KSC i NIS2 w Trybunale: Dostawcy HRV
Systemowa analiza prawno-gospodarcza nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC/NIS2) w świetle kontroli następczej Trybunału Konstytucyjnego
Wprowadzenie do nowej architektury cyberbezpieczeństwa państwa
Dnia 19 lutego 2026 roku Prezydent Rzeczypospolitej Polskiej podpisał ustawę o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz niektórych innych ustaw. Zakończyło to wieloletni proces legislacyjny, którego głównym celem była implementacja do polskiego porządku normatywnego dyrektywy NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii) oraz wdrożenie zaleceń zawartych w unijnym dokumencie 5G Toolbox.
Prezydent uargumentował swoją decyzję strategicznym wymiarem regulacji i koniecznością ochrony infrastruktury w obliczu rosnących zagrożeń w cyberprzestrzeni. Jednocześnie jednak ustawa została skierowana przez głowę państwa do Trybunału Konstytucyjnego (TK) w trybie kontroli następczej. Wniosek ten koncentruje się na przepisach regulujących postępowanie w sprawie uznawania podmiotów za dostawców wysokiego ryzyka (HRV – High-Risk Vendors), co stanowiło odpowiedź na apele środowisk zrzeszających przedsiębiorców.
Skierowanie aktu normatywnego do TK w trybie następczym oznacza, że ustawa wejdzie w życie po upływie jednomiesięcznego okresu vacatio legis, liczonego od dnia jej ogłoszenia w Dzienniku Ustaw. Wymusza to na podmiotach objętych regulacją (według Oceny Skutków Regulacji jest to ponad 38 tysięcy podmiotów) realizację nowych obowiązków w warunkach oczekiwania na wyrok sądu konstytucyjnego. Niniejszy raport stanowi analizę nowej regulacji, systematyzując jej skutki operacyjne, otoczenie prawne oraz konsekwencje dla decydentów w sektorze prywatnym.
Przebudowa zakresu podmiotowego regulacji i implementacja dyrektywy NIS2
Poprzednia architektura prawna, ukształtowana przez ustawę o KSC z 2018 roku, opierała się na nadzorze nad wyselekcjonowaną grupą operatorów usług kluczowych (np. w sektorze energetycznym czy bankowym). Nowelizacja inkorporuje podejście horyzontalne, rozszerzając rygory nadzorcze na znaczną część gospodarki.
Ustawodawca, podążając za wymogami dyrektywy NIS2, zniósł dotychczasowe kategorie, zastępując je modelem opartym na kryterium wielkości przedsiębiorstwa oraz sektora działalności.
| Kategoria podmiotu | Charakterystyka i profil nadzoru | Przykładowe sektory |
|---|---|---|
| Podmioty Kluczowe | Obejmują duże przedsiębiorstwa oraz operatorów infrastruktury o znaczeniu strategicznym. Podlegają rygorystycznym wymogom operacyjnym, wzmożonemu nadzorowi administracyjnemu oraz obligatoryjnym audytom bezpieczeństwa. | Energetyka, transport, bankowość, sektor ochrony zdrowia. |
| Podmioty Ważne | Obejmują średnie przedsiębiorstwa funkcjonujące w sektorach nowo dodanych do KSC. Wymogi są łagodniejsze, a nadzór ma charakter ex post (reakcja po zgłoszeniu incydentu). | Produkcja, dystrybucja żywności, gospodarka odpadami, usługi pocztowe. |
Włączenie do KSC nowych gałęzi gospodarki stanowi odpowiedź na współzależność łańcuchów dostaw. Reżimem objęto m.in. odprowadzanie i oczyszczanie ścieków, usługi pocztowe, produkcję żywności, produkcję chemikaliów oraz podmioty operujące w przestrzeni kosmicznej.
Mechanizm samoidentyfikacji
Kluczową zmianą proceduralną jest rezygnacja z modelu, w którym organy państwowe wskazywały konkretne podmioty w drodze decyzji administracyjnej. Nowelizacja nakłada na przedsiębiorców obowiązek samoidentyfikacji. Każdy przedsiębiorca musi przeanalizować ramy prawne KSC, weryfikując kody Polskiej Klasyfikacji Działalności (PKD) oraz wskaźniki makroekonomiczne swojej firmy (poziom zatrudnienia, obrót). W przypadku spełnienia kryteriów, podmiot ma 6 miesięcy na dokonanie zgłoszenia i rejestracji w oficjalnym wykazie. Brak zgłoszenia rodzi ryzyko sankcji finansowych.
