cyberbezpieczeństwo

Nowelizacja UKSC 2026: Obowiązki kierowników PKW i kary za naruszenia NIS-2

Sprawdź zakres swoich obowiązków wynikających ze znowelizowanych przepisów o cyberbezpieczeństwie

Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa dobiegł końca. Dlatego też warto zebrać w jednym miejscu, w formie listy sprawdzającej, obowiązki kierowników niektórych podmiotów, np. członka zarządu, wspólnika, dyrektora SP ZOZ, na których nowelizacja nałożyła szereg nowych obowiązków.

Korzyści 

Z artykułu dowiesz się m.in.:

  • Nowelizacja UKSC i wdrożenie NIS-2: Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) z 23 stycznia 2026 r. wdrożył dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555, zwaną NIS-2. Nowe przepisy kierują obowiązki do podmiotów kluczowych i ważnych (PKW), w tym dużych przedsiębiorstw energetycznych, szpitali (np. SP ZOZ), firm chemicznych, ściekowych, transportujących odpady czy zaopatrujących w wodę, a także jednostek sektora finansów publicznych. Indywidualna kwalifikacja PKW opiera się na załącznikach do UKSC – warto przeprowadzić analizę, by uniknąć kar.
  • Obowiązki kierowników PKW i lista sprawdzająca: Kierownicy (członkowie zarządu, wspólnicy, dyrektorzy) PKW odpowiadają osobiście za zadania z rozdziału 3 UKSC (art. 8-16), nawet po powierzeniu ich innym osobom. Niniejszy kwestionariusz pomaga sprawdzić zakres odpowiedzialności, obejmujący m.in. procedury cyberbezpieczeństwa dla usług jak DNS, chmura obliczeniowa, centra przetwarzania danych czy zadania publiczne. Przepisy przejściowe (art. 33 nowelizacji) dają 12 miesięcy od wejścia w życie (3 kwietnia 2026 r.), czyli do kwietnia 2027 r., na dostosowanie procedur.
  • Kary finansowe, zakazy i terminy: Kara dla kierownika PKW do 300% wynagrodzenia (100% dla podmiotów publicznych), nakładana od kwietnia 2028 r. Możliwy zakaz pełnienia funkcji zarządczych do usunięcia uchybień, wydawany przez organ ds. cyberbezpieczeństwa (np. ministra sektorowego). Pojęcie „usług" wymaga indywidualnej analizy, co podkreśla potrzebę przeglądu własnych procesów w kontekście NIS-2 i UKSC.

Lista sprawdzająca: podstawowe obowiązki kierownika PKW wynikające z ustawy o krajowym systemie cyberbezpieczeństwa w brzmieniu obowiązującym od 3 kwietnia 2026 r.

Ustawa KSC podpisana przez Prezydenta – czas na wdrożenie NIS2

Ustawa KSC podpisana przez Prezydenta – czas na wdrożenie NIS2

Prezydent RP podpisał ustawę z 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (nr druku sejmowego 1955). Ustawa ma na celu wdrożenie dyrektywy NIS 2 (dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555).  

Kogo dotyczy ustawa o krajowym systemie cyberbezpieczeństwa?

Kogo dotyczy ustawa o krajowym systemie cyberbezpieczeństwa?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, przekazana Prezydentowi RP do podpisu pod koniec stycznia 2026 r., stanowi kluczowy etap dostosowywania polskiego porządku prawnego do wymogów dyrektywy NIS 2 (dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555). Choć w debacie publicznej najwięcej uwagi poświęca się obowiązkom w zakresie zarządzania ryzykiem, raportowania incydentów czy sankcjom, fundamentalną kwestią pozostaje katalog podmiotów objętych systemem, czyli po prostu ustalenie, kto podlega wskazanym obowiązkom.

