Obowiązek wpisu do wykazu podmiotów kluczowych i ważnych w świetle nowelizacji UKSC
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), implementująca dyrektywę NIS 2 do polskiego porządku prawnego, wprowadza istotne zmiany w zakresie identyfikacji i obowiązków podmiotów kluczowych oraz ważnych. Jednym z centralnych elementów nowego modelu regulacyjnego jest obowiązek uzyskania wpisu do wykazu podmiotów kluczowych i ważnych.
Już na tym etapie pojawia się zasadnicze pytanie: jakie znaczenie ma ten obowiązek w praktyce, skoro sam wpis ma charakter deklaratoryjny? Oznacza to, że wpis do wykazu nie tworzy statusu podmiotu kluczowego lub ważnego, lecz jedynie go potwierdza. Ma on charakter formalno‑ewidencyjny i nie przesądza o powstaniu obowiązków, które wynikają bezpośrednio z ustawy.
Z jednej strony status podmiotu powstaje z mocy prawa, z drugiej jednak ustawodawca nakłada obowiązek złożenia wniosku o wpis do wykazu pod rygorem odpowiedzialności finansowej.
Jak przebiega procedura wpisu oraz jakie są obowiązki w zakresie danych?
Obowiązek zgłoszeniowy należy zrealizować w terminie 6 miesięcy od dnia spełnienia ustawowych przesłanek uznania za podmiot kluczowy lub ważny, a w przypadku podmiotów objętych regulacją już w dniu wejścia w życie nowelizacji do 3 października
2026 r.
Procedura składania wniosku odbywa się za pośrednictwem dedykowanego systemu teleinformatycznego i wiąże się z koniecznością przekazania szerokiego zakresu danych, obejmujących nie tylko informacje identyfikacyjne, lecz również elementy infrastruktury cyfrowej oraz prowadzonej działalności.
Istotnym obowiązkiem jest również bieżąca aktualizacja danych w terminie 14 dni od ich zmiany, co w praktyce wymaga wdrożenia odpowiednich procedur wewnętrznych. Szczególne znaczenie ma także oświadczenie kierownika podmiotu o prawdziwości przekazywanych informacji, składane pod rygorem odpowiedzialności karnej.
Wyjątki od obowiązku samorejestracji
Regulacja przewiduje również wyjątki od obowiązku samodzielnego zgłoszenia. Wybrane kategorie podmiotów, w tym m.in.:
- podmioty publiczne;
- przedsiębiorcy telekomunikacyjni,
mogą zostać wpisane do wykazu z urzędu.
Nie zwalnia to jednak z obowiązku uzupełnienia i aktualizacji danych w wymaganym zakresie!
Jakie są konsekwencje braku wpisu do wykazu podmiotów kluczowych i ważnych?
Nowe przepisy określają rozbudowany system sankcji. Brak złożenia wniosku może skutkować karą pieniężną sięgającą nawet kilkudziesięciu milionów złotych, a podanie nieprawdziwych informacji również grozi odpowiedzialnością karną.
Okres przejściowy
Jednocześnie wprowadzono przepisy przejściowe przewidujące moratorium na nakładanie kar pieniężnych do kwietnia 2028 r., co nie znosi obowiązków, lecz jedynie odracza możliwość ich egzekwowania.
Jeżeli szukasz odpowiedzi na pytania:
- kiedy i na jakich zasadach powstaje obowiązek dokonania wpisu oraz jakie terminy mają kluczowe znaczenie;
- jakie znaczenie ma deklaratoryjny charakter wpisu w kontekście stosowania przepisów ustawy;
- jakie dane należy przygotować i jak zarządzać ich aktualizacją w toku działalności;
- w jakich przypadkach wpis następuje z urzędu i jakie obowiązki pozostają po stronie podmiotu;
- jakie realne konsekwencje (finansowe i prawne), w tym dotyczące kadry zarządzającej mogą wynikać z uchybień w tym obszarze;
znajdziesz je w najnowszym komentarzu praktycznym pt. "Wpis do wykazu podmiotów kluczowych i ważnych", którego autorami są członkowie zespołu Kancelarii Traple Konarski Podrecki i Wspólnicy - r.pr. Agnieszka Wachowska ekspertka w obsłudze projektów IT, członek-założyciel Stowarzyszenia Prawa Nowych Technologii, zrzeszającego prawników specjalizujących się w obszarze TMT i członkini międzynarodowego stowarzyszenia ITech Law oraz mgr. Piotr Konieczny aplikant radcowski, specjalizujący się w prawie nowych technologii, w tym cyberbezpieczeństwie, AI i usługach cyfrowych. Audytor ISO 27001, absolwent prawa UW oraz British Law Centre, autor publikacji z zakresu prawa nowych technologii.
Komentarz dostępny jest w LEX Cyberbezpieczeństwo.
