AI Act: Projekt wytycznych Komisji Europejskiej w sprawie klasyfikacji systemów wysokiego ryzyka opublikowany – czy nowe wytyczne wpłyną na biznes?
Czytaj więcej
Dostawco usług chmurowych czy Twoje umowy są zgodne z Data Act i gotowe na zmianę dostawcy przez klienta?
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 4
Czytaj więcej
Vibe coding a prawo
Czytaj więcej
Będzie coraz trudniej o 8,5% ryczałt od przychodów ewidencjonowanych w branży IT?
Czytaj więcej
Shadow AI
Czytaj więcej
Objaśnienia, konsultacje, publikacje – czy termin wejścia w życie KSeF pozostaje realny?
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 3
Czytaj więcej
Lista samokontroli do umów cywilnoprawnych – czy pytania GIP dotyczące samozatrudnienia i B2B powinny być powodem do paniki?
Czytaj więcej
Pierwsze kroki ze start-upem, czyli co z tą polityką prywatności
Czytaj więcej
Encyclopaedia Britannica v. Perplexity AI: kolejny pozew przeciwko dostawcy modelu sztucznej inteligencji
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 1
Czytaj więcej
Pierwszy pozew o kradzież głosu polskiego lektora przy wykorzystaniu AI
Czytaj więcej
Umowy inwestycyjne w start-upach, czyli jak negocjować i czego unikać – praktyczny przewodnik dla founderów
Czytaj więcej
Data Act – Rozwiązanie umowy na usługę chmurową
Czytaj więcej
GEMA wygrywa z OpenAI – czy to przełomowy wyrok?
Czytaj więcej
Standardowe klauzule umowne dla dostawców usług chmurowych
Czytaj więcej
Wyrok sądu w sprawie Getty Images przeciwko Stability AI – kluczowe skutki dla zarządzania IT oraz biznesu cyfrowego
Czytaj więcej
Exit plan w start-upie
Czytaj więcej
Sztuczna inteligencja w medycynie – nowe wyzwania prawne i praktyczne
Czytaj więcej
KSeF – to przede wszystkim wyzwanie informatyczne
Czytaj więcej
Finansowanie start-upów
Czytaj więcej
Nowe wyzwania prawne dla IT – prelekcja Mateusza Kozieła podczas warsztatów MMC Polska
Czytaj więcej
Założenia ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu opublikowane
Czytaj więcej
Generatywna sztuczna inteligencja a prawo autorskie w UE – kluczowe wnioski z raportu EUIPO
Czytaj więcej
Obowiązek współdziałania w kontrakcie utrzymaniowym IT – dobre praktyki umowne
Czytaj więcej
Richard Kadrey v. Meta Platforms: kolejna decyzja w sprawie trenowania modeli AI oraz praw autorskich w Stanach Zjednoczonych
Czytaj więcej
Naruszenie praw autorskich i co dalej?
Czytaj więcej
ESOP czyli co? 
Czytaj więcej
Nowe prawo pokrewne w praktyce – jak chroni wydawców w erze platform cyfrowych?
Czytaj więcej
Bartz i in. vs. Anthropic: pierwsze zwycięstwo producentów modeli sztucznej inteligencji przeciwko autorom książek
Czytaj więcej
Open source w firmie: potencjał, obowiązki, ryzyko
Czytaj więcej
Jaką formę prawną wybrać dla start-upu?
Czytaj więcej
Nowe zasady gry w WHT – MF publikuje długo wyczekiwane objaśnienia do klauzuli rzeczywistego właściciela
Czytaj więcej
Nie tylko formalność – wpływ badania due diligence na decyzje transakcyjne
Czytaj więcej
Styl a prawo autorskie na tle generowania obrazów w stylu Ghibli
Czytaj więcej
Raport Copyright and Generative AI: sztuczna inteligencja a prawo autorskie
Czytaj więcej
Sztuczna inteligencja przed sądem – pierwszy spór przed TSUE
Czytaj więcej
Zgłaszać czy nie zgłaszać? Naruszenia ochrony danych osobowych po „nowemu”.
Czytaj więcej
Kiedy design łamie prawo – dark patterns w świetle przepisów
Czytaj więcej
Program komputerowy jako wkład do spółki – skutki podatkowe
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 3: Jak odzyskać swobodę zarządzania systemem – dostępne strategie i ich konsekwencje
Czytaj więcej
Program komputerowy jako wkład do spółki
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 2: Jak sprawdzić swoją sytuację prawną i techniczną?
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 1: Dlaczego zamawiający tracą wpływ na swoje systemy IT?
Czytaj więcej
Ulga na innowacyjnych pracowników a 50% koszty uzyskania przychodów – naczynia połączone?
Czytaj więcej
Czy czeka nas deregulacja RODO?
Czytaj więcej
Polski Akt o Dostępności – nowe obowiązki również dla e-commerce
Czytaj więcej
Zmiany w prawie autorskim – nowe uprawnienia twórców
Czytaj więcej
Zagrożona wirtualna tożsamość – spory o domeny internetowe
Czytaj więcej

