incydenty trzeba obsługiwać i rejestrować, ale nie ma obowiązku ich zgłaszania. Informacje o innych incydentach, cyberzagrożeniach czy podatnościach można przekazywać CSIRT dobrowolnie (art. 13).

Zgłoszenia incydentu poważnego (wczesne ostrzeżenie i zgłoszenie) kierujesz do właściwego CSIRT sektorowego (art. 11 ust. 1 pkt 4 i 4a), za pośrednictwem systemu teleinformatycznego S46 (art. 11 ust. 2). CSIRT sektorowy współpracuje z CSIRT poziomu krajowego — CSIRT NASK, CSIRT GOV i CSIRT MON. W trakcie obsługi incydentu poważnego i krytycznego podmiot współdziała z właściwym CSIRT, przekazując niezbędne dane, w tym dane osobowe (art. 11 ust. 1 pkt 5).

Zgłoś incydent w terminie z danymi, które są Ci znane w danej chwili, a brakujące informacje uzupełnij w trakcie obsługi (art. 12 ust. 5). Dotrzymanie terminów 24h i 72h jest ważniejsze niż kompletność — ustawa wprost zakłada uzupełnianie zgłoszenia. Jeśli obsługa incydentu nie zakończy się przed terminem sprawozdania końcowego, przekazujesz CSIRT sprawozdanie z postępu obsługi (art. 12b ust. 1), a sprawozdanie końcowe — w ciągu miesiąca od zakończenia obsługi (art. 12b ust. 2).

Po zgłoszeniu (72h) przekazujesz na wniosek CSIRT sprawozdanie okresowe (art. 11 ust. 1 pkt 4b) oraz obowiązkowo sprawozdanie końcowe — nie później niż w ciągu miesiąca od zgłoszenia (art. 11 ust. 1 pkt 4c). Sprawozdanie końcowe zawiera szczegółowy opis incydentu i szkód, rodzaj zagrożenia lub przyczynę źródłową, zastosowane środki ograniczające ryzyko oraz ewentualne skutki transgraniczne (art. 12a). Jeśli obsługa trwa dłużej, w miejsce sprawozdania końcowego składasz sprawozdanie z postępu, a końcowe — po zakończeniu obsługi (art. 12b).

Musisz poinformować użytkowników o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie im usług (art. 11 ust. 2b). W przypadku poważnego cyberzagrożenia informujesz użytkowników, na których może ono wpłynąć, o możliwych środkach zapobiegawczych, a o samym zagrożeniu — o ile nie zwiększy to poziomu ryzyka dla bezpieczeństwa systemów (art. 11 ust. 2a). Celem jest umożliwienie użytkownikom samodzielnej reakcji bez pogarszania sytuacji bezpieczeństwa.

Terminy biegną od momentu wykrycia incydentu poważnego (art. 11 ust. 1 pkt 4 i 4a), czyli od chwili, gdy podmiot powziął wiedzę o zdarzeniu i był w stanie wstępnie ocenić jego charakter jako poważny. W praktyce kluczowe jest posiadanie procedur i monitorowania pozwalających rzetelnie ustalić i udokumentować ten moment. Należy zadbać o rejestrowanie czasu wykrycia, bo to od niego liczy się 24-godzinny i 72-godzinny termin.

Tak — w niezbędnym zakresie przekazujesz we wczesnym ostrzeżeniu lub zgłoszeniu także informacje stanowiące tajemnice prawnie chronione, w tym tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań CSIRT (art. 12 ust. 6). Takie informacje należy w zgłoszeniu wyraźnie oznaczyć jako tajemnice prawnie chronione (art. 12 ust. 8). Informacje przetwarzane na podstawie ustawy podlegają ograniczeniom w udostępnianiu (art. 38), co chroni ich poufność.