Architektura obowiązków operacyjnych i technicznych
Zgodnie z przepisami, przedsiębiorcy otrzymali 12-miesięczny okres przejściowy na wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie.
Proaktywne zarządzanie ryzykiem i ochrona łańcucha dostaw
Ustawa wymaga przejścia do proaktywnego zarządzania ryzykiem. Przedsiębiorstwa są zobligowane do inwentaryzacji aktywów teleinformatycznych, identyfikacji wektorów zagrożeń oraz natychmiastowego usuwania wykrytych podatności technicznych, o czym muszą informować właściwe organy. Zastosowane środki ochrony muszą być adekwatne do wielkości organizacji i charakteru świadczonych usług.
Nowelizacja nakłada również obowiązek weryfikacji bezpieczeństwa łańcucha dostaw. Podmioty podlegające ustawie KSC muszą oceniać ryzyko generowane przez dostawców oprogramowania i usług IT, co w praktyce wymusi stosowanie rygorystycznych klauzul umownych oraz korzystanie z tzw. prawa do audytu (right to audit).
Harmonogram raportowania incydentów
Ustawa wprowadza zaostrzony harmonogram raportowania poważnych incydentów, realizowany za pośrednictwem systemu S46.
| Etap zgłoszenia incydentu | Maksymalny czas na realizację | Cel zgłoszenia |
|---|---|---|
| Wstępne ostrzeżenie | Do 24 godzin od wykrycia. | Krótki komunikat pozwalający zespołom CSIRT na wczesną analizę zagrożeń w sektorze. |
| Właściwe zgłoszenie | Do 72 godzin od wykrycia. | Raport zawierający zidentyfikowane wektory ataku oraz podjęte działania mitygacyjne. |
| Raport końcowy | W ciągu 1 miesiąca od pierwszego zgłoszenia. | Kompleksowa analiza opisująca skutki, załatane luki oraz wdrożone procedury zapobiegawcze. |
Wdrożenie wymogów, takich jak ostrzeżenie w ciągu 24 godzin, wymaga od podmiotów posiadania stałych zdolności analitycznych. Oczekuje się, że wymusi to wdrażanie systemów zarządzania zdarzeniami (SIEM) oraz korzystanie z usług wyspecjalizowanych zespołów Security Operations Center (SOC).
Analiza prawno-porównawcza implementacji dyrektywy NIS2
Polska implementacja dyrektywy NIS2 charakteryzuje się zastosowaniem tzw. gold-platingu, czyli nakładaniem obciążeń wykraczających poza minimalne wymogi unijne. Dla porównania:
- Belgia: Wdrożyła przepisy NIS2 w październiku 2024 roku, opierając się na elastyczniejszych mechanizmach oceny zgodności.
- Niemcy: Procedują ustawę (NIS2UmsuCG), która zachowuje dotychczasową metodykę identyfikacji operatorów infrastruktury krytycznej (KRITIS) i w drodze odstępstwa od dyrektywy NIS2 planuje wyłączenie pewnych instytucji administracji federalnej z najsurowszych wymogów. Wejście w życie niemieckich przepisów spodziewane jest pod koniec 2025 lub w 2026 roku.
- Polska: Poza standardowym wdrożeniem NIS2, ustawodawca krajowy inkorporował do ustawy o KSC mechanizmy oceny sprzętu i oprogramowania (HRV), które formalnie nie wynikają z treści samej dyrektywy, a z zaleceń 5G Toolbox, poszerzając ich zakres na wszystkie podmioty KSC. Polska Izba Gospodarcza Elektroniki i Telekomunikacji (KIGEiT) wskazywała, że polska definicja obejmie aż 38 532 podmiotów, co stanowi największą liczbę podmiotów poddanych temu reżimowi w Europie.
Opóźnienia w polskim procesie legislacyjnym skutkowały wszczęciem przez Komisję Europejską formalnej procedury naruszeniowej. Po upływie terminu implementacji w październiku 2024 r., w maju 2025 r. Komisja wystosowała uzasadnioną opinię, a następnie skierowała sprawę do Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Stanowiło to kluczowy katalizator dla przyspieszenia prac nad ostatecznym brzmieniem nowelizacji.
