Cyberbezpieczeństwo w sektorze energii


Zespół Zakres doradztwa Usługi Bankowość i finanse Bankowość i finanse Finansowanie aktywów i leasing Rynki kapitałowe Papiery dłużne przedsiębiorstw Fintech Finansowanie lewarowane Finansowanie projektów energetycznych i infrastrukturalnych Finansowanie nieruchomości Restrukturyzacja i upadłość Sekurytyzacja i finansowanie strukturalne Finansowanie handlu i eksportu Konkurencja i handel międzynarodowy Konkurencja i handel międzynarodowy Postępowania antymonopolowe i dotyczące konkurencji Spory z zakresu prawa konkurencji Niezapowiedziane kontrole Inwestycje zagraniczne i prawo bezpieczeństwa narodowego Sankcje międzynarodowe i kontrola eksportu Międzynarodowe prawo handlowe Kontrola koncentracji Zamówienia publiczne i pomoc publiczna Budownictwo i inżynieria Budownictwo i inżynieria Spory budowlane Kontrakty publiczne i zamówienia Inżynieria, zamówienia publiczne i budownictwo Doradztwo przy realizacji projektów budowlanych i infrastrukturalnych Doradztwo korporacyjne oraz fuzje i przejęcia Doradztwo korporacyjne oraz fuzje i przejęcia Rynki kapitałowe Ład korporacyjny Międzynarodowe reorganizacje przedsiębiorstw Joint Ventures Fuzje i przejęcia Private Equity Venture Capital Przestępstwa korporacyjne / White-collar crime Przestępstwa korporacyjne / White-collar crime Zapobieganie łapownictwu i korupcji Przeciwdziałanie praniu pieniędzy Sankcje międzynarodowe i kontrola eksportu Dochodzenia regulacyjne i egzekwowanie prawa Ochrona danych, bezpieczeństwo i technologia Ochrona danych, bezpieczeństwo i technologia Cyberbezpieczeństwo Ochrona danych osobowych Przełomowe technologie E-commerce i m-commerce Prawo informacyjne Doradztwo produktowe Postępowania i spory regulacyjne Transakcje technologiczne i sourcing Usługi telekomunikacyjne Zatrudnienie i prawo pracy Zatrudnienie i prawo pracy Transakcje korporacyjne Transgraniczne zatrudnienie i emerytury Różnorodność, równe traktowanie, płace i dyskryminacja Świadczenia pracownicze i wynagrodzenia dla kadry zarządzającej Prawo pracy Spory pracownicze Globalna mobilność pracowników i imigracja Organizacje pracowników i związki zawodowe Emerytury i plany emerytalne Regulacje w zakresie rynków finansowych Regulacje w zakresie rynków finansowych Zarządzanie aktywami Kryptoaktywa Instrumenty pochodne Spory dotyczące usług finansowych i dochodzenia Fundusze Ubezpieczenia Ubezpieczenia Captives Prawnicy zajmujący się sporami ubezpieczeniowymi i reasekuracyjnymi Prawnicy ds. produktów emerytalnych i ubezpieczeniowych oraz ich dystrybucji Prawnicy ds. finansowania ubezpieczeń i rynków kapitałowych Prawnicy ds. fuzji i przejęć w ubezpieczeniach, reasekuracji i restrukturyzacji Prawnicy ds. compliance i regulacji w branży ubezpieczeniowej Prawnicy ds. postępowań regulacyjnych w sektorze ubezpieczeń Opodatkowanie ubezpieczeń Prawnicy ds. insurtechów Własność intelektualna Własność intelektualna Audyty praw własności intelektualnej Spory dotyczące własności intelektualnej IP Transactional Znaki towarowe, wzory użytkowe i prawo autorskie Tajemnica przedsiębiorstwa Spory sądowe Spory sądowe Pozwy zbiorowe Spory gospodarcze Spory budowlane Spory energetyczne Ochrona środowiska, Zdrowie i Bezpieczeństwo Spory dotyczące usług finansowych i dochodzenia Oszustwa finansowe Prawnicy zajmujący się sporami ubezpieczeniowymi i reasekuracyjnymi Międzynarodowy arbitraż Skargi pasażerskie Spory zamówieniowe Spory nieruchomościowe Dochodzenia regulacyjne i egzekwowanie prawa Prawo publiczne i administracyjne prawnik Prawo publiczne i administracyjne prawnik