REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?

NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
16 czerwca 2025, 15:08
Brightspot Legal Katarzyna Orzeł, Maciej Jojczyk sp.k.
Brightspot Legal Katarzyna Orzeł, Maciej Jojczyk sp.k.
oprac. Paweł Huczko
NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?
NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?
shutterstock

REKLAMA

REKLAMA

W dobie rosnących zagrożeń cyfrowych i postępującej cyfryzacji infrastruktury, sektor telekomunikacyjny staje się jednym z głównych filarów bezpieczeństwa cybernetycznego. W związku z tym na dostawców publicznych sieci łączności elektronicznej i dostawców publicznie dostępnych usług łączności elektronicznej (czyli operatorów telekomunikacyjnych), nakładane są coraz bardziej rygorystyczne obowiązki - zarówno na poziomie prawa unijnego (NIS2, DORA), jak i krajowego (nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa – UKSC).

NIS2 – nowe ramy cyberodporności dla operatorów

Dyrektywa NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) zobowiązuje państwa członkowskie do ustanowienia jednolitych standardów cyberbezpieczeństwa. Operatorzy telekomunikacyjni zostali w niej wprost zaklasyfikowani jako podmioty kluczowe lub ważne w zależności od rodzaju podmiotu, a także wielkości prowadzonego przez nich przedsiębiorstwa.

Zgodnie z art. 3 ust. 1 lit. a) dyrektywy NIS2, podmiotami kluczowymi są podmioty, które przekraczają kryteria przewidziane dla średnich przedsiębiorstw (posiadają status dużych przedsiębiorców) i jednocześnie działają w sektorach uznanych za kluczowe, określonych w załączniku 1 do dyrektywy NIS2. W sektorze „Infrastruktura cyfrowa” wymienieni są wprost m.in. dostawcy publicznych sieci łączności elektronicznej oraz dostawcy publicznie dostępnych usług łączności elektronicznej.

Zgodnie z art. 3 ust. 1 lit. b) dyrektywy NIS2 podmiotami kluczowymi są także dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej (czyli operatorzy telekomunikacyjni), którzy kwalifikują się jako średnie przedsiębiorstwa.

Zgodnie z art. 3 ust. 2, podmiotami ważnymi są te, które należą do sektorów kluczowych lub ważnych, ale nie zostały uznane za podmioty kluczowe w rozumieniu dyrektywy NIS2. Oznacza to, że operatorzy telekomunikacyjni (dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej) działający w sektorze „Infrastruktura cyfrowa”, którzy mają status mikro lub małych przedsiębiorców, powinni zostać zakwalifikowani jako podmioty ważne – zgodnie z art. 2 lit. a) pkt (i) dyrektywy NIS2.

REKLAMA

REKLAMA

Wśród obowiązków, które zgodnie z dyrektywą NIS2 zostaną nałożone na operatorów telekomunikacyjnych w drodze implementacji tego aktu unijnego wymienić można = m.in. wdrożenie systemu zarządzania ryzykiem, a także zgłaszanie do CSIRT wczesnych ostrzeżeń o wykrytych incydentach poważnych – 24 godziny od jego wykrycia oraz zgłaszanie samych incydentów – 72 godziny od jego wykrycia, a także przechodzenie przez kontrole organów nadzorczych.

Niedopełnienie wskazanych wymogów grozi karami finansowymi sięgającymi w maksymalnej wysokości 10 mln euro lub 2% rocznego obrotu prowadzonego przez ten podmiot przedsiębiorstwa za poprzedni rok obrotowy w przypadku podmiotu kluczowego, natomiast nałożona na podmiot ważny kara finansowa może wynieść maksymalnie 7 mln euro lub 1,4% obrotu prowadzonego przez ten podmiot przedsiębiorstwa za poprzedni rok obrotowy.

Dyrektywa NIS 2 została przyjęta jako tzw. instrument harmonizacji minimalnej, co oznacza, że państwa członkowskie mogą w ramach jej wdrażania wprowadzać do krajowych przepisów dodatkowe obowiązki, niewynikające wprost z treści samej dyrektywy. W praktyce oznacza to, że ustawodawca krajowy może rozszerzyć zakres regulacji i uszczegółowić wymagania wobec podmiotów objętych Krajowym systemem cyberbezpieczeństwa.

Piąta wersja projektu nowelizacji o Krajowym Systemie Cyberbezpieczeństwa

Choć termin implementacji dyrektywy NIS 2 minął 17 października 2024 r., w Polsce proces legislacyjny wciąż pozostaje w toku. 12 lutego 2025 r. opublikowano piątą wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), mającą na celu wdrożenie przepisów dyrektywy do krajowego porządku prawnego. Nowa wersja wprowadza istotne zmiany względem poprzedniego projektu z grudnia 2024 r., koncentrujące się przede wszystkim na dwóch obszarach:

1) Zakres podmiotowy i obowiązki podmiotów publicznych – projekt przewiduje nową klasyfikację tych podmiotów jako „kluczowe” lub „ważne”, oraz ich obowiązków w obszarze cyberbezpieczeństwa;
2) Środki nadzoru – nowelizacja zakłada rozszerzenie kompetencji organów nadzorczych, a także wprowadzenie zmian w systemie sankcji i mechanizmów kontrolnych.