Korzyści 
  • Rozszerzony katalog podmiotów KSC: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdraża dyrektywę NIS 2, obejmując sektory jak energia, transport, bankowość, ochrona zdrowia, ICT i produkcja; podział na podmioty kluczowe (duży wpływ systemowy) i ważne wymaga samoidentyfikacji na podstawie skali działalności i roli w łańcuchach dostaw.
  • Obowiązki i samoidentyfikacja: Podmioty objęte KSC muszą wdrożyć zarządzanie ryzykiem cyberbezpieczeństwa, raportowanie incydentów do CSIRT, polityki bezpieczeństwa i ciągłości działania; kierownictwo ponosi odpowiedzialność, a brak samooceny grozi sankcjami podczas kontroli.
  • Zasada proporcjonalności i praktyka biznesowa: Obowiązki dostosowane do skali (rygorystyczne dla kluczowych), analogia do RODO; przedsiębiorcy powinni weryfikować status dynamicznie, zwłaszcza w ochronie zdrowia i ICT, przygotowując SZBI i relacje z dostawcami.
Korzyści 

Ewa Lewańska

radca prawny specjalizujący się w przepisach dot. ochrony danych osobowych

ISAC-JST: nowa platforma dla cyberbezpieczeństwa samorządów i ochrony danych

Nowa platforma ISAC-JST wzmocni cyberodporność samorządów i ochronę danych mieszkańców

ISAC-JST to nowa platforma współpracy samorządów w obszarze cyberbezpieczeństwa. Jej celem jest skuteczniejsze reagowanie na incydenty, wymiana wiedzy, lepsza ochrona infrastruktury krytycznej i wdrażanie wspólnych standardów ochrony danych. Projekt ma pomóc JST lepiej chronić infrastrukturę krytyczną i dane mieszkańców przed cyberatakami.

Nowa kampania phishingowa wymierzona w samorządy – uwaga na oszustów

Nowa kampania phishingowa wymierzona w samorządy – uwaga na oszustów

Trwa kampania phishingowa wymierzona w jednostki samorządu terytorialnego. Oszuści podszywają się pod Ministerstwo Cyfryzacji, próbując wyłudzić dane kontaktowe pracowników lub zainfekować urządzenia złośliwym oprogramowaniem. Pełnomocnik Rządu ds. Cyberbezpieczeństwa ostrzega i apeluje o zachowanie szczególnej ostrożności.

Aktualizacja oprogramowania w ochronie danych osobowych – obowiązki ADO według najnowszych interpretacji UODO

Aktualizacja oprogramowania w ochronie danych osobowych – obowiązki ADO według najnowszych interpretacji UODO

Wielu administratorów danych osobowych (ADO) nadal nie podchodzi poważnie do tak podstawowej kwestii jak aktualizacja oprogramowania. Również w przypadku ADO, którzy wprowadzili zaawansowane zabezpieczenia może zaistnieć problem związany z zaniedbaniem aktualizacji, nieraz oddanej do przeprowadzenia w ręce pracowników, którzy nie mają świadomości co do jej znaczenia. Warto zatem spojrzeć, jak Prezes Urzędu Ochrony Danych Osobowych (UODO) widzi kwestię aktualizacji. Jego stanowisko opiera się na zaistniałych wydarzeniach oraz wydanych interpretacjach.

Korzyści 

 

  • Regularna aktualizacja oprogramowania to kluczowy obowiązek administratora danych osobowych (ADO) wynikający z RODO i krajowych przepisów, a jej zaniedbanie grozi nie tylko naruszeniem bezpieczeństwa danych, ale również odpowiedzialnością administracyjną i cywilną, co potwierdzają najnowsze interpretacje i decyzje UODO.

  • UODO podkreśla, że aktualizacje eliminują luki bezpieczeństwa, dostosowują systemy do aktualnych wymogów prawnych i zapewniają wsparcie techniczne, a korzystanie z niewspieranego oprogramowania (np. Windows 10 po 14 października 2025 r.) znacząco zwiększa ryzyko naruszeń ochrony danych osobowych.