Wniosek o wpis do wykazu składasz w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny (art. 7c ust. 1). Dla podmiotów objętych ustawą w związku z nowelizacją z 2026 r. kluczową datą graniczną rejestracji jest 3 października 2026 r. Zmiany danych objętych wpisem zgłaszasz w terminie 14 dni od ich zaistnienia (art. 7c ust. 3). Niezłożenie wniosku w terminie może skutkować wpisem z urzędu przez organ oraz karą pieniężną.

Wniosek składa się wyłącznie w postaci elektronicznej, w systemie teleinformatycznym, o którym mowa w art. 46 ust. 1 (system S46). Trzeba go opatrzyć kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym kierownika podmiotu lub osoby upoważnionej, albo kwalifikowaną pieczęcią elektroniczną (art. 7c ust. 6). Wniosek zawiera dane z art. 7 ust. 2 pkt 1–18 oraz oświadczenie kierownika o prawdziwości danych, składane pod rygorem odpowiedzialności karnej (art. 7c ust. 5). Wpis następuje z chwilą złożenia wniosku (art. 7d ust. 1).

S46 to system teleinformatyczny prowadzony przez ministra właściwego do spraw informatyzacji (art. 46 ust. 1), służący do realizacji obowiązków wynikających z ustawy. Za jego pośrednictwem składa się wnioski o wpis, zmianę wpisu i wykreślenie z wykazu, a także zgłasza wczesne ostrzeżenia, zgłoszenia i sprawozdania dotyczące incydentów poważnych (art. 11 ust. 2). Po uzyskaniu wpisu do wykazu podmiot rozpoczyna korzystanie z systemu (art. 9 ust. 1 pkt 4). To centralny kanał komunikacji podmiotu z krajowym systemem cyberbezpieczeństwa.

Organ właściwy do spraw cyberbezpieczeństwa może wpisać podmiot do wykazu z urzędu, jeśli podmiot spełnia przesłanki uznania za kluczowy lub ważny, ale nie złożył wniosku w terminie z art. 7c ust. 1 (art. 7j ust. 1). Organ korzysta wówczas z publicznych rejestrów i danych uzyskanych od podmiotu, zawiadamia go o wpisie i wzywa do uzupełnienia brakujących danych w terminie 6 miesięcy pod rygorem kary pieniężnej (art. 7j ust. 3). Wpis z urzędu to czynność, na którą przysługuje skarga do sądu administracyjnego.

Trzeba odpowiedzieć w terminie wskazanym w wezwaniu, bo jego niedotrzymanie zagrożone jest karą pieniężną. Przy wpisie z urzędu organ daje 6 miesięcy na uzupełnienie danych (art. 7j ust. 3). Przy czynnościach sprawdzających, gdy dane w wykazie są niezgodne ze stanem faktycznym, organ wzywa do zmiany wpisu w terminie 7 dni od doręczenia wezwania, również pod rygorem kary (art. 7k ust. 2). Oczywiste omyłki i błędy organ poprawia z urzędu (art. 7k ust. 3).

Wykaz zawiera m.in. nazwę (firmę) podmiotu, sektor, podsektor i rodzaj działalności zgodnie z załącznikiem nr 1 lub 2, adres siedziby i do korespondencji, adres do doręczeń elektronicznych i poczty elektronicznej, NIP, REGON, a także zakres publicznych adresów IP wykorzystywanych w sposób ciągły oraz domeny internetowe (art. 7 ust. 2). Wniosek o wpis obejmuje dane z pkt 1–18 (art. 7c ust. 2). Wykaz służy identyfikacji podmiotów, wymianie informacji o cyberbezpieczeństwie i prowadzeniu nadzoru (art. 7 ust. 1).

Jeśli przestałeś spełniać przesłanki uznania za podmiot kluczowy lub ważny w danym sektorze, podsektorze lub rodzaju działalności, składasz przez system S46 wniosek o wykreślenie z uzasadnieniem (art. 7f ust. 3). Organ rozpatruje go w terminie miesiąca i informuje o wykreśleniu albo odmowie (art. 7f ust. 4); brak odmowy w tym terminie skutkuje wykreśleniem (art. 7f ust. 7). Organ odmawia wykreślenia, jeśli nadal spełniasz przesłanki (art. 7f ust. 5). Na odmowę i na wykreślenie przysługuje skarga do sądu administracyjnego.

