Słownik pojęć KSC i NIS 2

Audyt bezpieczeństwa

Audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi. Podmiot kluczowy przeprowadza go na własny koszt co najmniej raz na 3 lata (licząc od podpisania raportu z poprzedniego audytu). Może być wykonany przez akredytowaną jednostkę oceniającą zgodność, co najmniej dwóch audytorów o określonych kwalifikacjach albo CSIRT sektorowy.

art. 15 ustawy o KSC

Cyberzagrożenie

Cyberzagrożenie w rozumieniu rozporządzenia 2019/881 — wszelkie potencjalne okoliczności, zdarzenia lub działania mogące wyrządzić szkodę systemom informacyjnym, ich użytkownikom lub innym osobom. Poważne cyberzagrożenie to takie, które przez swoje właściwości techniczne może mieć poważny wpływ na bezpieczeństwo systemów lub ich użytkowników.

art. 2 pkt 4a ustawy o KSC

CSIRT GOV

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego. Jeden z trzech CSIRT poziomu krajowego, odpowiedzialny m.in. za klasyfikację incydentów krytycznych w obszarze swojej właściwości.

art. 2 pkt 1 ustawy o KSC

CSIRT MON

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej. Właściwy m.in. dla podmiotów podległych lub nadzorowanych przez MON.

art. 2 pkt 2 ustawy o KSC

CSIRT NASK

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy. Przyjmuje zgłoszenia od większości podmiotów spoza administracji rządowej i wojska oraz prowadzi system teleinformatyczny S46.

art. 2 pkt 3 ustawy o KSC

CSIRT sektorowy

Zespół Reagowania na Incydenty działający na poziomie sektora lub podsektora, ustanawiany przez organ właściwy do spraw cyberbezpieczeństwa. Do CSIRT sektorowego podmioty kluczowe i ważne zgłaszają wczesne ostrzeżenia (do 24 h) oraz incydenty poważne (do 72 h).

art. 2 pkt 3a ustawy o KSC

Dostawca usług DNS

Podmiot świadczący dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen na rzecz ogółu użytkowników końcowych Internetu lub autorytatywne usługi rozpoznawania nazw domen, z wyjątkiem głównych serwerów nazw. Jest podmiotem kluczowym niezależnie od swojej wielkości.

art. 2 pkt 4g oraz art. 5 ust. 1 pkt 4 lit. a ustawy o KSC

Dostawca usług zarządzanych (MSP)

Podmiot świadczący usługi związane z instalacją, eksploatacją lub konserwacją produktów ICT, usług ICT, procesów ICT lub systemów informacyjnych przez wsparcie lub aktywną administrację u usługobiorcy na miejscu lub zdalnie (Managed Service Provider).

art. 2 pkt 4i ustawy o KSC

Dostawca usług zarządzanych w cyberbezpieczeństwie (MSSP)

Podmiot świadczący usługi polegające na realizacji lub wsparciu zarządzania ryzykiem w cyberbezpieczeństwie, w tym obsługę incydentów, testy bezpieczeństwa, audyty systemów informacyjnych i doradztwo (Managed Security Service Provider). Jest podmiotem kluczowym, jeżeli co najmniej spełnia wymogi dla małego lub średniego przedsiębiorcy.

art. 2 pkt 4j oraz art. 5 ust. 1 pkt 3 ustawy o KSC

Dostawca wysokiego ryzyka

Dostawca sprzętu lub oprogramowania uznany w drodze decyzji ministra właściwego do spraw informatyzacji (po opinii Kolegium) za stwarzającego zagrożenie dla bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego. Skutkiem jest m.in. obowiązek wycofania produktów takiego dostawcy.

art. 67b ustawy o KSC

Dyrektywa NIS2 (2022/2555)

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii, uchylająca dyrektywę 2016/1148. Nowelizacja ustawy o KSC z 2026 r. wdraża tę dyrektywę do polskiego prawa.

dyrektywa (UE) 2022/2555

DORA (rozporządzenie 2022/2554)

