I wylądował – nowy krajowy system cyberbezpieczeństwa z wdrożoną dyrektywą NIS 2. 19 lutego 2026 r. Prezydent podpisał ustawę, z jednym „ale” – ustawa została skierowana do kontroli następczej przez Trybunał Konstytucyjny (TK). Co to oznacza dla przedsiębiorców? Nie mniej nie więcej niż to, że obowiązki wejdą w życie i trzeba będzie się z nich wywiązać. Do czasu rozstrzygnięcia przez TK czy przepisy są konstytucyjne czy nie – będą obowiązującym prawem. Z resztą, same przepisy o ustanowieniu w przedsiębiorstwie systemu zarządzania bezpieczeństwem informacji (w skrócie SZBI) raczej nie są „zagrożone” niekonstytucyjnością. Zatem niezależnie od tego co zrobi TK, trzeba się zabrać za porządkowanie zasad bezpieczeństwa w organizacji.
Zegar już zaczął tykać. Przepisy wejdą w życie w terminie miesiąca od opublikowania nowelizacji w dzienniku ustaw, a obowiązki związane z ustanowieniem i nadzorem nad SZBI trzeba zacząć realizować w terminie kolejnych 12 miesięcy. Pierwotnie miało być to 6 miesięcy, więc przedsiębiorcy dostali trochę więcej czasu niż pierwotnie zakładano, ale nie ma co się łudzić – to i tak nie jest dużo czasu na rzetelne wdrożenie SZBI. Słowo-klucz: rzetelne. Faktyczne wdrożenie systemu w przedsiębiorstwie to nie tylko „papierki” lecz inwentaryzacja zasobów, zidentyfikowanie i oszacowanie ryzyk, rozważanie i wdrożenie zabezpieczeń. Owe „papierki” powinny odzwierciedlać cały proces operacyjny związany z opracowaniem i wdrożeniem systemu. Oczywiście można przyjąć jakąkolwiek dokumentację, aby próbować wykazać zgodność z przepisami, ale nie będzie to prawdziwy SZBI tylko jego atrapa. Poza tym, jeśli przyjdzie do przeprowadzenia audytu w przedsiębiorstwie to nie uda się ukryć rozbieżności pomiędzy tym, jak powinno być, a jak faktycznie jest. Audytorzy nie poprzestaną tylko na przeczytaniu polityk, ale wejdą do firmy i będą pytać – jak to u was funkcjonuje i działa w praktyce.
Od czego zacząć? Po pierwsze, trzeba dokonać samoidentyfikacji i sprawdzić, czy w ogóle przedsiębiorstwo kwalifikuje się jako kluczowe lub ważne. Regulacją objętych zostało 18 branż gospodarki, m.in. infrastruktura cyfrowa, energetyka, wodociągi, transport czy ochrona zdrowia. Dodatkowo stosowanie ustawy może (choć nie musi) być uzależnione od wielkości przedsiębiorstwa, również uwzględniając powiązania z innymi (zwłaszcza takimi, które wykorzystują te same systemy informacyjne). Jeśli uznamy, że kwalifikujemy się jako podmiot kluczowy albo ważny – trzeba będzie wpisać się do wykazu podmiotów kluczowych i ważnych oraz oczywiście przystąpić do wykonywania obowiązków. Nieco „łatwiej” mają przedsiębiorcy telekomunikacyjni, którzy „z automatu” zostają wpisani do wykazu podmiotów kluczowych i ważnych w oparciu o dane z rejestrów publicznych (np. rejestru przedsiębiorców telekomunikacyjnych (RPT)). Nadal jednak trzeba będzie uzupełnić pozostałe informacje, jednakże przedsiębiorca telekomunikacyjny dostanie wezwanie w tym zakresie.
Podstawowym obowiązkiem jest wdrożenie SZBI. Przepisy UKSC samodzielnie określają wymogi, jakie taki system powinien spełnić i co zapewniać. Jest to m.in.:
Szczegółowy zakres i wymogi określać będzie art. 8 UKSC. Dodatkowo Rada Ministrów w drodze rozporządzenia, może te wymogi rozszerzyć w odniesieniu do konkretnego sektora (branży), a Minister Cyfryzacji jest uprawniony do opublikowania wykazu dokumentów normalizacyjnych, których wykonywanie realizuje obowiązki wynikające z przepisów UKSC oraz rozporządzeń Rady Ministrów[1]. Projekt takiego wykazu został nawet przedstawiony do konsultacji pod koniec stycznia 2025 roku.
Od tej nielubianej przez przedsiębiorców biurokratycznej strony, podmiot kluczowy lub ważny ma obowiązek opracować, stosować i aktualizować dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi[2], na którą składać się ma dokumentacja normatywna (dotycząca m.in. samego systemu, ciągłości działania czy ochrony infrastruktury) oraz operacyjna (potwierdzająca wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej). Niestety przedsiębiorcy nie unikną generowania „papierologii”, ale powinna ona w swojej treści uwzględniać odpowiednie i proporcjonalne do oszacowanego ryzyka środki techniczne i organizacyjne. Nie ma dwóch jednakowych przedsiębiorstw, w których ryzyka byłyby identyczne – szablonowa dokumentacja bez jakiejkolwiek indywidualizacji do uwarunkowań przedsiębiorstwa i jego aktywów, będzie jedynie atrapą SZBI.