Dla podmiotów objętych ustawą obowiązuje harmonogram etapowy. Rejestracja w wykazie (system S46) — do 3 października 2026 r. Wdrożenie SZBI i pozostałych obowiązków rozdziału 3 — docelowo do 3 kwietnia 2027 r. Pierwszy audyt bezpieczeństwa (dotyczy podmiotów kluczowych) — do 3 kwietnia 2028 r. Niezależnie od harmonogramu wynikającego z nowelizacji, ogólna reguła ustawy przewiduje realizację obowiązków w terminie 12 miesięcy oraz pierwszy audyt w terminie 24 miesięcy od spełnienia przesłanek (art. 16).

Kara dla podmiotu kluczowego nie może przekroczyć 10 000 000 euro (w przeliczeniu na złote) albo 2% przychodu z działalności gospodarczej w roku poprzednim — stosuje się kwotę wyższą, przy czym kara nie może być niższa niż 20 000 zł (art. 73 ust. 3). Dla podmiotów bez przychodu lub działających krócej niż 12 miesięcy podstawą jest równowartość 500 000 euro (art. 73 ust. 3a). To odpowiednik górnego pułapu kar z dyrektywy NIS2 dla podmiotów kluczowych.

Kara dla podmiotu ważnego nie może przekroczyć 7 000 000 euro (w przeliczeniu na złote) albo 1,4% przychodu z działalności gospodarczej w roku poprzednim, przy czym nie może być niższa niż 15 000 zł (art. 73 ust. 4). Dla podmiotów bez przychodu lub działających krócej niż 12 miesięcy podstawą jest równowartość 250 000 euro. Niższe pułapy niż dla podmiotów kluczowych odzwierciedlają zróżnicowanie reżimu odpowiedzialności w dyrektywie NIS2.

To podwyższona sankcja stosowana, gdy naruszenie przepisów ustawy powoduje bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi, albo zagraża wywołaniem poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. W takim przypadku organ właściwy nakłada karę w wysokości do 100 000 000 zł (art. 73 ust. 5). Jest to najwyższy pułap sankcji przewidziany w ustawie, zarezerwowany dla najpoważniejszych naruszeń.

Kierownik podmiotu ponosi odpowiedzialność za wykonywanie obowiązków podmiotu w zakresie cyberbezpieczeństwa, w tym z art. 8, 8d, 8e, 8f, 9–12b, 14 i 15 (art. 8c ust. 1). Odpowiada także wtedy, gdy obowiązki powierzono innej osobie za jej zgodą (art. 8c ust. 3); w organie wieloosobowym bez wskazania osoby odpowiedzialnej odpowiadają wszyscy członkowie (art. 8c ust. 2). Kierownikowi można wymierzyć karę pieniężną do 300% jego wynagrodzenia (art. 73a ust. 4), a w podmiocie publicznym — do 100% wynagrodzenia (art. 73a ust. 5).

Tak, w ramach nadzoru nad podmiotem kluczowym organ może w drodze środka zakazać kierownikowi pełnienia funkcji zarządczych w tym podmiocie — do czasu usunięcia uchybień lub zaprzestania naruszeń (art. 53 ust. 9 pkt 6). Zakaz nie może jednak uniemożliwić funkcjonowania podmiotu w zakresie niezbędnym do usunięcia uchybień. Tych środków nie stosuje się do podmiotów publicznych (art. 53 ust. 10), a w razie skargi do sądu administracyjnego wstrzymuje się je do rozstrzygnięcia sprawy (art. 53 ust. 11).