Co zmienia nowelizacja UKSC? Część 2

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, w ślad za dyrektywą NIS2, modyfikuje krąg podmiotów objętych wymogami z zakresu cyberbezpieczeństwa. Nie tylko proponuje nieznany wcześniej podział na podmioty kluczowe i ważne, ale również poszerza katalog branż, które będą musiały dostosować się do nowych standardów.

To drugi wpis z cyklu artykułów o planowanej nowelizacji UKSC. Poprzednio nakreśliliśmy tło nowelizacji i przedstawiliśmy najważniejsze założenia, a dzisiaj skupimy się na omówieniu zakresu podmiotowego, zaznaczając największe zmiany w tym obszarze. Aby lepiej zrozumieć, na czym polegają zmiany, pokrótce przypomnimy też, jak na tę chwilę kształtują się regulacje z zakresu cyberbezpieczeństwa.

Jak jest teraz?

Zgodnie z obecnie obowiązującą ustawą, krajowy system cyberbezpieczeństwa obejmuje szereg podmiotów, wśród których najczęściej wymienia się operatorów usług kluczowych, dostawców usług cyfrowych oraz określone podmioty publiczne.

Operator usług kluczowych

Podmiot posiada jednostkę organizacyjną na terytorium RP i świadczy usługę kluczową w rozumieniu art. 5 ust. 1 UKSC. Świadczenie tej usługi jest uzależnione od funkcjonowania systemów informacyjnych, a ewentualny incydent ma mieć istotny skutek zakłócający dla świadczenia usługi przez tego operatora (art. 5 ust. 2 pkt 2-3 UKSC).

Usługi kluczowe łącznie z progiem istotności skutku, wymienione zostały w rozporządzeniu Rady Ministrów z 11 września 2018 roku.

Operator usług kluczowych działa w co najmniej jednym z sześciu sektorów wymienionych w załączniku nr 1 do ustawy (energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, infrastruktura cyfrowa).

Aby podmiot uzyskał status operatora usługi kluczowej, konieczne jest wydanie decyzji o uznaniu go za takiego operatora. Do wydania decyzji uprawniony jest organ właściwy do spraw cyberbezpieczeństwa, którym co do zasady jest właściwy minister (art. 41 UKSC).

Dostawca usług cyfrowych

Posiada siedzibę lub zarząd na terytorium RP (albo przedstawiciela mającego na tym terytorium jednostkę organizacyjną) i świadczy usługę cyfrową. Rodzaje tych usług zostały wymienione w załączniku nr 2 do ustawy, a są nimi:

  • internetowa platforma handlowa (tzw. marketplace);
  • usługa przetwarzania w chmurze;
  • wyszukiwarka internetowa.

Dostawcą usług cyfrowych nie będzie mikroprzedsiębiorca i mały przedsiębiorca (art. 17 ust. 1 UKSC).

Podmioty publiczne

Kategoria obejmuje podmioty takie, jak: Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, ale także zdefiniowane w odrębnych ustawach spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej czy jednostki sektora finansów publicznych.