W treści obowiązków zaszyte są pewne słowa-klucz przesądzające o tym, że wdrożenie i stosowanie znowelizowanej UKSC to nie jednorazowe działanie do odbębnienia, ale konieczność podejścia do bezpieczeństwa w sposób strategiczny i operacyjny – przykładowo: środki techniczne i organizacyjne powinny być odpowiednie i proporcjonalne do oszacowanego ryzyka, zaś szacowanie ryzyka powinno odbywać się w sposób systematyczny (a nie jednorazowy); dokumentacja SZBI powinna zostać opracowana, stosowana oraz aktualizowana. Owa systematyczność powinna zostać określona przez same przedsiębiorstwo, a ustalenia zapisane w dokumentacji normatywnej SZBI. To, czy szacowanie ryzyka będzie następować w cyklu kwartalnym, półrocznym czy rocznym – leży w gestii przedsiębiorstwa. Byle tylko szacowanie było systematyczne, zgodnie z ustanowioną polityką firmy.
Szerzej o tym, kto odpowiada za (nie)wdrożenie regulacji wyjaśniliśmy niedawno w naszym wcześniejszym wpisie na łamach Okablowanych.
Jaki wpływ na prawa i obowiązki może mieć wyrok TK?
Na wstępie wspomnieliśmy, że Prezydent skierował nowelizację UKSC do kontroli następczej przez TK. Jak można przeczytać w informacji opublikowanej wraz z komunikatem o podpisie ustawy, wątpliwości Prezydenta budziło objęcie regulacją 18 branż gospodarki, a także zgłaszane zastrzeżenia wobec regulacji o dostawcy wysokiego ryzyka oraz zasady wydawania poleceń zabezpieczających. Za opublikowaną informacją: Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel. Ponadto wadliwy jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej.
Oznacza to, że Trybunał zweryfikuje czy przepisy nowelizacji są zgodne z przepisami Konstytucji RP czy też nie. Jeśli w ocenie TK przepisy nowelizacji UKSC nie będą niezgodne z Konstytucją – to w zasadzie nic się nie zmieni. Cała nowelizacja pozostanie w mocy i wszystkie przepisy nadal będą obowiązywać. Jeśli jednak TK uzna, że wątpliwości były uzasadnione, zaś przepisy są niezgodne z Konstytucją RP – będzie mógł wydać orzeczenie, w którym określi termin utraty mocy obowiązującej tych przepisów. Orzeczenie TK o zgodności lub niezgodności ustawy z Konstytucją RP może odnosić się do całego aktu normatywnego albo do poszczególnych jego przepisów[3]. Oceniając obiektywnie nowelizację UKSC, raczej mało prawdopodobne jest, aby cała ustawa nowelizująca została przez TK pozbawiona mocy obowiązującej albo aby za niekonstytucyjne zostały uznane przepisy nakazujące ustanowienie w przedsiębiorstwie SZBI. Przepisy te służą wzmocnieniu bezpieczeństwa w cyberprzestrzeni i przyczyniają się do bezpieczeństwa państwa, co jest dopuszczalnym celem ustanowienia ograniczeń w korzystaniu z konstytucyjnych praw i wolności[4].
Jeśli natomiast TK uzna część przepisów za niekonstytucyjne, szczególnie regulacje dotyczące dostawcy wysokiego ryzyka, to może się okazać, iż Minister Cyfryzacji utraci uprawnienie do wydania decyzji uznającej dostawcę sprzętu lub oprogramowania za niebezpiecznego. Równie realnym scenariuszem może być to, że za niekonstytucyjne zostaną uznane poszczególne przepisy dotyczące samej procedury, np. pozbawienia statusu strony postępowania osób, których interesu prawnego lub obowiązku dotyczy postępowanie administracyjne. Skoro wskutek wydania decyzji, przedsiębiorca miałby obowiązek wymienić określony sprzęt albo oprogramowanie ICT, to niewątpliwie takie postępowanie dotyczy jego obowiązku, a zatem w myśl ogólnych przepisów procedury administracyjnej (art. 28 KPA) – powinien mieć status strony postępowania. W postępowaniu dotyczącym DWR stosowanie art. 28 KPA zostało jednak wyłączone, a osoby, które będą musiały wykonać decyzję nie będą mogły wziąć aktywnego udziału w postępowaniu. Hipotetycznie, gdyby taki przepis UKSC zostałyby pozbawiony mocy obowiązującej, to mogłoby się okazać, iż z dnia na dzień stron postępowania ws. uznania dostawcy za DWR uprawnionych do składania wniosków i zabierania stanowisk byłoby… tysiące, co z pewnością oznaczałoby paraliż postępowania. W chwili obecnej jest to wróżenie z fusów, gdyż nie sposób przewidzieć jakie orzeczenie wyda TK i które z przepisów nowelizacji uzna za niekonstytucyjne (o ile w ogóle uzna za niekonstytucyjne).
Dzieje się w temacie cyberbezpieczeństwa i jest to coraz bardziej prawnie regulowany obszar. Co ciekawe, pod koniec stycznia 2026 roku Komisja Europejska przedstawiła projekt nowego unijnego rozporządzenia ws. cyberbezpieczeństwa (The Cybersecurity Act 2), który właśnie porusza temat… dostawców wysokiego ryzyka. Może się okazać, że dopiero co weszła w życie jedna nowelizacja UKSC, a tu już niebawem będzie trzeba zaczynać prace nad kolejną, tym razem wdrażającą unijny Cybersecurity Act 2.
[1] Art. 45 ust. 3 znowelizowanej UKSC.
[2] Art. 10 znowelizowanej UKSC.
[3] Art. 107 ustawy z dnia 30 listopada 2016 r. o organizacji i trybie postępowania przed Trybunałem Konstytucyjnym (t.j. Dz. U. z 2019 r. poz. 2393).
[4] zob. art. 31 ust. 3 Konstytucji RP.