Postępowanie w sprawie Dostawców Wysokiego Ryzyka (HRV)
Centralnym elementem sporu prawnego, który zdeterminował decyzję Prezydenta o skierowaniu ustawy do TK, są przepisy wprowadzające procedurę administracyjną pozwalającą na uznanie dostawców sprzętu za Dostawców Wysokiego Ryzyka (HRV).
Postępowanie wszczyna Minister właściwy ds. informatyzacji (z urzędu lub na wniosek Kolegium ds. Cyberbezpieczeństwa). Przy ocenie dostawcy bierze się pod uwagę m.in. poziom zagrożenia dla bezpieczeństwa państwa, powiązania strukturalne i właścicielskie firmy (w tym przynależność do państw spoza obszaru UE/NATO), a także historię wykrytych podatności. Decyzja wskazuje konkretne linie produktowe lub usługi sprzętowe.
Harmonogram i skutki finansowe dla rynku
Wydanie decyzji nakłada na podmioty kluczowe i ważne obowiązek wycofania zakwestionowanych urządzeń w ciągu 7 lat (lub 4 lat w przypadku infrastruktury wysoce wrażliwej). Wymóg ten obejmuje m.in. przedsiębiorstwa telekomunikacyjne o rocznym przychodzie przekraczającym 10 mln zł. Przemysł zwraca uwagę, że wymiana odbywa się w całości na koszt przedsiębiorców, co wedle szacunków dla samego sektora telekomunikacyjnego może wygenerować nakłady rzędu 14,4 mld złotych, stwarzając ryzyko spowolnienia rozbudowy sieci nowej generacji.
Argumentacja konstytucyjna (Trybunał Konstytucyjny)
Organizacje zrzeszające biznes (m.in. Business Centre Club, Konfederacja Lewiatan, KIGEiT) wskazały na istotne wady prawne znowelizowanych przepisów. Oś sporu przed Trybunałem Konstytucyjnym opiera się na następujących zarzutach:
- Naruszenie ochrony prawa własności (art. 21 ust. 2 oraz art. 64 Konstytucji RP): Według opinii prof. Ryszarda Piotrowskiego, nakaz usunięcia legalnie nabytego sprzętu bez mechanizmu rekompensaty finansowej stanowi formę wywłaszczenia ukrytego, dokonanego z naruszeniem zasady słusznego odszkodowania. Koszty polityki obronnej państwa przenoszone są na podmioty prywatne.
- Ograniczenie prawa do sądu (art. 45 Konstytucji RP): Konstytucjonaliści podnoszą, że procedura określona w znowelizowanym art. 67b (procedura HRV) zawęża standardy Kodeksu postępowania administracyjnego i ogranicza sądową kontrolę decyzji, ponieważ opiera się ona w głównej mierze na materiałach niejawnych dostarczanych przez służby specjalne.
- Nieproporcjonalność narzędzi (art. 67g KSC): Poważne zastrzeżenia budzi prawo wydawania “poleceń zabezpieczających”, uprawniających organy administracji do natychmiastowej, władczej ingerencji w systemy przedsiębiorstw prywatnych w przypadku wystąpienia incydentu krytycznego.
Przebudowa kompetencji nadzorczych i system sankcyjny
Nowelizacja wyposaża organy administracji (ministrów, Komisję Nadzoru Finansowego, Prezesa UKE) w szersze kompetencje, w tym prawo wyznaczania urzędnika monitorującego wykonywanie obowiązków bezpośrednio w siedzibie podmiotu nadzorowanego oraz prawo zlecenia zewnętrznych audytów bezpieczeństwa. Ekosystem wsparcia technicznego uzupełniono o nowe, sektorowe Zespoły Reagowania na Incydenty (CSIRT), współpracujące w ramach Połączonego Centrum Operacyjnego Cyberbezpieczeństwa (PCOC).
Naruszenie obowiązków ustawowych wiąże się z surowym systemem kar administracyjnych, powiązanych z obrotem globalnym przedsiębiorstw:
- Podmioty Kluczowe: Kary do 10 mln EUR lub 2% całkowitego rocznego obrotu globalnego.
- Podmioty Ważne: Kary do 7 mln EUR lub 1,4% obrotu globalnego.
W przypadku spowodowania bezpośredniego, poważnego zagrożenia bezpieczeństwa państwa, kara może osiągnąć pułap 100 milionów złotych. Ponadto, nowelizacja wprowadza osobistą odpowiedzialność zarządów (możliwość orzeczenia czasowego zakazu pełnienia funkcji kierowniczych za rażące uchybienia w nadzorze).