Rozporządzenie (UE) 2022/2554 o operacyjnej odporności cyfrowej sektora finansowego. Dla podmiotów finansowych objętych DORA przepisy KSC stosuje się z uwzględnieniem zasady lex specialis — w zakresie zarządzania ryzykiem ICT i raportowania incydentów pierwszeństwo ma DORA, a właściwym organem jest KNF.

rozporządzenie (UE) 2022/2554

ENISA

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, ustanowiona rozporządzeniem 2019/881. Wspiera państwa członkowskie i instytucje UE, prowadzi certyfikację oraz przyjmuje dane przekazywane przez Pojedynczy Punkt Kontaktowy.

rozporządzenie (UE) 2019/881; w ustawie art. 49 ust. 4 i 6

Incydent

Zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych. Podstawowe pojęcie, od którego ustawa wyróżnia kategorie kwalifikowane: incydent poważny, krytyczny oraz w cyberbezpieczeństwie na dużą skalę.

art. 2 pkt 5 ustawy o KSC

Incydent krytyczny

Incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi. Klasyfikowany przez właściwy CSIRT poziomu krajowego. Może uzasadniać wydanie polecenia zabezpieczającego.

art. 2 pkt 6 ustawy o KSC

Incydent na dużą skalę

Incydent w cyberbezpieczeństwie na dużą skalę — incydent, którego skutki przekraczają możliwości reagowania państwa lub który ma poważny wpływ na inne państwo członkowskie UE. Reagowanie objęte jest Krajowym planem reagowania na incydenty i sytuacje kryzysowe.

art. 2 pkt 8 ustawy o KSC

Incydent poważny

Incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub ważny, straty finansowe albo wpływa na inne osoby przez poważną szkodę. Podmiot zgłasza wczesne ostrzeżenie w 24 h, a zgłoszenie incydentu — w 72 h od wykrycia.

art. 2 pkt 7 oraz art. 11 ust. 1 pkt 4 i 4a ustawy o KSC

ISO/IEC 27001

Międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS). Nie jest wymieniona w ustawie jako obowiązkowa, lecz wdrożenie SZBI zgodnego z ISO/IEC 27001 jest powszechnie uznawane za sposób spełnienia części wymogów art. 8; certyfikat bywa traktowany jako dowód zgodności.

Kara pieniężna

Administracyjna kara pieniężna nakładana na podmiot kluczowy lub ważny za naruszenia ustawy. Dla podmiotu kluczowego nie może przekroczyć 10 mln euro lub 2% przychodu (kwota wyższa), min. 20 000 zł; dla ważnego — 7 mln euro lub 1,4%, min. 15 000 zł. W szczególnych przypadkach do 100 mln zł.

art. 73–74 ustawy o KSC

Kierownik podmiotu

Kierownik podmiotu kluczowego lub ważnego, ponoszący odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa — także gdy powierzył je innej osobie. Przy organie wieloosobowym bez wskazania osoby odpowiedzialnej odpowiadają wszyscy członkowie. Podlega obowiązkowemu corocznemu szkoleniu i może być ukarany do 300% wynagrodzenia.

art. 2 pkt 8a oraz art. 8c–8d ustawy o KSC

Kolegium ds. Cyberbezpieczeństwa

Organ opiniodawczo-doradczy przy Radzie Ministrów w sprawach cyberbezpieczeństwa oraz działalności CSIRT i organów właściwych. Wyraża opinie m.in. w sprawie kierunków przeciwdziałania cyberzagrożeniom oraz decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka.

art. 64–66 ustawy o KSC

Łańcuch dostaw ICT

Powiązania pomiędzy dostawcami produktów, usług i procesów ICT, od których zależy świadczenie usługi przez podmiot kluczowy lub ważny. W ramach SZBI podmiot zapewnia bezpieczeństwo łańcucha dostaw, uwzględniając podatności i jakość produktów bezpośredniego dostawcy oraz wyniki skoordynowanej oceny bezpieczeństwa.