Zamówienia publiczne i PPP Nieruchomości Nieruchomości Rozwój i wynajem powierzchni komercyjnych Nieruchomości korporacyjne Zagospodarowanie przestrzenne i ochrona środowiska Spory nieruchomościowe Finansowanie nieruchomości Budownictwo mieszkaniowe Umowy strategiczne Umowy strategiczne Modernizacja umów Outsourcing Partnerstwo strategiczne Podatki Podatki Przejęcia i restrukturyzacja Sektory Konsumenci Konsumenci Sektor FMCG, odzież i elektronika Sektor spożywczy Hospitality and Leisure Luxury Handel detaliczny i rekreacja Energetyka Energetyka Czysta energia Regulacje w energetyce Hydrogen Energetyka jądrowa Sektor naftowo-gazowy Energia Usługi finansowe Usługi finansowe Bankowość korporacyjna i rynki kapitałowe Niepubliczne inwestycje kapitałowe Bankowość detaliczna i finanse konsumenckie Kontrakty rządowe i infrastruktura Kontrakty rządowe i infrastruktura Strategiczne projekty rządowe Infrastruktura Transport Przemysł Przemysł Sektor kosmiczny, obronność i bezpieczeństwo Sektor motoryzacyjny Przemysł chemiczny Produkcja i inżynieria przemysłowa Life Sciences Life Sciences Konopie rolne, medyczne i CBD Ochrona zdrowia Biotechnologia przemysłowa Wyroby medyczne Farmacja i biotechnologia Badania i rozwój Szczepionki Nieruchomości Nieruchomości Aktywa alternatywne Budownictwo wielorodzinne i na wynajem Nieruchomości biurowe i przemysłowe Inwestycje nieruchomościowe Nieruchomości handlowe i wielofunkcyjne Nieruchomości w sektorze transportu Technologia, media i telekomunikacja Technologia, media i telekomunikacja Media Centra danych Prawnicy ds. technologii Zasoby Publikacje Narzędzia dla klientów Konferencje i szkolenia Biznes O nas O nas Firm leadership Misja i wartości Zrównoważony biznes Społeczność Różnorodność i inkluzywność Środowisko Pro Bono Pro Bono Alumni Aktualności Kariera Kariera Dołącz do nas Dlaczego my? Prawnicy Specjaliści Studenci i absolwenci Biura Polska Odwiedź stronę globalną Wybierz lokalną wersję strony Afryka Południowa Angola Arabia Saudyjska Austria Azja Belgia Bulgaria Czechy Estonia Finlandia Francja Globalny Hiszpania Holandia Irak Irlandia Jordania Katar Litwa Łotwa Luksemburg Mauritius Mozambique Niemcy Polska Portugal Rumunia Słowacja Stany Zjednoczone Ameryki Szwajcaria Szwecja Tunezja Węgry Włochy Zjednoczone Emiraty Arabskie Zjednoczone Królestwo Reszta świata pl Menu English Polski Cyberbezpieczeństwo w sektorze energii Strona główna Zasoby Publikacje Strona główna Zasoby Publikacje Cyberbezpieczeństwo w sektorze energii Cyberbezpieczeństwo w sektorze energii praktyczne skutki nowych regulacji 11 czerwca 2026 Polska Polska Polska W dobie dynamicznie rozwijającej się technologii cyfrowej oraz rosnącej liczby zagrożeń w cyberprzestrzeni, sektor cyberbezpieczeństwa staje się jednym z kluczowych obszarów działań. W odpowiedzi na coraz bardziej skomplikowane i zróżnicowane wyzwania, w ostatnich latach wprowadzono szereg zmian mających na celu ugruntowanie ram prawnych oraz poprawę skuteczności działań prewencyjnych. Jednym z sektorów wymagających szczególnej ochrony ze względu na swoje znaczenie jest sektor energii. Ataki wymierzone w podmioty sektora energii mogą spowodować naruszenie ciągłości dostaw energii, co może skutkować wzrostem jej cen, czy też ograniczenia w jej dostępności. W związku z tym, ustawodawca unijny przyjął nowe przepisy w celu wzmocnienia ochrony przed cyberzagrożeniami. Należy do nich Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS 2). Zastępuje ona Dyrektywę NIS 1, kładącą podwaliny pod przepisy prawa wspólnotowego w zakresie cyberbezpieczeństwa. 3 kwietnia bieżącego roku weszła w życie ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, będąca implementacją Dyrektywy NIS 2. Należy przy tym zaznaczyć, że ustawa została skierowana do Trybunału Konstytucyjnego w trybie kontroli następczej, co oznacza, że jej przepisy obowiązują, choć ich zgodność z Konstytucją pozostaje przedmiotem oceny. Co to oznacza dla polskiej energetyki? Dyrektywa NIS 2 obejmuje publiczne i prywatne podmioty typów wskazanych w załącznikach I (sektory „wysokiego ryzyka”) i II (pozostałe sektory), które spełniają próg wielkości przedsiębiorstwa (co do zasady średnie lub większe) i prowadzą działalność w UE. Dodatkowo przewidziane są wyjątki i rozszerzenia (np. dla niektórych mniejszych podmiotów o krytycznym znaczeniu). Państwa członkowskie klasyfikują podmioty jako kluczowe (essential) lub ważne (important). Kluczowe sektory obejmują m.in. energię (podsektory: energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz i wodór), transport (w tym zarządcy/operatorzy infrastruktury), wodę i ścieki oraz infrastrukturę cyfrową. Nowelizacja KSC poza podsektorami wymienionymi w Dyrektywie NIS 2 poszerza katalog podsektorów sektora energetycznego także o: wydobywanie kopalin, energię jądrową oraz działalność podmiotów publicznych. Z perspektywy regulacyjnej odnoszącej się do infrastruktury krytycznej, zakres podmiotowy obejmuje przede wszystkim operatorów sieci i instalacji. Należą do nich m.in. podmioty zajmujące się wytwarzaniem, przesyłem i dystrybucją energii, zarządzaniem infrastrukturą transportową, a także świadczeniem usług w obszarze zaopatrzenia w wodę i gospodarki ściekowej. Zmiana obejmuje także szerokie spektrum uczestników rynku energii elektrycznej, gazu oraz ciepła systemowego. Dotyczy to zarówno operatorów systemów przesyłowych i dystrybucyjnych (OSP i OSD), jak i operatorów magazynów energii oraz infrastruktury LNG. Nowelizacja ustawy KSC, w ślad za Dyrektywą NIS 2, wprowadza pojęcia „podmiotów kluczowych” i „podmiotów ważnych”, zastępując dotychczasowych „operatorów usług kluczowych” i „dostawców usług cyfrowych”. Podmioty kluczowe stosują odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do ryzyka. Katalog obejmuje m.in.: politykę analizy ryzyka i bezpieczeństwa informacji, obsługę incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, polityki i procedury dotyczące kryptografii, bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu systemów, szkolenia, polityki kontroli dostępu, wieloskładnikowe/ciągłe uwierzytelnianie, bezpieczną komunikację i łączność awaryjną. Zarządzanie i odpowiedzialność organów zarządzających Na poziomie zarządczym nowelizacja wprowadza dodatkowo wymogi dotyczące odpowiedzialności organów zarządzających. Organy te zatwierdzają środki zarządzania ryzykiem, nadzorują ich wdrożenie oraz mogą ponosić odpowiedzialność za naruszenia obowiązków w tym zakresie (zgodnie z prawem krajowym). Wprowadzony został również obowiązek zapewnienia szkoleń dla członków organów zarządzających oraz kadry kierowniczej. Audyt Podmioty kluczowe przeprowadzają regularne cykliczne audyty bezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług. Komunikaty resortowe przewidują dla „nowych” podmiotów kluczowych termin pierwszego audytu w ciągu 24 miesięcy od spełnienia przesłanek. Samoidentyfikacja podmiotów Obecnie operatorzy usług kluczowych są wyznaczani w drodze decyzji administracyjnej, ale w związku z wprowadzeniem obowiązku samoidentyfikacji, każdy podmiot będzie z mocy prawa zobowiązany do samodzielnego ustalenia swojego statusu oraz dokonania wpisu do Wykazu podmiotów kluczowych i ważnych prowadzonego w systemie S46. Obsługa incydentów i współpraca z CSIRT Na mocy już obecnie obowiązujących przepisów krajowych dla każdego sektora ustanowiono organ właściwy do spraw cyberbezpieczeństwa. W sektorze energii organem takim jest minister właściwy ds. energii. Zgodnie ze Sprawozdaniem Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa za rok 2024, opublikowanym przez Ministerstwo Cyfryzacji, w zakresie dotyczącym incydentów za ten rok, nie odnotowano co prawda ani jednego przypadku incydentu krytycznego, ale zarejestrowano 6 przypadków incydentów poważnych, z czego aż 5 w sektorze energii. Wszystkie one wynikały z awarii i nie nosiły znamion ataków z zewnątrz. Rok 2025 przyniósł natomiast duże, skoordynowane ataki wymierzone w stabilność dostaw energii. Nowelizacja KSC definiuje incydent jako zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych, a incydent poważny jako incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej. Zgodnie z treścią nowelizacji podmiot kluczowy będzie zobowiązany do zgłoszenia takiego incydentu do odpowiedniego sektorowego lub podsektorowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Obecnie istnieją trzy zespoły CSIRT na poziomie krajowym, ale organ właściwy także może powołać sektorowy zespół cyberbezpieczeństwa. CSIRT dla sektora energii nie został na ten moment jeszcze powołany. Podmiot kluczowy zobowiązany będzie do zgłoszenia wczesnego ostrzeżenia o incydencie poważnym niezwłocznie nie później niż w ciągu 24 godzin od jego wykrycia, a CSIRT do udzielenia mu wsparcia. W ciągu 72 godzin podmiot kluczowy lub ważny zgłasza taki incydent wraz z dodatkowymi informacjami. Na wniosek CSIRT sektorowego, w ciągu miesiąca od zgłoszenia incydentu poważnego podmiot będzie zobowiązany do złożenia sprawozdania okresowego. Podmiot kluczowy lub ważny będzie miał także obowiązek poinformować użytkowników swoich usług o incydencie poważnym, w przypadku, jeśli będzie on miał niekorzystny wpływ na ich świadczenie. Kluczowe terminy W kontekście wdrażania regulacji wynikających z nowelizacji KSC, przewidziano szereg istotnych terminów, które determinują obowiązki poszczególnych podmiotów. 7 maja 2026 r. uruchomiony zostaje proces samorejestracji w Wykazie KSC, natomiast data 3 października 2026 r. wyznacza ostateczny termin na złożenie wniosku o wpis do wykazu przez podmioty zobowiązane do samorejestracji. Niedochowanie tego terminu może wiązać się z konsekwencjami regulacyjnymi, w tym potencjalnymi sankcjami administracyjnymi. Z perspektywy wdrożenia systemów zarządzania bezpieczeństwem informacji (SZBI), szczególne znaczenie ma data 3 kwietnia 2027 r. Do tego dnia podmioty, które spełniały kryteria objęcia regulacją już w momencie wejścia w życie nowelizacji, powinny w pełni wdrożyć wymagane mechanizmy organizacyjne i techniczne. Zasadniczym terminem przeprowadzenia pierwszego audytu dla tzw. „nowych” podmiotów kluczowych jest 3 kwietnia 2028 r. Podsumowanie W obliczu rosnącej liczby zagrożeń w cyberprzestrzeni wyzwania związane z cyberbezpieczeństwem będą się nasilać, dlatego kluczowe jest nie tylko przestrzeganie przepisów, ale także inwestowanie w innowacyjne rozwiązania i rozwój kompetencji w tym obszarze. Wdrażanie przepisów wymaga od przedsiębiorstw nie tylko dostosowania procedur, ale także budowania kultury cyberbezpieczeństwa na wszystkich etapach łańcucha dostaw. Będzie to decydować o stabilności i bezpieczeństwie sektora energetycznego w nadchodzących latach. Eversheds Sutherland dokłada wszelkich starań, aby materiały, informacje