Sprawdź zakres swoich obowiązków wynikających ze znowelizowanych przepisów o cyberbezpieczeństwie

Z artykułu dowiesz się m.in.:

• Nowelizacja UKSC i wdrożenie NIS-2: Długi proces nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) z 23 stycznia 2026 r. wdrożył dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555, zwaną NIS-2. Nowe przepisy kierują obowiązki do podmiotów kluczowych i ważnych (PKW), w tym dużych przedsiębiorstw energetycznych, szpitali (np. SP ZOZ), firm chemicznych, ściekowych, transportujących odpady czy zaopatrujących w wodę, a także jednostek sektora finansów publicznych. Indywidualna kwalifikacja PKW opiera się na załącznikach do UKSC – warto przeprowadzić analizę, by uniknąć kar.
• Obowiązki kierowników PKW i lista sprawdzająca: Kierownicy (członkowie zarządu, wspólnicy, dyrektorzy) PKW odpowiadają osobiście za zadania z rozdziału 3 UKSC (art. 8-16), nawet po powierzeniu ich innym osobom. Niniejszy kwestionariusz pomaga sprawdzić zakres odpowiedzialności, obejmujący m.in. procedury cyberbezpieczeństwa dla usług jak DNS, chmura obliczeniowa, centra przetwarzania danych czy zadania publiczne. Przepisy przejściowe (art. 33 nowelizacji) dają 12 miesięcy od wejścia w życie (3 kwietnia 2026 r.), czyli do kwietnia 2027 r., na dostosowanie procedur.
• Kary finansowe, zakazy i terminy: Kara dla kierownika PKW do 300% wynagrodzenia (100% dla podmiotów publicznych), nakładana od kwietnia 2028 r. Możliwy zakaz pełnienia funkcji zarządczych do usunięcia uchybień, wydawany przez organ ds. cyberbezpieczeństwa (np. ministra sektorowego). Pojęcie „usług" wymaga indywidualnej analizy, co podkreśla potrzebę przeglądu własnych procesów w kontekście NIS-2 i UKSC.