REKLAMA

Rozporządzenie DORA

Oprócz obowiązku implementacji dyrektywy NIS2, Parlament Europejski i Rada Unii Europejskiej przyjęły również rozporządzenie DORA (Rozporządzenie UE 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego), które weszło w życie 17 stycznia 2025 r. i - jako akt bezpośrednio obowiązujący - nie wymaga implementacji do prawa krajowego.

Choć DORA koncentruje się na instytucjach finansowych, ma także istotne znaczenie dla operatorów telekomunikacyjnych, którzy są traktowani jako dostawcy usług ICT - dostarczający infrastrukturę technologiczną niezbędną do działania sektora finansowego. W praktyce oznacza to, że operatorzy współpracujący z bankami, funduszami inwestycyjnymi czy ubezpieczycielami muszą już teraz spełniać wysokie standardy bezpieczeństwa, niezawodności i ciągłości działania usług ICT, poprzez wdrażanie mechanizmów ograniczających ryzyko incydentów ICT oraz zapewniających nieprzerwane świadczenie usług.

Dalszy ciąg materiału pod wideo

Na co muszą przygotować się operatorzy telekomunikacyjni?

1) Audyt systemów bezpieczeństwa - Firmy powinny regularnie weryfikować infrastrukturę IT/OT, identyfikować luki i klasyfikować zasoby krytyczne.
2) Plany reagowania na incydenty - Operatorzy muszą mieć formalne, sprawdzone procedury postępowania na wypadek cyberataku lub awarii.
3) Szkolenia dla kadry - Zarówno zespoły techniczne, jak i menedżerowie muszą znać nowe obowiązki i procedury (np. raportowanie, reakcja na incydenty, współpraca z CSIRT).
4) Monitorowanie zmian prawnych - Ze względu na dynamiczne zmiany legislacyjne, firmy powinny na bieżąco analizować nowe przepisy i dostosowywać wewnętrzne polityki.
5) Gotowość do kontroli i raportowania - Wzmocnienie nadzoru administracyjnego (UKNF, NASK, CSIRT) oznacza konieczność utrzymywania rzetelnej dokumentacji i systematycznego raportowania.

Wdrożenie dyrektywy NIS2, poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) oraz rozporządzenia DORA wyznacza nowy standard cyberodporności w Unii Europejskiej, a sektor telekomunikacyjny znajduje się w samym jego centrum. Polski projekt ustawy wprowadza dalej idące wymagania w stosunku do operatorów telekomunikacyjnychniż unijna dyrektywa - obejmując regulacjami również mniejszych przedsiębiorców, wdrażając 5G Toolbox w sposób szerszy niż w innych państwach UE oraz wprowadzając mechanizmy dotyczące dostawców wysokiego ryzyka (DWR).

Dodatkowo, rozporządzenie DORA, obowiązujące od stycznia 2025 r., wymusiło już na części operatorów telekomunikacyjnych podniesienie standardów usług ICT świadczonych na rzecz instytucji finansowych. Dla operatorów telekomunikacyjnych to czas strategicznych decyzji – od przeprowadzenia audytów bezpieczeństwa i wzmocnienia procedur, przez dostosowanie się do rosnących wymogów dokumentacyjnych, po ścisłe monitorowanie zmian prawnych. Firmy, które odpowiednio wcześnie podejmą działania, nie tylko zminimalizują ryzyko sankcji, ale zyskają realną przewagę w zakresie zaufania i stabilności operacyjnej w coraz bardziej wymagającym środowisku cyfrowym.

Autor: Radca prawny Gabriela Wolsza z kancelarii Brightspot Legal Katarzyna Orzeł, Maciej Jojczyk sp.k.

Zobacz również:
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
To świadczenie nie podlega ochronie. To przykra niespodzianka przed urlopem. Komornik zajmie je w całości
26 maja 2026

Czy pracodawca powinien dokonywać potrąceń z należnego pracownikom świadczenia z zfśs? Choć pracownicy często uważają, że jako świadczenie socjalne jest ono spod niej wyłączone, to rzeczywistość jest inna
Ten nadajnik automatycznie przekaże informacje o trybie życia mieszkańców. Co będzie wynikało z profilu grzewczego?
26 maja 2026

Już od 1 stycznia 2027 r. zmienią się zasady rozliczania zużycia wody i ciepła. Z danych dotyczących zużycia będzie można stworzyć profil grzewczy. Czego będzie można się z niego dowiedzieć o mieszkańcach?
Osoby z niepełnosprawnościami coraz częściej pracują. Co z limitami w ZUS?
26 maja 2026

Z informacji przekazanych przez Ministerstwo Rodziny, Pracy i Polityki Społecznej wynika, iż w Polsce rośnie zatrudnienie osób z niepełnosprawnościami. Czy jest szansa na likwidację limitów dorabiania do rent socjalnych i chorobowych?
WZON: Podobno niepełnosprawny dostał miskę z wodą, żeby udowodnił, że potrafi sam umyć ręce. Kazali mu się podrapać po głowie, wstać z łóżka i chodzić po pokoju
26 maja 2026