i dokumenty, w tym między innymi artykuły, biuletyny, raporty i blogi („Materiały”) publikowane na stronie Eversheds Sutherland były dokładne i kompletne. Należy jednak pamiętać, że Materiały są udostępniane wyłącznie w celach informacyjnych, a nie w celu udzielenia porady prawnej i niekoniecznie odzwierciedlają obowiązujące aktualnie przepisy prawa. Materiały nie powinny być interpretowane jako porada prawna w jakiejkolwiek sprawie. Materiały mogą nie odzwierciedlać najnowszych zmian prawnych. Treść i interpretacja Materiałów oraz przepisy prawa wspomniane w Materiałach podlegają zmianom. Eversheds Sutherland nie składa żadnych oświadczeń ani gwarancji, wyraźnych ani dorozumianych, co do dokładności lub kompletności Materiałów, a zatem nie należy na nich polegać. Eversheds Sutherland zrzeka się wszelkiej odpowiedzialności za działania podjęte lub niepodjęte w oparciu o część lub całość Materiałów w najszerszym zakresie dozwolonym przez prawo. Materiały nie muszą być wyczerpujące ani zawierać porad, na których można polegać. W każdej konkretnej sprawie prawnej należy zawsze skonsultować się indywidualnie z odpowiednio wykwalifikowanym prawnikiem. Wszelkie poglądy wyrażone za pośrednictwem Materiałów są poglądami indywidualnego autora i mogą nie odzwierciedlać poglądów Eversheds Sutherland lub jakiegokolwiek innego indywidualnego prawnika. Usługi Cyberbezpieczeństwo Sektory Energetyka Technologia, media i telekomunikacja Kluczowe kontakty Ewa Dużyńska Lawyer Warszawa, Polska Ostatnie Publikacje legal updates legal updates legal updates legal updates Ostatnie Aktualności klienci i projekty aktualności firmowe klienci i projekty klienci i projekty Ostatnie Konferencje i szkolenia virtual \| June 16, 2026 virtual \| June 23, 2026 virtual \| September 10, 2026 in-person \| September 17, 2026 Tabs Label legal updates 11 czerwca 2026 legal updates 11 czerwca 2026 legal updates 11 czerwca 2026 legal updates 11 czerwca 2026 Informacje prawne Regulamin strony Polityka prywatności Polityka Cookies LinkedIn YouTube Facebook Pozostańmy w kontakcie Skontaktuj się z nami Logowanie dla klientów Logowanie dla zespołu Subskrybuj O nas O nas Cel i wartości Odpowiedzialny biznes Alumni Publikacje Narzędzia dla klientów Konferencje i szkolenia Tematy biznesowe Kariera Mapa strony Biura © Eversheds Sutherland 2026. All rights reserved. Eversheds Sutherland is a provider of legal and other services operating through various separate and distinct legal entities. For further information about these entities and Eversheds Sutherlands' structure please see the Legal Notice page of this website. Eversheds Sutherland is the name and brand under which the members of Eversheds Sutherland Limited (Eversheds Sutherland (International) LLP and Eversheds Sutherland (US) LLP) and their respective controlled, managed and affiliated firms and the members of Eversheds Sutherland (Europe) Limited (each an "Eversheds Sutherland Entity" and together the "Eversheds Sutherland Entities") provide legal or other services to clients around the world. Eversheds Sutherland Entities are constituted and regulated in accordance with relevant local regulatory and legal requirements and operate in accordance with their locally registered names. The use of the name Eversheds Sutherland, is for description purposes only and does not imply that the Eversheds Sutherland Entities are in a partnership or are part of a global LLP. The responsibility for the provision of services to the client is defined in the terms of engagement between the instructed firm and the client.