art. 8 ust. 1 pkt 2 lit. e oraz art. 8 ust. 2 ustawy o KSC

NIS2

Potoczna nazwa dyrektywy (UE) 2022/2555 ustanawiającej środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Rozszerza zakres podmiotowy względem NIS (2016/1148), wprowadza podział na podmioty kluczowe i ważne oraz zaostrza obowiązki. Wdrażana w Polsce nowelizacją ustawy o KSC.

dyrektywa (UE) 2022/2555

Obsługa incydentu

Czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu. Zapewnienie obsługi incydentu jest jednym z podstawowych obowiązków podmiotu kluczowego i ważnego.

art. 2 pkt 10 oraz art. 11 ust. 1 pkt 1 ustawy o KSC

Organ właściwy

Organ właściwy do spraw cyberbezpieczeństwa — wskazany w ustawie minister lub organ przypisany do danego sektora (np. minister właściwy ds. energii, KNF dla sektora bankowego, minister właściwy ds. informatyzacji dla podmiotów publicznych). Prowadzi analizę podmiotów, wpisuje je z urzędu do wykazu i sprawuje nadzór, w tym nakłada kary.

art. 41–42 ustawy o KSC

PCOC

Połączone Centrum Operacyjne Cyberbezpieczeństwa — organ pomocniczy przy Pełnomocniku Rządu ds. Cyberbezpieczeństwa, służący koordynacji działań i polityki rządu. Zajmuje się wymianą informacji o cyberzagrożeniach, incydentach, podatnościach i sytuacjach kryzysowych na poziomie krajowym.

art. 62a ustawy o KSC

Pełnomocnik ds. Cyberbezpieczeństwa

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, powoływany przez Prezesa Rady Ministrów, podległy Radzie Ministrów. Koordynuje działania i realizuje politykę rządu w zakresie cyberbezpieczeństwa.

art. 60–63 ustawy o KSC

Plan ciągłości działania

Element SZBI obejmujący wdrażanie, dokumentowanie, testowanie i utrzymywanie planów ciągłości działania umożliwiających ciągłe świadczenie usługi, a także planów awaryjnych oraz planów odtworzenia działalności po zdarzeniu przekraczającym własne zdolności odbudowy podmiotu.

art. 8 ust. 1 pkt 2 lit. f ustawy o KSC

Podatność

Właściwości produktu ICT lub usługi ICT, które mogą być wykorzystane przez cyberzagrożenie. Podmiot kluczowy i ważny zbiera informacje o podatnościach, niezwłocznie podejmuje działania po ich dostrzeżeniu oraz usuwa podatności wskazane przez właściwy CSIRT.

art. 2 pkt 11 ustawy o KSC

Podmiot kluczowy

Kategoria podmiotu objętego najsurowszym reżimem KSC. Należą do niej m.in. podmioty z Załącznika nr 1 przewyższające próg średniego przedsiębiorstwa, a niezależnie od wielkości — dostawcy usług DNS, rejestry TLD, kwalifikowani dostawcy usług zaufania, podmioty krytyczne i wskazane podmioty publiczne. Jeśli podmiot spełnia kryteria obu kategorii — jest kluczowym.

art. 5 ust. 1 ustawy o KSC

Podmiot publiczny

Podmiot wskazany w załączniku nr 1 lub 2 do ustawy w sektorze podmioty publiczne. W zależności od formy i wielkości może być podmiotem kluczowym lub ważnym. Podmioty publiczne będące podmiotami ważnymi stosują uproszczony SZBI zgodny z Załącznikiem nr 4, a ustawę stosuje się do nich niezależnie od miejsca siedziby.

art. 2 pkt 11b oraz art. 8 ust. 3 ustawy o KSC

Podmiot finansowy a KNF

Podmiot finansowy w rozumieniu rozporządzenia 2022/2554 (DORA). W obszarze odporności cyfrowej sektora finansowego właściwym organem jest Komisja Nadzoru Finansowego, która jest także organem właściwym ds. cyberbezpieczeństwa dla sektora bankowego i infrastruktury rynków finansowych.