Co do zasady nie — przed nałożeniem kary organ informuje podmiot kluczowy o wstępnych ustaleniach wraz ze szczegółowym uzasadnieniem (art. 53 ust. 13), a podmiot może przedstawić stanowisko w terminie 7 dni (art. 53 ust. 14). Organ może uwzględnić to stanowisko i odstąpić od kary albo je odrzucić i nałożyć sankcję (art. 53 ust. 15). Od poinformowania można odstąpić tylko wyjątkowo, gdy utrudniłoby to natychmiastowe działanie wobec incydentu lub zagrażało bezpieczeństwu państwa (art. 53 ust. 16).

Jeśli podmiot nie złoży wniosku o wpis w terminie z art. 7c ust. 1, organ właściwy może nałożyć karę pieniężną, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów (art. 73 ust. 1a pkt 1). Odrębnie karze podlega też nieuzupełnienie lub niepoprawienie danych w wykazie mimo wezwania (art. 73 ust. 1 pkt 1). Wysokość kary ustala się według ogólnych pułapów z art. 73 ust. 3 (podmiot kluczowy) lub ust. 4 (podmiot ważny). Brak rejestracji nie zwalnia więc z odpowiedzialności — przeciwnie, sam w sobie jest naruszeniem.

Organ uwzględnia m.in. wagę naruszenia i znaczenie naruszonych przepisów (np. powtarzalność, niezgłoszenie incydentów poważnych, dostarczanie nieprawdziwych informacji), czas trwania naruszenia, wcześniejsze poważne naruszenia, spowodowane szkody, umyślny lub nieumyślny charakter czynu, podjęte środki zaradcze oraz stopień współpracy z organem (art. 53 ust. 12). Dodatkowo bierze pod uwagę przychód podmiotu i jego możliwości finansowe (art. 76a). Kara ma być proporcjonalna i odstraszająca, ale dostosowana do okoliczności sprawy.

Podmioty publiczne realizujące zadania publiczne z wykorzystaniem systemów informacyjnych mogą być objęte ustawą — gmina jako jednostka samorządu terytorialnego co do zasady podlega obowiązkom KSC. Część samorządowych podmiotów publicznych (m.in. samorządowe jednostki i zakłady budżetowe, instytucje kultury, spółki użyteczności publicznej) jest podmiotami ważnymi (art. 5 ust. 2 pkt 8). Status powstaje z mocy prawa, a urząd zwykle nie otrzymuje odrębnej decyzji — sam ma obowiązek wpisu do wykazu. Warto zweryfikować konkretną jednostkę względem definicji z art. 5.

Podmiot ważny będący podmiotem publicznym (oraz określone podmioty szkolnictwa wyższego i nauki) w zakresie zadań publicznych nie stosuje pełnego SZBI z art. 8 ust. 1, lecz opracowuje, wdraża, monitoruje i utrzymuje system zarządzania bezpieczeństwem informacji spełniający wymogi załącznika nr 4 do ustawy (art. 8 ust. 3). To dostosowany, mniej rozbudowany reżim dla podmiotów publicznych. Niewykonanie tego obowiązku podlega odrębnej karze pieniężnej (art. 73 ust. 1c).

Tak — sektor ochrony zdrowia jest objęty ustawą. Dla podmiotu leczniczego niebędącego przedsiębiorcą decyduje liczba zatrudnionych: zatrudniający od 50 do 249 osób jest podmiotem ważnym, a co najmniej 250 osób — podmiotem kluczowym (art. 5 ust. 8). Dla podmiotów leczniczych będących przedsiębiorcami stosuje się ogólne progi z art. 5 ust. 1–2. Oznacza to obowiązki w zakresie SZBI, zgłaszania incydentów i rejestracji w wykazie, dostosowane do statusu danej placówki.