Ryzyka, scenariusze decyzyjne i rekomendacje dla zarządów oraz CISO
Wejście w życie ustawy, której kluczowe przepisy (zwłaszcza w zakresie wymiany sprzętu od dostawców HRV) podlegają równoległej kontroli następczej w TK, tworzy środowisko niepewności prawnej.
Identyfikacja ryzyk
- Ryzyko kosztów utopionych (sunk costs): Podjęcie natychmiastowych inwestycji w wymianę sprzętu (CAPEX) przed orzeczeniem TK, które potencjalnie może uznać przepisy o HRV za niekonstytucyjne, grozi poniesieniem nieodwracalnych strat operacyjnych.
- Kwestia owoców zatrutego drzewa i legalności nakazów: Z perspektywy procedury administracyjnej, jeśli TK uchyli przepisy stanowiące podstawę decyzji wydanych przez Ministra Cyfryzacji, organy państwowe mogą narazić Skarb Państwa na wielomilionowe roszczenia odszkodowawcze ze strony operatorów.
- Asymetria konkurencyjna: Szeroki zakres podmiotowy polskiej regulacji (np. rygorystyczne ujęcie definicji względem innych rynków UE) może krótkoterminowo osłabić pozycję inwestycyjną polskiego przemysłu w regionie.
Scenariusze decyzyjne
- Scenariusz Full Compliance (Proaktywny): Zakłada pełne i natychmiastowe dostosowanie procesów, w tym eliminację sprzętu potencjalnie problematycznego z łańcucha dostaw przed oficjalnymi decyzjami, co minimalizuje ryzyko nałożenia sankcji, jednak maksymalizuje koszty finansowe w krótkim horyzoncie.
- Scenariusz adaptacyjny (Zachowawczy): Zakłada rygorystyczne przestrzeganie procedur “miękkich” (audyty, zarządzanie ryzykiem, zgłaszanie incydentów), które są niekwestionowane konstytucyjnie (wynikają bezpośrednio z dyrektywy NIS2), przy jednoczesnym wstrzymaniu wielkoskalowych modernizacji sprzętowych (tzw. rip-and-replace) do momentu wydania pierwszych decyzji administracyjnych lub wyroku TK, wykorzystując ustawowe 4-7 letnie okresy przejściowe dla sprzętu HRV.
Rekomendowane strategie postępowania
- Pilna samoidentyfikacja: Zarządy powinny natychmiast przystąpić do analizy statusu swojego podmiotu w oparciu o kryteria finansowe i kody PKD. Na dopełnienie formalności rejestracyjnych ustawodawca przewiduje rygorystyczny termin 6 miesięcy od spełnienia warunków wejścia w życie ustawy.
- Audyt łańcucha dostaw: Działy zakupów oraz bezpieczeństwa (CISO) powinny dokonać inwentaryzacji użytkowanego sprzętu sieciowego pod kątem pochodzenia (jurysdykcje państw trzecich, poza UE i NATO) i oszacować techniczny dług wymiany.
- Mitygacja ryzyka w kontraktach B2B: Należy dostosować wzory umów z nowymi dostawcami usług cyfrowych i sprzętu, wprowadzając klauzule wyjścia (exit clauses), prawo do audytu (right to audit) oraz mechanizmy przeniesienia odpowiedzialności finansowej na wypadek wpisania danego producenta na listę HRV.
- Rozbudowa systemów raportowania: Z uwagi na konieczność raportowania wstępnego incydentów w czasie 24 godzin, konieczne jest zapewnienie wewnętrznych (lub zewnętrznych w ramach outsourcingu) struktur SOC funkcjonujących w trybie 24/7/365. Odpowiedzialność w tym zakresie bezpośrednio obciąża kadrę kierowniczą wyższego szczebla.
W dobie prawnych i technologicznych wyzwań związanych z nowelizacją KSC i NIS2, ochrona infrastruktury to priorytet. Chcesz skutecznie monitorować i zabezpieczać swoje systemy przed zagrożeniami? Zapisz się na listę oczekujących clev.one – system proaktywnej obrony, który wesprze Cię w budowie bezpieczniejszej organizacji i osiągnięciu pełnej zgodności z nowymi przepisami, dając czas na reakcję w kluczowych pierwszych 24 godzinach.
Chcesz chronić swoje dane?
Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.
Zapisz się teraz