  • Do dobrych praktyk należy systematyczne monitorowanie i natychmiastowe wdrażanie aktualizacji, śledzenie komunikatów producentów o podatnościach oraz opracowanie procedur wymuszających aktualizacje w całej organizacji, aby zapewnić realną kontrolę nad bezpieczeństwem przetwarzanych danych osobowych

 

Czym jest phishing i spear phishing?

Czym jest phishing i spear phishing?

Phishing to jedna z najprostszych, a zarazem najskuteczniejszych metod cyberoszustwa, polegająca na podszywaniu się pod zaufane osoby lub instytucje w celu wyłudzenia danych, pieniędzy lub dostępu do systemów firmowych. Szczególną odmianą jest spear phishing – precyzyjny, celowany atak na konkretne osoby, oparty na wcześniej zebranych informacjach, który często udaje autentyczną korespondencję biznesową.

Phishing i spear phishing – Jak Rozpoznać i Chronić Firmę przed Cyberatakami?

Phishing i spear phishing –jak rozpoznać i chronić firmę przed cyberatakami?

Nie trzeba włamywać się do serwera, przełamywać zapór sieciowych ani łamać haseł. Wystarczy dobrze przygotowany e-mail, odpowiednio dobrany nadawca i sugestywna treść, by w ciągu kilku minut uzyskać dostęp do danych, pieniędzy lub infrastruktury firmy. Tak właśnie działa phishing – jedna z najprostszych, a zarazem najskuteczniejszych metod ataków cyberprzestępczych. Phishing, czyli oszustwo polegające na podszywaniu się pod zaufane instytucje lub osoby, jest zagrożeniem, które mimo upływu lat nie traci na aktualności. Wręcz przeciwnie – z każdym rokiem ataki stają się bardziej dopracowane i trudniejsze do rozpoznania. Szczególnym zagrożeniem jest spear phishing – celowany atak na konkretne osoby lub stanowiska, często oparty na wcześniej zebranych informacjach.

Korzyści 

  • Phishing i spear phishing to jedne z najskuteczniejszych metod cyberataków, polegające na podszywaniu się pod zaufane osoby lub instytucje w celu wyłudzenia danych, pieniędzy lub dostępu do systemów firmowych.

  • Ataki phishingowe można rozpoznać po nagłej prośbie o pilne działanie, nietypowych szczegółach w adresie e-mail lub treści wiadomości oraz podejrzanych linkach i załącznikach. Kluczowa jest czujność i weryfikacja źródła.

  • Skuteczna ochrona przed phishingiem wymaga połączenia edukacji pracowników, wdrażania procedur bezpieczeństwa, stosowania uwierzytelniania dwuskładnikowego oraz posiadania jasnego planu reagowania na incydenty.

ae9cff94f3c2f1b497fc389c66eeadc6d22039cb-xlarge (1)

Zaproszenie na webinar: Dyrektywa NIS 2 i nowelizacja ustawy UKSC – obowiązki, incydenty, sankcje

Portal poradyodo.pl serdecznie zaprasza do udziału w bezpłatnym webinarze poświęconym najnowszym zmianom w zakresie cyberbezpieczeństwa:
Dyrektywa NIS 2 i nowelizacja ustawy UKSC – obowiązki w zakresie zgłaszania incydentów oraz sankcje i środki nadzoru przewidziane przez nowelizację ustawy UKSC.

Termin: 23 czerwca 2025 r.
Godzina: 12:00–12:40
Forma: Online
Udział: Bezpłatny

  • 7 czerwca 2025 r.
  • ADO
Dyrektywa CER – nowe obowiązki podmiotów krytycznych w zakresie ochrony danych i cyberbezpieczeństwa

Dyrektywa CER – nowe obowiązki podmiotów krytycznych w zakresie ochrony danych i cyberbezpieczeństwa

Dyrektywa w sprawie odporności podmiotów krytycznych, zwana dyrektywą CER, pozostaje w cieniu wdrażanej obecnie w Polsce Dyrektywy NIS-2. Niemniej, zawiera ona pewne zasady dotyczące przetwarzania danych osobowych, z którymi muszą się przede wszystkim zapoznać tzw. podmioty krytyczne oraz operatorzy infrastruktury krytycznej.