Dostawca chmury obliczeniowej należy do podmiotów objętych ustawą (sektory cyfrowe). O polskiej właściwości decyduje główne miejsce prowadzenia działalności — co do zasady państwo, w którym kierownik podejmuje decyzje o SZBI (art. 5a ust. 3–4). Dostawca świadczący usługi w RP, który nie ma jednostki organizacyjnej w żadnym państwie UE, musi wyznaczyć przedstawiciela z jednostką organizacyjną na terytorium RP, o ile nie wyznaczył go w innym państwie UE (art. 5a ust. 7). Brak wyznaczenia przedstawiciela jest zagrożony karą pieniężną (art. 73b ust. 1 pkt 5).

Minister właściwy do spraw informatyzacji może w drodze decyzji uznać dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeśli stwarza on poważne zagrożenie dla bezpieczeństwa (art. 67b). W następstwie podmioty kluczowe i ważne mają obowiązek m.in. wycofania z użytkowania produktów ICT objętych decyzją w określonym terminie (co do zasady nie później niż w terminie 7 lat od ogłoszenia decyzji) oraz nienabywania takich produktów. To narzędzie zarządzania ryzykiem łańcucha dostaw na poziomie krajowym. Szczegółowe obowiązki należy każdorazowo zweryfikować z treścią konkretnej decyzji.

DORA (rozporządzenie 2022/2554) jest aktem sektorowym (lex specialis) dla podmiotów finansowych w zakresie cyberodporności i ma pierwszeństwo przed ogólnym reżimem NIS2/KSC. Ustawa o KSC zawiera mechanizmy rozgraniczające — np. odrębne przepisy o karach dla podmiotów finansowych, które nie są podmiotami kluczowymi ani ważnymi i nie są objęte art. 16 rozporządzenia 2022/2554 (art. 73c). Konkretne objęcie danym reżimem zależy od rodzaju podmiotu finansowego i wymaga indywidualnej analizy obu aktów.

RODO chroni dane osobowe i prawa osób fizycznych, a ustawa o KSC zapewnia cyberbezpieczeństwo systemów informacyjnych i ciągłość świadczenia usług kluczowych. Mają inne cele, inne organy nadzoru (Prezes UODO vs organy właściwe do spraw cyberbezpieczeństwa i CSIRT) oraz inne reżimy zgłaszania (naruszenie ochrony danych do PUODO w 72h vs incydent poważny do CSIRT w 24h/72h). Oba reżimy mogą obowiązywać równolegle — ten sam incydent może wymagać zgłoszenia zarówno jako incydent poważny w KSC, jak i naruszenie danych w RODO, jeśli dotyczy danych osobowych.

Nie automatycznie. ISO/IEC 27001 jest dobrą podstawą do zbudowania SZBI i znacząco ułatwia spełnienie wymogów art. 8, ale ustawa nakłada własny, częściowo szerszy katalog obowiązków — m.in. szczególne reguły zgłaszania incydentów (art. 11–12b), weryfikację niekaralności personelu (art. 8f), obowiązki kierownika i szkolenia (art. 8c–8e), rejestrację w wykazie oraz audyt (art. 15). Certyfikat ISO sam w sobie nie zastępuje tych obowiązków, choć stanowi mocny punkt wyjścia i dowód dojrzałości zarządzania bezpieczeństwem.

Obowiązek cyklicznego audytu dotyczy podmiotów kluczowych — co najmniej raz na 3 lata, na własny koszt, licząc od dnia podpisania raportu z ostatniego audytu (art. 15 ust. 1). Audyt może przeprowadzić akredytowana jednostka oceniająca zgodność, co najmniej dwóch audytorów spełniających wymogi certyfikatów lub praktyki, albo CSIRT sektorowy (art. 15 ust. 2). Audytu nie może wykonać osoba, która w audytowanym podmiocie realizowała zadania SZBI w ciągu roku przed jego rozpoczęciem (art. 15 ust. 2a). Pierwszy audyt — co do zasady w terminie 24 miesięcy (art. 16), a w harmonogramie nowelizacji do 3 kwietnia 2028 r.