Jak będzie po nowelizacji? Kategorie podmiotów

Zgodnie z założeniami dyrektywy NIS2 i projektu nowelizacji UKSC, przedstawiony powyżej podział zostanie zastąpiony przez prostszy, obejmujący podmioty kluczowe i podmioty ważne.

Podmiot kluczowy

Podmiotem kluczowym będzie podmiot, który przewyższa wymogi dla średniego przedsiębiorstwa, działający w jednym z sektorów kluczowych, wymienionych w załączniku nr 1.

W grupie podmiotów kluczowych znajdzie się także:

  • przedsiębiorca komunikacji elektronicznej, będący co najmniej średnim przedsiębiorcą oraz
  • dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, będący co najmniej małym albo średnim przedsiębiorcą.

W przypadku niektórych podmiotów status podmiotu kluczowego będzie przysługiwał niezależnie od ich wielkości. Będzie tak w przypadku:

  • dostawcy usług DNS;
  • kwalifikowanego dostawcy usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014;
  • podmiotu krytycznego (w rozumieniu dyrektywy CER);
  • podmiotu publicznego wskazanego w załączniku nr 1;
  • podmiotu zidentyfikowanego jako podmiot kluczowy na podstawie art. 7l ust. 2 pkt 1 UKSC;
  • państwowej osoby prawnej zidentyfikowanej jako podmiot kluczowy na podstawie art. 7m UKSC;
  • podmiotu, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 1 do ustawy z nazwy albo przez określenie jego rodzaju;
  • podmiotu będącego operatorem obiektu energetyki jądrowej, o którym mowa w art. 2 pkt 2 ustawy z dnia 29 czerwca 2011 r. o przygotowaniu i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących (Dz. U. z 2025 r. poz. 1156);
  • rejestru nazw domen najwyższego poziomu (TLD);
  • podmiotu świadczącego usługi rejestracji nazw domen.

Podmiot ważny

Za podmiot ważny uznany zostanie podmiot:

  • spełniający wymogi dla średniego przedsiębiorcy, działający w jednym z sektorów kluczowych wymienionych w załączniku nr 1; lub
  • spełniający wymogi dla średniego przedsiębiorcy lub przewyższający je, działający w jednym z sektorów ważnych wymienionych w załączniku nr 2, niebędący przy tym podmiotem kluczowym.

W tej kategorii będzie mieścić się także:

  • mikro-, mały lub średni przedsiębiorca będący niekwalifikowanym dostawcą usług zaufania;
  • mikro- lub mały przedsiębiorca będący przedsiębiorcą komunikacji elektronicznej.

Podmiotem ważnym będzie też podmiot będący inwestorem obiektu energetyki jądrowej, o którym mowa w art. 2 pkt 2 ustawy z dnia 29 czerwca 2011 r. o przygotowaniu i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących, który uzyskał decyzję zasadniczą, o której mowa w art. 3a ust. 1 tej ustawy – bez względu na jego wielkość.

Status będzie przysługiwał również:

  • podmiotowi zidentyfikowanemu jako podmiot ważny na podstawie 7l ust. 2 pkt 2;
  • podmiotowi, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 2 do ustawy z nazwy albo przez określenie jego rodzaju; oraz
  • podmiotowi publicznemu, który nie jest podmiotem kluczowym oraz jest samorządową jednostką budżetową, samorządowym zakładem budżetowym, samorządową instytucją kultury albo spółką wykonującą zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679), jeżeli realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych.

Jak będzie po nowelizacji? Nowe sektory

 