art. 2 pkt 11a i 14a oraz art. 41 pkt 4 ustawy o KSC

Podmiot ważny

Kategoria podmiotu objętego KSC w reżimie łagodniejszym niż podmiot kluczowy (nadzór głównie ex post). Należą do niej m.in. podmioty z Załącznika nr 1 spełniające próg średniego przedsiębiorstwa, które nie są kluczowe, podmioty z Załącznika nr 2 oraz wskazane podmioty publiczne.

art. 5 ust. 2 ustawy o KSC

Pojedynczy Punkt Kontaktowy

Pojedynczy Punkt Kontaktowy ds. cyberbezpieczeństwa, prowadzony przez ministra właściwego do spraw informatyzacji. Pełni funkcję łącznikową zapewniającą współpracę transgraniczną — przekazuje dane Grupie Współpracy, ENISA i Komisji Europejskiej.

art. 48–50 ustawy o KSC

Polecenie zabezpieczające

Decyzja ministra właściwego do spraw informatyzacji, wydawana w przypadku incydentu krytycznego, nakładająca na nieokreśloną liczbę podmiotów kluczowych, ważnych i finansowych obowiązek określonego zachowania ograniczającego skutki incydentu (np. nakaz poprawki bezpieczeństwa, szczególnej konfiguracji lub wzmożonego monitorowania).

art. 67g ustawy o KSC

Rejestr TLD

Rejestr nazw domen najwyższego poziomu (TLD) — podmiot odpowiadający za zarządzanie konkretną domeną najwyższego poziomu, w tym rejestrację nazw domen, techniczne funkcjonowanie i obsługę serwerów nazw. Jest podmiotem kluczowym niezależnie od wielkości.

art. 2 pkt 11n oraz art. 5 ust. 1 pkt 4 lit. i ustawy o KSC

Rozporządzenie 2024/1366 (kodeks sieci)

Rozporządzenie delegowane Komisji (UE) 2024/1366 ustanawiające kodeks sieci w zakresie cyberbezpieczeństwa transgranicznych przepływów energii elektrycznej. Podmioty z podsektora energii elektrycznej uznane za podmiot o dużym lub krytycznym wpływie stosują dodatkowo środki z tego rozporządzenia.

rozporządzenie (UE) 2024/1366; w ustawie art. 8b ust. 3

Rozporządzenie wykonawcze 2024/2690

Rozporządzenie wykonawcze Komisji (UE) 2024/2690 określające techniczne i metodyczne wymogi środków zarządzania ryzykiem oraz progi uznania incydentu za poważny dla określonych kategorii podmiotów (m.in. dostawców DNS, rejestrów TLD, dostawców chmury, MSP i MSSP).

rozporządzenie wykonawcze (UE) 2024/2690

Ryzyko

Kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji. Pojęcie bazowe dla obowiązków zarządzania ryzykiem i szacowania ryzyka w ramach SZBI.

art. 2 pkt 12 ustawy o KSC

Samoidentyfikacja

Mechanizm, w którym podmiot samodzielnie ocenia, czy spełnia przesłanki uznania za podmiot kluczowy lub ważny, i w razie ich spełnienia składa wniosek o wpis do wykazu w terminie 6 miesięcy. Niezłożenie wniosku nie zwalnia z obowiązków i może skutkować wpisem z urzędu oraz karą.

art. 7c ust. 1 ustawy o KSC

Szacowanie ryzyka

Całościowy proces identyfikacji, analizy i oceny ryzyka. W ramach SZBI podmiot kluczowy i ważny prowadzi systematyczne szacowanie ryzyka wystąpienia incydentu i zarządza tym ryzykiem; brak tego procesu jest sankcjonowany karą.

art. 2 pkt 13 oraz art. 8 ust. 1 pkt 1 ustawy o KSC

Środki zarządzania ryzykiem

Odpowiednie i proporcjonalne do oszacowanego ryzyka środki techniczne i organizacyjne wdrażane w ramach SZBI: m.in. polityki bezpieczeństwa, bezpieczeństwo łańcucha dostaw, ciągłość działania, monitorowanie systemu, kryptografia, uwierzytelnianie wieloskładnikowe, cyberhigiena i zarządzanie aktywami.