Mamy przesunięcie w tym co jest ważne dla osoby niepełnosprawnej. Kiedyś najważniejsze było orzeczenie o niepełnosprawności. Dziś w posiadanie tego dokumentu jest tylko wstępem staraniach o np. świadczenie wspierające. Ważniejsze jest wykazanie przed komisją orzeczniczą przyznającą świadczenia faktycznej niesamodzielności. I odbywa się to poprzez pytania i odpowiedzi. Osoby niepełnosprawne mają dziś listy pytań sprawdzających ich samodzielność, które są zadawane w procesie przyznawania punktów, od których zależy wysokość świadczenia wspierającego (albo w ogóle jego przyznanie).

REKLAMA

Zasądzenie kwoty na rzecz małżonków bez solidarności oznacza podział kwoty po połowie - wtedy może być poniżej progu do skargi kasacyjnej
26 maja 2026

Sąd Najwyższy 27 lutego 2026 (I CSK 150/25) odrzucił skargę kasacyjną pozwanego w sprawie, gdzie małżonkowie żądali solidarnego zasądzenia 90 261 zł. Problem? Sąd zasądził tę kwotę, ale bez solidarności – więc z mocy prawa podzieliła się po połowie (art. 379 § 1 k.c.). Każdy małżonek dostał 45 131 zł, czyli poniżej progu 50 000 zł wymaganego dla skargi kasacyjnej. Co to oznacza, gdy majątek jest wspólny?
Najem krótkoterminowy: wysokie zyski czy kosztowna pułapka? Kiedy staje się działalnością gospodarczą?
26 maja 2026

Najem krótkoterminowy w Polsce wciąż jest trochę „między światami”. Nie ma jednej ustawy, która porządkuje go od A do Z, a wszystko zależy od charakteru najmu i jego skali. Oznacza to, że ten sam wynajem może być raz traktowany jako prywatny, innym razem jako działalność gospodarcza, a w pewnych sytuacjach nawet jako coś zbliżonego do usług hotelowych. I właśnie przez tę nieostrość wielu właścicieli porusza się w szarej strefie interpretacyjnej – dopóki nic się nie wydarzy, temat nie istnieje.
Ceny paliwa na środę. Tyle jutro zapłacimy za benzynę i olej napędowy
26 maja 2026

Minister energii wydał nowe obwieszczenie, w którym określił maksymalne ceny detaliczne benzyny i oleju napędowego obowiązujące w środę 27 maja. Czy nadal utrzymuje się tendencja spadkowa cen paliw? Sprawdzamy!
Czy banki celowo dawały kredytobiorcom wadliwe umowy do podpisu? Anatomia systemowego błędu
26 maja 2026

W debacie publicznej na temat wadliwych umów o kredyt konsumencki coraz częściej pojawia się narracja o celowym działaniu banków na szkodę klientów. Jej zwolennicy twierdzą, że instytucje finansowe świadomie wpisywały do umów klauzule niezgodne z prawem, licząc na niewiedzę konsumentów i nikłe prawdopodobieństwo zakwestionowania zapisów. Tezę tę chętnie podchwytują prawnicy reprezentujący kredytobiorców w sporach sądowych. Tymczasem rzeczywistość jest bardziej złożona - i właśnie dlatego bardziej niepokojąca. Jeśli błędy wynikały z chciwości, remedium jest proste: lepsza regulacja i dotkliwe sankcje. Jeśli jednak u ich podstaw leży splot strukturalnych dysfunkcji organizacyjnych, luk kompetencyjnych i nieprecyzyjnych przepisów - problem jest znacznie trudniejszy do wyeliminowania. I znacznie trudniejszy do zapobieżenia w przyszłości. Dlatego rozumiem zarówno stronę kredytobiorców przez których najczęściej przemawiają emocje oraz bankowców, którzy rozliczani są za swoje błędy po wielu latach bez względu na to ile w tych bledach było celowego działania.

REKLAMA

Polska coraz bardziej zależna od cudzoziemców na rynku pracy. Nowe dane
26 maja 2026

W 2025 r. pracujący i mieszkający w Polsce cudzoziemcy zwiększyli nasz PKB od 200 do 416 mld zł, czyli od 5,1 proc. do 10,7 proc. - wynika z raportu „Migracja w Polsce”, którego wyniki publikuje „Rz”.
Pracodawcy żądają rachunków potwierdzających zakup wakacyjnych wyjazdów. Bez tego nie chcą wypłacać pieniędzy. Czy to jest zgodne z prawem?
26 maja 2026

Prawo do świadczeń z ZFŚS budzi wiele emocji. Uprawnieni błędnie zakładają, że należą się one każdemu po równo, a pracodawcy często próbują w uchwalanych regulaminach niezgodnie z prawem ograniczać dostęp do świadczeń. Są też kwestie, których od lat nie udaje się ostatecznie wyjaśnić. Tymczasem każdemu zależy na przysługujących mu pieniądzach.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA