Kiedy o statusie podmiotu kluczowego lub ważnego decyduje organ?
Regulacje ustawy o krajowym systemie cyberbezpieczeństwa (w brzmieniu od 3 kwietnia 2026 r.) przewidują istotny wyjątek od zasady samoidentyfikacji, który w praktyce bywa niedostrzegany lub bagatelizowany. Chodzi o możliwość uznania określonego podmiotu za podmiot kluczowy lub ważny w drodze decyzji organu właściwego do spraw cyberbezpieczeństwa, nawet w sytuacji, gdy podmiot ten sam nie spełnia wszystkich ustawowych kryteriów – w szczególności kryterium wielkości.
Uznanie podmiotu za kluczowy lub ważny przez organ - podstawa prawna z UKSC
Mechanizm uznania podmiotu za kluczowy lub ważny decyzją właściwego organu, jest uregulowany m.in. w art. 7l UKSC i opiera się na założeniu, że o objęciu regulacją może przesądzać nie tylko skala działalności, lecz również jej znaczenie z perspektywy interesu publicznego lub systemowego funkcjonowania określonych sektorów.
Zgodnie z brzmieniem tego przepisu, organ może uznać osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej za podmiot kluczowy lub ważny jeśli:
- organizacja ta działa w sektorach kluczowych lub ważnych wskazanych odpowiednio w załączniku nr 1 lub 2 UKSC i
- spełnia co najmniej jedną z poniższych przesłanek:
- jako jedyna świadczy usługę, za pomocą systemu informacyjnego, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej;
- zakłócenie usługi świadczonej przez nią za pomocą systemu informacyjnego spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, obronności lub zdrowia publicznego;
- zakłócenie usługi świadczonej przez nią za pomocą systemu informacyjnego spowoduje ryzyko systemowe zaprzestania świadczenia usług przez podmioty kluczowe lub podmioty ważne lub;
- świadczenie przez nią, za pomocą systemu informacyjnego, usługi ma istotne znaczenie na poziomie wojewódzkim lub krajowym lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub 2 UKSC.
W praktyce oznacza to, że również mikro, małe lub średnie przedsiębiorstwa mogą zostać objęte obowiązkami z UKSC, jeżeli ich działalność zostanie uznana za szczególnie istotną.
Kluczową rolę odgrywa tutaj przesłanka tzw. istotności działalności. Ustawodawca posługuje się przy tym pojęciami o charakterze ocennym, takimi jak znaczenie dla bezpieczeństwa państwa, porządku publicznego lub zdrowia publicznego, ryzyko systemowe zaprzestania świadczenia usług przez inne podmioty kluczowe lub ważne czy też istotność działalności na poziomie wojewódzkim lub krajowym.
Jakie podmioty mogą zostać uznane przez organ za podmioty kluczowe lub ważne?
Ryzyko objęcia UKSC decyzją organu może dotyczyć podmiotów, które do tej pory pozostawały poza zakresem zainteresowania regulacyjnego (nie spełniały formalnych wymogów z UKSC). W szczególności dotyczy to wyspecjalizowanych dostawców usług działających w sektorach kluczowych lub ważnych, podmiotów realizujących istotne usługi na poziomie regionalnym, a także mniejszych spółek pełniących kluczowe funkcje w ramach większych struktur organizacyjnych.
Co ważne, decyzja uznająca podmiot za kluczowy lub ważny zawsze ma rygor natychmiastowej wykonalności, a organ jednocześnie wzywa podmiot do uzupełnienia danych w wykazie w określonym terminie.
Problematyka ta została szczegółowo omówiona w komentarzu praktycznym „Zasady podlegania pod regulacje ustawy o krajowym systemie cyberbezpieczeństwa – uznanie w drodze decyzji uprawnionego organu” autorstwa r.pr. Agnieszki Wachowskiej i Piotra Koniecznego - prawników i specjalistów w zakresie cyberbezpieczeństwa z Kancelarii Traple Konarski Podrecki i Wspólnicy, dostępnym w LEX Cyberbezpieczeństwo.
Jeśli szukasz informacji dotyczących tego:
- czym jest samoidentyfikacja;
- jak prawidłowo przeprowadzić proces samoidentyfikacji;
- jakie rodzaje podmiotów mogą być uznane przez organ właściwy ds. cyberbezpieczeństwa za kluczowe lub ważne (nawet jeśli nie spełniają ustawowych wymogów);
- jak dokonać wpisu do wykazu podmiotów kluczowych i podmiotów ważnych,
znajdziesz je w dedykowanym serwisie LEX Cyberbezpieczeństwo. Więcej o LEX Cyberbezpieczeństwo dowiesz się TUTAJ.