64926bb8e8e655e16cc83777c847e77fece4e747-xlarge (12)

Podmioty krytyczne a ochrona danych osobowych – nowe obowiązki według dyrektywy CER

Dyrektywa CER, choć mniej medialna niż NIS2, niesie istotne zmiany dla operatorów infrastruktury krytycznej oraz podmiotów krytycznych – także w zakresie ochrony danych osobowych i cyberbezpieczeństwa. Przyszłe przepisy krajowe zobowiążą te podmioty do wprowadzenia nowych procedur, w tym sprawdzania przeszłości personelu oraz przetwarzania danych biometrycznych. Dowiedz się, jakie obowiązki wkrótce Cię czekają.

  • 22 maja 2025 r.
  • ADO
a3a3f562171693dc050b756cd0c496daf20cd679-xlarge (32)

CYBER.GOV.PL – nowe narzędzie do walki z cyberatakami

Aż 26% placówek ochrony zdrowia nie posiada podstawowego zabezpieczenia, jakim jest firewall, a liczba incydentów cyberbezpieczeństwa wzrosła w 2024 roku o 60%. Tak wynika ze sprawozdania z cyberbezpieczeństwa za 2024 r. przygotowanego przez pełnomocnika Rządu ds. Cyberbezpieczeństwa. Ministerstwo Cyfryzacji odpowiada na te wyzwania, uruchamiając platformę CYBER.GOV.PL – centralny punkt zgłaszania incydentów, dostępu do ostrzeżeń i narzędzi wspierających ADO i IOD w zarządzaniu ryzykiem.

EROD o sztucznej inteligencji i danych osobowych – praktyczne wskazówki dla ADO i IOD

EROD o sztucznej inteligencji i danych osobowych – praktyczne wskazówki dla ADO i IOD

Jak ocenić anonimowość modeli AI? Czy uzasadniony interes może stanowić podstawę przetwarzania danych do celów sztucznej inteligencji? Europejska Rada Ochrony Danych w swojej najnowszej opinii analizuje kluczowe zagadnienia związane z przetwarzaniem danych osobowych w procesach tworzenia i wdrażania modeli sztucznej inteligencji. Dokument zawiera m.in. kryteria oceny, czy dany model można uznać za anonimowy, zasady stosowania prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych oraz wytyczne dotyczące testu równowagi i środków łagodzących ryzyko naruszenia praw osób fizycznych. Dla administratorów danych i inspektorów ochrony danych to cenna wskazówka, jak bezpiecznie i zgodnie z RODO projektować rozwiązania oparte na AI. Dzięki nieoficjalnemu tłumaczeniu UODO dokument jest teraz łatwiej dostępny dla polskich instytucji i organizacji.

Phishing, RODO i kadry IT – realne wyzwania dla cyberbezpieczeństwa

Phishing, RODO i kadry IT – realne wyzwania dla cyberbezpieczeństwa

Z roku na rok rośnie skala zagrożeń związanych z ochroną danych osobowych. Z najnowszego raportu „Barometr Cyberbezpieczeństwa 2024”, przygotowanego przez KPMG, wynika, że aż 66% organizacji w Polsce doświadczyło co najmniej jednego incydentu związanego z cyberbezpieczeństwem w ciągu ostatnich 12 miesięcy. To wzrost o 8 punktów procentowych w porównaniu z rokiem 2022. Taka dynamika nie pozostawia złudzeń – administratorzy danych osobowych (ADO) oraz inspektorzy ochrony danych (IOD) muszą dziś podejmować aktywne działania w zakresie bezpieczeństwa informacji, za które odpowiadają.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x