Do kiedy trzeba wdrożyć obowiązki wynikające z UKSC?
Od 3 kwietnia 2026 r. obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), która wdraża do polskiego porządku prawnego dyrektywę NIS 2. To właśnie ta data uruchamia serię terminów, które stają się realnym kalendarzem działań: od wdrożeń organizacyjnych i technicznych, przez nowe zasady raportowania incydentów, po termin, od kiedy organy właściwe ds. cyberbezpieczeństwa będą mogły nakładać na podmioty kluczowe i ważne administracyjne kary pieniężne.
Wymogi wobec podmiotów kluczowych i ważnych
UKSC wprowadza podział na podmioty kluczowe i podmioty ważne. Jest to istotne nie tylko dla nadzoru i sankcji, ale również dla praktyki wdrażania - część wymagań jest adresowana wprost do podmiotów kluczowych (np. cykliczne audyty), a część obejmuje oba typy podmiotów.
Zarówno podmioty kluczowe, jak i podmioty ważne są zobowiązane do wdrożenia systemowego podejścia do cyberbezpieczeństwa, opartego na analizie ryzyka i zarządzaniu bezpieczeństwem informacji.
Katalog wspólnych obowiązków obejmuje m.in.:
- ustanowienie i utrzymywanie systemu zarządzania bezpieczeństwem informacji - SZBI;
- wdrożenie polityk i procedur bezpieczeństwa;
- organizację reagowania na incydenty;
- ochronę zasobów i łańcucha dostaw ICT;
- a także zapewnienie cyberedukacji i jasno określonych ról odpowiedzialnych za cyberbezpieczeństwo w ramach organizacji.
Jednocześnie UKSC przewiduje dodatkowe obowiązki właściwe dla podmiotów kluczowych, w szczególności cykliczne audyty bezpieczeństwa, które mają charakter regularny i sformalizowany.
Obowiązywanie UKSC a skierowanie ustawy w ramach kontroli następczej do Trybunału Konstytucyjnego
Dodatkowym elementem mogącym mieć (w dłuższej perspektywie czasu) wpływ na interpretację przepisów jest fakt, że nowelizacja ustawy została skierowana przez Prezydenta do Trybunału Konstytucyjnego w trybie kontroli następczej. Co istotne, kontrola ta nie wstrzymuje stosowania przepisów – UKSC obowiązuje od dnia wejścia w życie, a przewidziane w ustawie terminy realizacji obowiązków biegną niezależnie od dalszego toku postępowania przed Trybunałem. W konsekwencji podmioty objęte regulacją nie mogą odkładać działań wdrożeniowych w oczekiwaniu na rozstrzygnięcie Trybunału (które może pojawić się nawet za kilka lat), lecz powinny planować i realizować obowiązki zgodnie z harmonogramem wynikającym wprost z ustawy.
Najważniejsze daty związane z wdrożeniem UKSC
Poniżej sygnalizujemy wybrane kluczowe kamienie milowe w harmonogramie wdrożenia UKSC.
3 kwietnia 2026 r. - punkt startowy
To dzień wejścia w życie nowelizacji. Od tego momentu liczone są kolejne terminy dostosowawcze.
3 października 2026 r. - pierwszy „próg” 6-miesięczny
Ustawa przewiduje m.in. 6 miesięcy dla podmiotów, które nabędą status podmiotu kluczowego lub ważnego w momencie wejścia w życie nowelizacji UKSC – na złożenie wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych.
Ten sam horyzont czasowy pojawia się również przy dostosowaniu procedur zgłaszania incydentów poważnych dla organizacji, które przed wejściem w życie nowelizacji miały status operatorów usług kluczowych.
3 kwietnia 2027 r. - 12 miesięcy na istotne działania wdrożeniowe
Do tej daty podmioty kluczowe i ważne mają czas na realizację obowiązków obejmujących wdrożenie systemowego podejścia do bezpieczeństwa (w tym m.in. na wdrożenie SZBI i działań opartych o analizę ryzyka).
Ten dzień to również termin na wdrożenie określonych obowiązków dotyczących rejestru domen najwyższego poziomu (m.in. na dostosowanie bazy danych i wdrożenie właściwych polityk i procedur).
3 kwietnia 2028 r. - 24 miesiące i pierwszy audyt (dla podmiotów kluczowych)
Do tej daty podmioty kluczowe muszą wykonać pierwszy audyt bezpieczeństwa, a następnie powtarzać go co najmniej raz na 3 lata.
Od tego dnia organy właściwe ds. cyberbezpieczeństwa będą mogły nakładać kary finansowe (wyjątkiem jest kara kwalifikowana do 100 mln zł, która może być nałożona już od pierwszego dnia obowiązywania UKSC w nowym brzmieniu).
Skutki niedostosowania się do wymogów UKSC w ustawowych terminach
Niedostosowanie się przez podmiot kluczowy lub podmiot ważny do wymogów UKSC w ustawowych terminach uruchamia reżim odpowiedzialności administracyjnej, obejmujący zarówno kary pieniężne, jak i niefinansowe środki nadzorcze. Co do zasady ustawodawca przewidział okres dostosowawczy, w którym administracyjne kary pieniężne mogą być po raz pierwszy nałożone po upływie 2 lat od wejścia w życie nowelizacji (z wyjątkiem kwalifikowanej kary do 100 mln zł). Niezależnie od moratorium organy nadzorcze zachowują pełne kompetencje do stosowania środków przymuszających i nadzorczych, w tym nakazów usunięcia nieprawidłowości, zaleceń audytowych czy decyzji ingerujących w sposób prowadzenia działalności. Odpowiedzialność ponosi nie tylko sam podmiot, lecz również kierownik podmiotu kluczowego lub ważnego, wobec którego może zostać nałożona odrębna kara pieniężna za brak zapewnienia realizacji obowiązków z zakresu cyberbezpieczeństwa. W praktyce oznacza to, że nawet w okresie przejściowym brak działań wdrożeniowych naraża organizację na realne i wielopoziomowe konsekwencje prawne, których ciężar wykracza poza samą sankcję finansową.
Gdzie znaleźć pełny harmonogram wdrożenia UKSC?
Szczegółową, praktyczną analizę harmonogramu wdrożenia UKSC - w tym podział obowiązków, terminy oraz konsekwencje ich niedotrzymania znajdziesz w LEX Cyberbezpieczeństwo w komentarzu: „Harmonogram wdrożenia UKSC – przegląd obowiązków i terminy ich realizacji” autorstwa Szczepana Watrasa - prawnika nowych technologii, specjalisty ds. ochrony danych osobowych oraz audytora wiodącego systemów zarządzania bezpieczeństwem informacji zgodnych z ISO/IEC 27001.