W dobie dynamicznie rozwijającej się technologii cyfrowej oraz rosnącej liczby zagrożeń w cyberprzestrzeni, sektor cyberbezpieczeństwa staje się jednym z kluczowych obszarów działań. W odpowiedzi na coraz bardziej skomplikowane i zróżnicowane wyzwania, w ostatnich latach wprowadzono szereg zmian mających na celu ugruntowanie ram prawnych oraz poprawę skuteczności działań prewencyjnych. Jednym z sektorów wymagających szczególnej ochrony ze względu na swoje znaczenie jest sektor energii.

Ataki wymierzone w podmioty sektora energii mogą spowodować naruszenie ciągłości dostaw energii, co może skutkować wzrostem jej cen, czy też ograniczenia w jej dostępności. W związku z tym, ustawodawca unijny przyjął nowe przepisy w celu wzmocnienia ochrony przed cyberzagrożeniami.

Należy do nich Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS 2). Zastępuje ona Dyrektywę NIS 1, kładącą podwaliny pod przepisy prawa wspólnotowego w zakresie cyberbezpieczeństwa.

3 kwietnia bieżącego roku weszła w życie ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, będąca implementacją Dyrektywy NIS 2. Należy przy tym zaznaczyć, że ustawa została skierowana do Trybunału Konstytucyjnego w trybie kontroli następczej, co oznacza, że jej przepisy obowiązują, choć ich zgodność z Konstytucją pozostaje przedmiotem oceny.

Co to oznacza dla polskiej energetyki?

Dyrektywa NIS 2 obejmuje publiczne i prywatne podmioty typów wskazanych w załącznikach I (sektory „wysokiego ryzyka”) i II (pozostałe sektory), które spełniają próg wielkości przedsiębiorstwa (co do zasady średnie lub większe) i prowadzą działalność w UE. Dodatkowo przewidziane są wyjątki i rozszerzenia (np. dla niektórych mniejszych podmiotów o krytycznym znaczeniu). Państwa członkowskie klasyfikują podmioty jako kluczowe (essential) lub ważne (important).

Kluczowe sektory obejmują m.in. energię (podsektory: energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz i wodór), transport (w tym zarządcy/operatorzy infrastruktury), wodę i ścieki oraz infrastrukturę cyfrową.

Nowelizacja KSC poza podsektorami wymienionymi w Dyrektywie NIS 2 poszerza katalog podsektorów sektora energetycznego także o: wydobywanie kopalin, energię jądrową oraz działalność podmiotów publicznych.

Z perspektywy regulacyjnej odnoszącej się do infrastruktury krytycznej, zakres podmiotowy obejmuje przede wszystkim operatorów sieci i instalacji. Należą do nich m.in. podmioty zajmujące się wytwarzaniem, przesyłem i dystrybucją energii, zarządzaniem infrastrukturą transportową, a także świadczeniem usług w obszarze zaopatrzenia w wodę i gospodarki ściekowej.