Sektory i podsektory (obecnie) Sektory kluczowe (zgodnie z nowelizacją) Sektory ważne (zgodnie z nowelizacją)
Energia
(podsektory: wydobywanie kopalin, energia elektryczna, ciepło, ropa naftowa, gaz, dostawy i usługi dla sektora energii, jednostki nadzorowane i podległe)		 Energia
(podsektory: wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz, energetyka jądrowa, wodór)		 Usługi pocztowe
Transport
(podsektory: transport lotniczy, transport kolejowy, transport wodny, transport drogowy)		 Transport
(podsektory: transport lotniczy, transport kolejowy, transport wodny, transport drogowy)		 Inwestycje energetyki jądrowej
Bankowość i infrastruktura rynków finansowych Bankowość i infrastruktura rynków finansowych Gospodarowanie odpadami (podsektory: zbieranie odpadów, transport odpadów, przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów, działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami)
Ochrona zdrowia Ochrona zdrowia
(podsektory: udzielanie świadczeń zdrowotnych i zdrowie publiczne, produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych)		 Produkcja, wytwarzanie i dystrybucja chemikaliów
Zaopatrzenie w wodę pitną i jej dystrybucja Zaopatrzenie w wodę pitną i jej dystrybucja Produkcja, przetwarzanie i dystrybucja żywności
Zbiorowe odprowadzanie ścieków Produkcja (podsektory: produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych i optycznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana, produkcja pojazdów samochodowych, przyczep i naczep, produkcja pozostałego sprzętu transportowego)
Infrastruktura cyfrowa Infrastruktura cyfrowa
(infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej, komunikacja elektroniczna)		 Dostawcy usług cyfrowych
Zarządzanie usługami ICT Badania naukowe
Przestrzeń kosmiczna Podmioty publiczne
Podmioty publiczne

Jak będzie po nowelizacji? Obowiązek samooceny

Jak wskazano wyżej, operatorzy usług kluczowych uzyskują ten status po wydaniu decyzji przez właściwy organ. Ten etap został pominięty w ramach nowelizacji UKSC, w zamian za to przeniesiono ciężar oceny na same podmioty. W efekcie każda organizacja powinna samodzielnie zweryfikować, czy zostanie objęta wymogami na gruncie znowelizowanej UKSC i ustalić swój status jako podmiotu kluczowego lub ważnego.

Taka samoocena powinna, między innymi:

  • brać pod uwagę całokształt działalności przedsiębiorstwa – nawet jeżeli działalność kluczowa podmiotu nie mieści się w ramach sektorów kluczowych i ważnych, to wciąż należy zbadać działalność poboczną;
  • uwzględniać treść załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu – z niego wynikają przesłanki uznania za mikro-, małego, średniego czy dużego przedsiębiorcę;
  • być dokonana na dzień sporządzenia sprawozdania finansowego – to dzień wskazany w projektowanym art. 5 ust. 5 UKSC).

W przypadku przedsiębiorstw powiązanych i partnerskich, którym przysługiwałby status podmiotu kluczowego lub ważnego konieczne jest ponadto uwzględnienie dodatkowych przesłanek dotyczących sposobu świadczenia usług przez taki podmiot czy niezależności jego systemów informacyjnych.

Wreszcie, dla uznania, że dana organizacja jest objęta regulacją, należy potwierdzić, że podlega ona pod polską jurysdykcję.

Praktyczne znaczenie nowelizacji

Zmiana zakresu podmiotowego w NIS2, a w ślad za nią w nowelizacji UKSC, ma konkretne skutki praktyczne.

Rozszerzenie listy sektorów objętych przepisami i rezygnacja z procedury wydawania decyzji administracyjnej przełoży się na większą liczbę podmiotów objętych wymogami. Pośrednio wpłynie to na szerokie grono organizacji znajdujących się w łańcuchu dostaw takich podmiotów: będą one konfrontowane z postulatem zmian zawartych umów i ich dostosowaniem w celu zapewnienia zgodności z obowiązkami UKSC. To wszystko z kolei przyczyni się do wzmocnienia standardów cyberbezpieczeństwa również w przedsiębiorstwach funkcjonującymi poza obszarami ujętymi w UKSC.

Jak możemy pomóc?

Jeżeli poszukujesz wsparcia w procesie dostosowania Twojej organizacji do wymogów wynikających z nowelizacji UKSC – zapraszamy do kontaktu. Nasze wsparcie oferujemy w każdym etapie tego procesu: asystując nie tylko przy samoocenie, ale także przy wdrożeniu odpowiednich środków technicznych z zakresu cyberbezpieczeństwa, co jest możliwe dzięki współpracy z partnerem technologicznym kancelarii.

Hanna Groborz | Barta & Partners

Hanna Groborz

radca prawny
hgroborz@barta.pl +48 531 488 151