Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), stanowiąca implementację dyrektywy NIS2 do polskiego porządku prawnego, wprowadza nowe obowiązki dla podmiotów kluczowych i podmiotów ważnych.
Wiele organizacji błędnie zakłada, że obowiązki wynikające z NIS2 zaczną ich dotyczyć dopiero po wpisie do Wykazu KSC. To jeden z najczęściej spotykanych błędów interpretacyjnych.
Jednym z pierwszych obowiązków formalnoprawnych jest wpis do Wykazu KSC, prowadzonego za pośrednictwem systemu teleinformatycznego S46.
W praktyce kluczowe znaczenie ma prawidłowe ustalenie, w jakim trybie organizacja powinna zostać ujęta w Wykazie KSC, ponieważ przepisy przewidują dwa odrębne mechanizmy.
🔹 Wpis z urzędu
Dotyczy określonych kategorii podmiotów wskazanych w ustawie, w szczególności m.in. podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług zaufania oraz części podmiotów objętych już wcześniej krajowym systemem cyberbezpieczeństwa.
W takim przypadku wpisu dokonuje właściwy organ ds. cyberbezpieczeństwa. Podmiot nie składa wniosku o wpis, jednak po otrzymaniu zawiadomienia jest zobowiązany do uwierzytelnienia się w systemie S46 oraz uzupełnienia wymaganych danych organizacyjnych, kontaktowych i technicznych w terminie 6 miesięcy od dnia otrzymania wezwania do uzupełnienia wpisu.
🔹 Obowiązek samorejestracji
Dotyczy większości przedsiębiorstw prowadzących działalność w sektorach objętych ustawą o KSC. W takim przypadku to na kierownictwie organizacji spoczywa obowiązek samodzielnego ustalenia, czy podmiot spełnia przesłanki uznania za podmiot kluczowy lub podmiot ważny, a następnie złożenia wniosku o wpis w systemie S46.
Podmioty, które spełniają ustawowe kryteria w dniu wejścia w życie nowych przepisów, mają 6 miesięcy od dnia wejścia w życie ustawy na dokonanie wpisu – czyli do 3 października 2026 r. Jeżeli przesłanki zostaną spełnione w późniejszym terminie, obowiązek rejestracji powstaje w terminie 6 miesięcy od dnia ich zaistnienia.
📌 Pamiętajcie!
Wpis do Wykazu KSC ma charakter deklaratoryjny. Oznacza to, że obowiązki wynikające z ustawy powstają z chwilą spełnienia ustawowych przesłanek uznania organizacji za podmiot kluczowy lub ważny, a nie dopiero od momentu dokonania wpisu do wykazu.
⚠️ Odpowiedzialność karna osób reprezentujących podmiot
Procedura wpisu oraz aktualizacji danych wiąże się z odpowiedzialnością osób działających w imieniu organizacji. Wniosek lub formularz aktualizacyjny składany w systemie S46 zawiera oświadczenie składane pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia zgodnie z art. 233 § 6 Kodeksu karnego.
Zapis zastępuje pouczenie o odpowiedzialności karnej. Art. 233 § 1 Kodeksu karnego przewiduje karę pozbawienia wolności od 6 miesięcy do lat 8, a art. 233 § 6 rozszerza ten przepis na oświadczenia, w których ustawa nakłada obowiązek prawdomówności pod rygorem odpowiedzialności karnej.
Ustawodawca przewidział jednak istotny wyjątek – odpowiedzialność ta nie obejmuje informacji dotyczących zakresów adresów IP oraz zakresów nazw domenowych, których charakter operacyjny powoduje częste zmiany.
Nie zwalnia to jednak z obowiązku zapewnienia pełnej rzetelności i aktualności pozostałych danych przekazywanych do Wykazu KSC.
⚠️ Konsekwencje braku rejestracji
Niedopełnienie obowiązków związanych z wpisem do Wykazu KSC może skutkować naruszeniem obowiązków ustawowych, utrudniać realizację obowiązków wykonywanych za pośrednictwem systemu S46 – w tym komunikację z organami właściwymi oraz raportowanie incydentów – a także prowadzić do nałożenia administracyjnych kar pieniężnych przewidzianych w ustawie.
W kolejnej publikacji omówimy, jakie dane formalne, organizacyjne i techniczne warto przygotować przed rozpoczęciem procesu rejestracji oraz jak uniknąć najczęstszych błędów podczas składania wniosku.
#NIS2 #Cyberbezpieczeństwo #KSC #SystemS46 #Compliance #Prawo #ZarządzanieRyzykiem #Governance #CyberSecurity #NIS2Compliance
Autor:
Jakub Betka,
Ekspert ds. Cyberbezpieczeństwa i bezpieczeństwa informacji
