Reklama
  • WIADOMOŚCI
  • W CENTRUM UWAGI

Przepisy o cyberbezpieczeństwie. Firmom grożą milionowe kary

cyberatak polska rosyjski sabotaż blackout
Autor. Canva

Milionowe kary, nowe obowiązki i większa odpowiedzialność zarządów – unijna dyrektywa NIS2 radykalnie zmienia podejście do cyberbezpieczeństwa. Choć przepisy obowiązują już w Polsce, wiele przedsiębiorstw, zwłaszcza z sektora MŚP nie zdaje sobie sprawy ze skali zmian. Tymczasem brak przygotowania może okazać się kosztowny.

NIS2 to unijna dyrektywa z 2022 r., wdrożona przez Polskę w kwietniu 2026 r. poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Jej celem jest zwiększenie odporności na cyberataki firm o kluczowym znaczeniu dla państwa i gospodarki.

Ta kwestia staje się kluczowa, bo rosnąca skala cyberzagrożeń nie jest już teoretycznym problemem. Przykładem są skoordynowane ataki z 29 grudnia 2025 r., wymierzone w co najmniej 30 polskich farm wiatrowych i fotowoltaicznych, a także spółkę z sektora produkcyjnego oraz dużą elektrociepłownię dostarczającą ciepło odbiorcom.

YouTube cover video

Wiele nowych regulacji

– Dyrektywa NIS2 jest odpowiedzią na globalne i regionalne wyzwania w obszarze cyberbezpieczeństwa – wyjaśnia Agnieszka Skorupińska, partnerka kierująca praktyką zrównoważonego rozwoju i transformacji energetycznej w Baker McKenzie.

Jak podkreśla, równolegle na poziomie unijnym i krajowym wchodzą w życie kolejne regulacje dotyczące ochrony systemów, sieci, urządzeń, danych oraz infrastruktury krytycznej. Szczególnie dotyczy to sektora energetycznego i odnawialnych źródeł energii, dla których terminy dostosowania do nowych wymogów już biegną.

Nowe regulacje obejmują przedsiębiorców z ponad 18 sektorów, m.in. energetyki, IT, ochrony zdrowia, transportu, obronności oraz gospodarki wodnej. Firmy objęte przepisami będą zobowiązane do rejestracji w rządowym systemie, wdrożenia systemu zarządzania cyberbezpieczeństwem, zgłaszania poważnych incydentów w ciągu 24 godzin od ich wykrycia oraz zakończenia współpracy z dostawcami wpisanymi na listę podmiotów wysokiego ryzyka.

Reklama

Lista obowiązków

Eksperci Baker McKenzie podkreślają, że pierwszym krokiem powinno być ustalenie, czy przedsiębiorstwo podlega nowym regulacjom. Można to zrobić m.in. na podstawie dwóch głównych kryteriów: sektor działalności firmy oraz jej wielkości. Jeżeli weryfikacja będzie pozytywna następnym krokiem powinna być rejestracja firmy w systemie S46, czyli platformie teleinformatycznej KSC do 3 października 2026 r.oku.

Kolejne obowiązki to m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z normą ISO 27001 oraz przeprowadzenie audytu dostawców i poddostawców i wdrożenie procedur raportowania incydentów.

Podmioty, które spełniają kryteria dyrektywy NIS2, mają czas na wdrożenie SZBI do 3 kwietnia 2027 roku. Z kolei pierwszy audyt powinien zostać przeprowadzony do 3 kwietnia 2028 r., a kolejne – co trzy lata.

Istotnym elementem nowych regulacji będzie też lista dostawców wysokiego ryzyka tworzona przez ministra cyfryzacji. Wpisanie firmy na tę listę oznacza zakaz nawiązywania z nią nowej współpracy. Przedsiębiorstwa korzystające już z jej produktów lub usług będą natomiast zobowiązane do zakończenia współpracy i zastąpienia wykorzystywanych rozwiązań.

Reklama

Kary do 100 mln zł

Dostosowanie do nowych wymogów będzie dla wielu przedsiębiorstw dużym wyzwaniem, zwłaszcza że sankcje za ich nieprzestrzeganie mają być dotkliwe.

W przypadku podmiotów kluczowych maksymalna kara wynosi 10 mln euro lub 2 proc. rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa. W przypadku najpoważniejszych naruszeń zagrażających obronności, zdrowiu lub bezpieczeństwu publicznemu sankcja może sięgnąć nawet 100 mln zł.

Odpowiedzialność ponoszą również osoby zarządzające. W przypadku rażących zaniedbań członkowie zarządu lub kierownicy jednostek mogą zostać ukarani grzywną w wysokości do 300 proc. swojego rocznego wynagrodzenia.

Z naszych obserwacji wynika, że kluczowe podmioty w branży są świadome zmian i albo wdrożyły już rozwiązania zapewniające odpowiedni poziom cyberbezpieczeństwa, albo intensywnie pracują nad spełnieniem wymogów NIS2 i polskiej ustawy.
Radosław Nożykowski, kierujący praktyką obronności i cyberbezpieczeństwa w Baker McKenzie

Jak dodaje, znacznie mniejsza świadomość nowych obowiązków występuje wśród mniejszych przedsiębiorstw oraz ich poddostawców.

Reklama

Wyzwania dla energetyki

Wdrożenie dyrektywy NIS2 będzie dużym wyzwaniem, szczególnie dla sektora energetycznego.

Wykryty w grudniu incydent z pewnością zwiększył świadomość zagrożeń. Wdrożenie przepisów NIS2 będzie wyzwaniem dla wielu przedsiębiorców, między innymi ze względu na wzrost kosztów operacyjnych. Jednocześnie strategiczne znaczenie branży sprawia, że cyberbezpieczeństwo musi być traktowane jako jeden z priorytetów
Paweł Konieczny, wiceprezes Polskiego Stowarzyszenia Energetyki Słonecznej

W przypadku magazynów energii kluczowe znaczenie ma natomiast bezpieczeństwo systemów informatycznych zarządzających pracą instalacji.

– Magazyn energii jest cyfrowo sterowanym zasobem systemowym, w którym warstwa informatyczna decyduje jednocześnie o przychodach z rynku, bezpieczeństwie fizycznym baterii oraz zgodności z wymogami regulacyjnymi – podkreśla Tomasz Adamski, starszy dyrektor ds. badań i analiz Polskiego Stowarzyszenia Magazynowania Energii.

Na znaczenie cyberbezpieczeństwa zwraca uwagę również Monika Silva, zastępca dyrektora generalnego Izby Gospodarczej Energetyki i Ochrony Środowiska. Jak podkreśla, w energetyce jądrowej kwestie bezpieczeństwa są priorytetem już na etapie projektowania inwestycji.

– Łańcuchy dostaw są szczegółowo weryfikowane, a zmiany prawa stale monitorowane. „Safety” i „security” to dwa kluczowe pojęcia dla tej branży – wskazuje.

Z kolei Ewa Kwapis, wiceprezes zarządu Transition Technologies-Systems, zwraca uwagę na koszty związane z wdrożeniem NIS2, szczególnie dla mniejszych przedsiębiorstw z sektora OZE.

– Z punktu widzenia bezpieczeństwa podniesienie standardów ochrony jest konieczne. Jednak dla mniejszych firm, zwłaszcza z sektora OZE, koszty dostosowania do nowych przepisów oraz ewentualna konieczność wymiany technologii po wpisaniu dostawcy na listę podmiotów wysokiego ryzyka mogą okazać się bardzo trudne do udźwignięcia – podsumowuje.

Zobacz również

Reklama