3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, implementująca unijną dyrektywę NIS2. Dla firm z sektora energetycznego oznacza to nie tylko rozszerzenie katalogu podmiotów objętych regulacją, ale fundamentalne przesunięcie odpowiedzialności za cyberbezpieczeństwo, z poziomu działu IT na poziom zarządu. Kogo dotyczą nowe przepisy, jakie nakładają obowiązki i w jakich terminach należy je wdrożyć?
Energetyka w systemie KSC, co obowiązywało dotychczas
Sektor energetyczny nie trafia do krajowego systemu cyberbezpieczeństwa po raz pierwszy. Obowiązująca od 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), implementująca pierwszą dyrektywę NIS z 2016 r., od samego początku obejmowała energetykę jako sektor kluczowy.
Dotychczasowy model opierał się jednak na selektywnym mechanizmie kwalifikacji, uzyskanie statusu operatora usługi kluczowej wymagało wieloetapowej procedury administracyjnej, a usługa musiała przekraczać określone progi istotności skutku zakłócającego (np. dla dystrybucji energii elektrycznej, obsługa co najmniej 500 tys. odbiorców rocznie). W praktyce regulacja obejmowała wyłącznie podmioty o dużej skali, pozostawiając poza swoim zakresem wielu uczestników rynku, których rola z perspektywy cyberbezpieczeństwa rosła z roku na rok.
Nowy model kwalifikacji, kto podlega nowelizacji KSC
Nowelizacja UKSC zasadniczo zmienia logikę kwalifikacji. Dotychczasowa decyzja administracyjna ustępuje miejscu kwalifikacji z mocy prawa, opartej na tzw. regule wielkości (size-cap rule).
Podmiotem kluczowym staje się z mocy prawa przedsiębiorstwo przekraczające próg średniego przedsiębiorcy (co najmniej 250 pracowników lub obrót powyżej 50 mln EUR), prowadzące działalność wskazaną w Załączniku nr 1 do znowelizowanej ustawy. Podmiotem ważnym, podmiot spełniający kryteria średniego przedsiębiorcy (co najmniej 50 pracowników, obrót do 50 mln EUR).
Co istotne z perspektywy sektora energetycznego, Załącznik nr 1 znacząco rozszerza katalog objętych regulacją rodzajów działalności. W podsektorze energii elektrycznej, obok przedsiębiorstw posiadających koncesje na wytwarzanie, przesyłanie, dystrybucję lub obrót energią, dodano m.in. wyznaczonych operatorów rynku energii elektrycznej (NEMO), uczestników rynku świadczących usługi agregacji i odpowiedzi odbioru oraz przedsiębiorców zarządzających punktami ładowania pojazdów elektrycznych.
Regulacją objęto również podmioty z podsektora gazu prowadzące działalność w zakresie rafinacji i przetwarzania gazu ziemnego. Całkowicie nowe są dwa podsektory: energetyka jądrowa oraz wodór (przesyłanie, magazynowanie, wytwarzanie i dystrybucja).
Przepisy przejściowe zapewniają ciągłość regulacyjną, dotychczasowi operatorzy usług kluczowych z dniem wejścia w życie nowelizacji stali się z mocy prawa podmiotami kluczowymi.
Cztery filary nowych obowiązków
Nowelizacja porządkuje wymagania stawiane podmiotom kluczowym i ważnym w czterech podstawowych obszarach.
- Zarządzanie ryzykiem i SZBI
Każdy podmiot kluczowy i ważny jest zobowiązany wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) obejmujący m.in. szacowanie ryzyka, dobór proporcjonalnych środków technicznych i organizacyjnych, bezpieczeństwo łańcucha dostaw i systemów, kontrolę dostępu, kryptografię, ciągłość działania oraz edukację personelu.
- Odpowiedzialność kierownictwa
Nowelizacja wprost przenosi odpowiedzialność za cyberbezpieczeństwo na poziom zarządu. Kierownik podmiotu jest zobowiązany do podejmowania decyzji dotyczących wdrażania i nadzoru nad SZBI, zapewnienia środków finansowych oraz do corocznego uczestnictwa w szkoleniach z zakresu cyberbezpieczeństwa. Delegowanie zadań na dział IT nie zwalnia kierownika z odpowiedzialności.
- Raportowanie incydentów
Ustawa wprowadza wieloetapowy schemat zgłaszania incydentów poważnych do właściwego CSIRT: wczesne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu miesiąca. W praktyce oznacza to konieczność zapewnienia całodobowego monitoringu, własnego lub zewnętrznego Security Operations Center (SOC).
- Bezpieczeństwo łańcucha dostaw
Podmioty objęte regulacją muszą uwzględniać ryzyka wynikające z relacji z dostawcami produktów i usług ICT. Dla sektora energetycznego wymóg ten ma szczególne znaczenie, dotyczy także dostawców systemów sterowania przemysłowego (SCADA/OT), których kompromitacja może bezpośrednio zagrozić ciągłości dostaw energii.
SANKCJE, NOWA SKALA RYZYKA REGULACYJNEGO
System sankcji wprowadzony nowelizacją stanowi jakościową zmianę w porównaniu z dotychczasowym modelem. Kary administracyjne dla podmiotów kluczowych mogą wynieść do 10 mln EUR lub 2% rocznego obrotu (stosuje się kwotę wyższą, minimum 20 000 zł), a dla podmiotów ważnych, do 7 mln EUR lub 1,4% obrotu (minimum 15 000 zł). W przypadku naruszeń zagrażających bezpieczeństwu państwa górna granica sięga 100 mln zł.
Częstym błędem jest przeoczenie wymiaru odpowiedzialności osobistej, kierownik podmiotu podlega karze do 300% miesięcznego wynagrodzenia, a ustawa przewiduje także możliwość tymczasowego zakazu pełnienia funkcji kierowniczych.
Warto odnotować, że kary pieniężne będą mogły być nakładane dopiero od 3 kwietnia 2028 r. Nie oznacza to jednak okresu „bezkarności”, obowiązek samoidentyfikacji, rejestracji oraz osobista odpowiedzialność zarządu obowiązują od dnia wejścia ustawy w życie.
Harmonogram wdrożenia, co zrobić i kiedy
Przepisy przejściowe przewidują stopniowe wchodzenie obowiązków w życie:
- Do 3 października 2026 r., samoidentyfikacja i rejestracja w Wykazie Krajowego Systemu Cyberbezpieczeństwa (od 7 maja 2026 r. dostępna jest aplikacja umożliwiająca wpis przez system S46).
- Do 3 kwietnia 2027 r., pełne wdrożenie SZBI oraz dostosowanie trybu raportowania incydentów.
- Do 3 kwietnia 2028 r., przeprowadzenie pierwszego obowiązkowego audytu bezpieczeństwa (dla podmiotów kluczowych audyt wymagany co najmniej raz na 3 lata).
Dla przedsiębiorcy z sektora energetycznego punktem wyjścia powinna być analiza luk między aktualnym stanem zabezpieczeń a wymaganiami ustawy, ze szczególnym uwzględnieniem bezpieczeństwa łańcucha dostaw ICT/OT oraz dokumentacji SZBI. Zarząd powinien formalnie zatwierdzić harmonogram wdrożenia i zapewnić odpowiedni budżet
Nowelizacja UKSC to dla sektora energetycznego zmiana o charakterze systemowym, cyberbezpieczeństwo przestaje być domeną wyłącznie techniczną i staje się elementem ładu korporacyjnego, za który zarząd odpowiada osobiście. Firmy energetyczne, które potraktują wdrożenie nowych wymogów jako projekt wyłącznie IT-owy, narażają się na dotkliwe sankcje finansowe i osobistą odpowiedzialność osób zarządzających. Biorąc pod uwagę ściśle określone terminy, działania wdrożeniowe warto rozpocząć niezwłocznie.
Specjalizuje się w prawie handlowym i cywilnym. Doświadczenie zdobywała w warszawskich kancelariach zajmujących się w kompleksową obsługą spółek oraz kancelarii specjalizującej się w prawie pracy. Posiada szerokie doświadczenie w zakresie doradztwa korporacyjnego. Uczestniczyła w procesach fuzji i przejęć na każdym ich etapie, od badania prawnego poprzedzającego transakcję po wypełnienie wymogów regulacyjnych związanych z procesem transformacyjnym. Przygotowuje oraz opiniuje umowy zawierane przez klientów oraz…
Zobacz profil →Prawnicy HWW udzielają konsultacji w Warszawie oraz online. Wybierz formę kontaktu.
Nie przegap kolejnej analizy
Najważniejsze zmiany w prawie i ich skutki dla biznesu, raz w miesiącu na Twój e-mail.
Zapisując się, akceptujesz politykę prywatności. Wypiszesz się jednym kliknięciem.