Zmiana obejmuje także szerokie spektrum uczestników rynku energii elektrycznej, gazu oraz ciepła systemowego. Dotyczy to zarówno operatorów systemów przesyłowych i dystrybucyjnych (OSP i OSD), jak i operatorów magazynów energii oraz infrastruktury LNG.

Nowelizacja ustawy KSC, w ślad za Dyrektywą NIS 2, wprowadza pojęcia „podmiotów kluczowych” i „podmiotów ważnych”, zastępując dotychczasowych „operatorów usług kluczowych” i „dostawców usług cyfrowych”.

Podmioty kluczowe stosują odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do ryzyka. Katalog obejmuje m.in.: politykę analizy ryzyka i bezpieczeństwa informacji, obsługę incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, polityki i procedury dotyczące kryptografii, bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu systemów, szkolenia, polityki kontroli dostępu, wieloskładnikowe/ciągłe uwierzytelnianie, bezpieczną komunikację i łączność awaryjną.

Zarządzanie i odpowiedzialność organów zarządzających

Na poziomie zarządczym nowelizacja wprowadza dodatkowo wymogi dotyczące odpowiedzialności organów zarządzających. Organy te zatwierdzają środki zarządzania ryzykiem, nadzorują ich wdrożenie oraz mogą ponosić odpowiedzialność za naruszenia obowiązków w tym zakresie (zgodnie z prawem krajowym). Wprowadzony został również obowiązek zapewnienia szkoleń dla członków organów zarządzających oraz kadry kierowniczej.

Audyt

Podmioty kluczowe przeprowadzają regularne cykliczne audyty bezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług. Komunikaty resortowe przewidują dla „nowych” podmiotów kluczowych termin pierwszego audytu w ciągu 24 miesięcy od spełnienia przesłanek.

Samoidentyfikacja podmiotów

Obecnie operatorzy usług kluczowych są wyznaczani w drodze decyzji administracyjnej, ale w związku z wprowadzeniem obowiązku samoidentyfikacji, każdy podmiot będzie z mocy prawa zobowiązany do samodzielnego ustalenia swojego statusu oraz dokonania wpisu do Wykazu podmiotów kluczowych i ważnych prowadzonego w systemie S46.

Obsługa incydentów i współpraca z CSIRT

Na mocy już obecnie obowiązujących przepisów krajowych dla każdego sektora ustanowiono organ właściwy do spraw cyberbezpieczeństwa. W sektorze energii organem takim jest minister właściwy ds. energii.

Zgodnie ze Sprawozdaniem Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa za rok 2024, opublikowanym przez Ministerstwo Cyfryzacji, w zakresie dotyczącym incydentów za ten rok, nie odnotowano co prawda ani jednego przypadku incydentu krytycznego, ale zarejestrowano 6 przypadków incydentów poważnych, z czego aż 5 w sektorze energii. Wszystkie one wynikały z awarii i nie nosiły znamion ataków z zewnątrz. Rok 2025 przyniósł natomiast duże, skoordynowane ataki wymierzone w stabilność dostaw energii.

Nowelizacja KSC definiuje incydent jako zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych, a incydent poważny jako incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej.

Zgodnie z treścią nowelizacji podmiot kluczowy będzie zobowiązany do zgłoszenia takiego incydentu do odpowiedniego sektorowego lub podsektorowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Obecnie istnieją trzy zespoły CSIRT na poziomie krajowym, ale organ właściwy także może powołać sektorowy zespół cyberbezpieczeństwa. CSIRT dla sektora energii nie został na ten moment jeszcze powołany.