art. 8 ust. 1 pkt 2 ustawy o KSC

System S46

Potoczna nazwa systemu teleinformatycznego z art. 46 ust. 1 ustawy, rozwijanego przez NASK-PIB. Wspiera współpracę podmiotów KSC, zgłaszanie i obsługę incydentów, ostrzeganie o cyberzagrożeniach oraz czynności nadzorcze; w systemie prowadzony jest wykaz. Podmioty podłączają się w terminie 12 miesięcy.

art. 46 ustawy o KSC

SZBI (System Zarządzania Bezpieczeństwem Informacji)

System zarządzania bezpieczeństwem informacji, który podmiot kluczowy lub ważny wdraża w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi. Zapewnia systematyczne szacowanie i zarządzanie ryzykiem, proporcjonalne środki techniczne i organizacyjne oraz zarządzanie incydentami. Podmioty publiczne (ważne) stosują wariant z Załącznika nr 4.

art. 8 ustawy o KSC

Wczesne ostrzeżenie

Pierwsze, wstępne zgłoszenie o incydencie poważnym, które podmiot kluczowy lub ważny przekazuje niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia, do właściwego CSIRT sektorowego przez system S46. Po nim następuje pełne zgłoszenie (do 72 h) oraz sprawozdanie końcowe (do miesiąca).

art. 11 ust. 1 pkt 4 oraz art. 12 ustawy o KSC

Wykaz podmiotów kluczowych i ważnych

Wykaz prowadzony w systemie S46 w celu identyfikacji podmiotów kluczowych i ważnych, wymiany informacji o incydentach, podatnościach i cyberzagrożeniach oraz nadzoru. Podmiot składa wniosek o wpis w terminie 6 miesięcy od spełnienia przesłanek; organ właściwy może wpisać podmiot z urzędu.

art. 7 oraz art. 7c ustawy o KSC

Załącznik nr 1 (sektory kluczowe)

Załącznik do ustawy wskazujący sektory, podsektory i rodzaje podmiotów uznawanych — zależnie od wielkości — za kluczowe lub ważne (m.in. energia, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, infrastruktura cyfrowa, podmioty publiczne).

załącznik nr 1 do ustawy o KSC

Załącznik nr 2 (sektory ważne)

Załącznik do ustawy wskazujący kolejne sektory i rodzaje podmiotów (m.in. usługi pocztowe, gospodarowanie odpadami, chemikalia, żywność, produkcja, dostawcy usług cyfrowych, badania naukowe). Podmioty z tego załącznika spełniające próg średniego przedsiębiorcy są co do zasady podmiotami ważnymi.

załącznik nr 2 do ustawy o KSC

Załącznik nr 4 (SZBI dla podmiotów publicznych)

Załącznik do ustawy określający wymogi systemu zarządzania bezpieczeństwem informacji dla podmiotów ważnych będących podmiotami publicznymi (m.in. JST). Podmioty te zamiast pełnego SZBI z art. 8 ust. 1 opracowują i utrzymują SZBI spełniający wymogi z Załącznika nr 4.

art. 8 ust. 3 oraz załącznik nr 4 do ustawy o KSC

Zarządzanie incydentem

Obsługa incydentu wraz z wyszukiwaniem powiązań między incydentami, usuwaniem przyczyn ich wystąpienia oraz opracowywaniem wniosków. Szersze pojęcie niż sama obsługa incydentu, ukierunkowane także na zapobieganie ponownym zdarzeniom.

art. 2 pkt 18 ustawy o KSC

Zarządzanie ryzykiem

Skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka. Stanowi rdzeń SZBI — podmiot kluczowy i ważny systematycznie szacuje ryzyko i wdraża proporcjonalne środki techniczne i organizacyjne.

art. 2 pkt 19 oraz art. 8 ust. 1 pkt 1 ustawy o KSC