Podmiot kluczowy zobowiązany będzie do zgłoszenia wczesnego ostrzeżenia o incydencie poważnym niezwłocznie nie później niż w ciągu 24 godzin od jego wykrycia, a CSIRT do udzielenia mu wsparcia. W ciągu 72 godzin podmiot kluczowy lub ważny zgłasza taki incydent wraz z dodatkowymi informacjami. Na wniosek CSIRT sektorowego, w ciągu miesiąca od zgłoszenia incydentu poważnego podmiot będzie zobowiązany do złożenia sprawozdania okresowego. Podmiot kluczowy lub ważny będzie miał także obowiązek poinformować użytkowników swoich usług o incydencie poważnym, w przypadku, jeśli będzie on miał niekorzystny wpływ na ich świadczenie.

Kluczowe terminy

W kontekście wdrażania regulacji wynikających z nowelizacji KSC, przewidziano szereg istotnych terminów, które determinują obowiązki poszczególnych podmiotów.

7 maja 2026 r. uruchomiony zostaje proces samorejestracji w Wykazie KSC, natomiast data 3 października 2026 r. wyznacza ostateczny termin na złożenie wniosku o wpis do wykazu przez podmioty zobowiązane do samorejestracji. Niedochowanie tego terminu może wiązać się z konsekwencjami regulacyjnymi, w tym potencjalnymi sankcjami administracyjnymi.

Z perspektywy wdrożenia systemów zarządzania bezpieczeństwem informacji (SZBI), szczególne znaczenie ma data 3 kwietnia 2027 r. Do tego dnia podmioty, które spełniały kryteria objęcia regulacją już w momencie wejścia w życie nowelizacji, powinny w pełni wdrożyć wymagane mechanizmy organizacyjne i techniczne.

Zasadniczym terminem przeprowadzenia pierwszego audytu dla tzw. „nowych” podmiotów kluczowych jest 3 kwietnia 2028 r.

Podsumowanie

W obliczu rosnącej liczby zagrożeń w cyberprzestrzeni wyzwania związane z cyberbezpieczeństwem będą się nasilać, dlatego kluczowe jest nie tylko przestrzeganie przepisów, ale także inwestowanie w innowacyjne rozwiązania i rozwój kompetencji w tym obszarze. Wdrażanie przepisów wymaga od przedsiębiorstw nie tylko dostosowania procedur, ale także budowania kultury cyberbezpieczeństwa na wszystkich etapach łańcucha dostaw. Będzie to decydować o stabilności i bezpieczeństwie sektora energetycznego w nadchodzących latach.

Eversheds Sutherland dokłada wszelkich starań, aby materiały, informacje i dokumenty, w tym między innymi artykuły, biuletyny, raporty i blogi („Materiały”) publikowane na stronie Eversheds Sutherland były dokładne i kompletne. Należy jednak pamiętać, że Materiały są udostępniane wyłącznie w celach informacyjnych, a nie w celu udzielenia porady prawnej i niekoniecznie odzwierciedlają obowiązujące aktualnie przepisy prawa. Materiały nie powinny być interpretowane jako porada prawna w jakiejkolwiek sprawie.

Materiały mogą nie odzwierciedlać najnowszych zmian prawnych. Treść i interpretacja Materiałów oraz przepisy prawa wspomniane w Materiałach podlegają zmianom.

Eversheds Sutherland nie składa żadnych oświadczeń ani gwarancji, wyraźnych ani dorozumianych, co do dokładności lub kompletności Materiałów, a zatem nie należy na nich polegać. Eversheds Sutherland zrzeka się wszelkiej odpowiedzialności za działania podjęte lub niepodjęte w oparciu o część lub całość Materiałów w najszerszym zakresie dozwolonym przez prawo. Materiały nie muszą być wyczerpujące ani zawierać porad, na których można polegać. W każdej konkretnej sprawie prawnej należy zawsze skonsultować się indywidualnie z odpowiednio wykwalifikowanym prawnikiem.

Wszelkie poglądy wyrażone za pośrednictwem Materiałów są poglądami indywidualnego autora i mogą nie odzwierciedlać poglądów Eversheds Sutherland lub jakiegokolwiek innego indywidualnego prawnika.