REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?
NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?
shutterstock

REKLAMA

REKLAMA

W dobie rosnących zagrożeń cyfrowych i postępującej cyfryzacji infrastruktury, sektor telekomunikacyjny staje się jednym z głównych filarów bezpieczeństwa cybernetycznego. W związku z tym na dostawców publicznych sieci łączności elektronicznej i dostawców publicznie dostępnych usług łączności elektronicznej (czyli operatorów telekomunikacyjnych), nakładane są coraz bardziej rygorystyczne obowiązki - zarówno na poziomie prawa unijnego (NIS2, DORA), jak i krajowego (nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa – UKSC).

NIS2 – nowe ramy cyberodporności dla operatorów

REKLAMA

Dyrektywa NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) zobowiązuje państwa członkowskie do ustanowienia jednolitych standardów cyberbezpieczeństwa. Operatorzy telekomunikacyjni zostali w niej wprost zaklasyfikowani jako podmioty kluczowe lub ważne w zależności od rodzaju podmiotu, a także wielkości prowadzonego przez nich przedsiębiorstwa.

Zgodnie z art. 3 ust. 1 lit. a) dyrektywy NIS2, podmiotami kluczowymi są podmioty, które przekraczają kryteria przewidziane dla średnich przedsiębiorstw (posiadają status dużych przedsiębiorców) i jednocześnie działają w sektorach uznanych za kluczowe, określonych w załączniku 1 do dyrektywy NIS2. W sektorze „Infrastruktura cyfrowa” wymienieni są wprost m.in. dostawcy publicznych sieci łączności elektronicznej oraz dostawcy publicznie dostępnych usług łączności elektronicznej.

Zgodnie z art. 3 ust. 1 lit. b) dyrektywy NIS2 podmiotami kluczowymi są także dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej (czyli operatorzy telekomunikacyjni), którzy kwalifikują się jako średnie przedsiębiorstwa.

Zgodnie z art. 3 ust. 2, podmiotami ważnymi są te, które należą do sektorów kluczowych lub ważnych, ale nie zostały uznane za podmioty kluczowe w rozumieniu dyrektywy NIS2. Oznacza to, że operatorzy telekomunikacyjni (dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej) działający w sektorze „Infrastruktura cyfrowa”, którzy mają status mikro lub małych przedsiębiorców, powinni zostać zakwalifikowani jako podmioty ważne – zgodnie z art. 2 lit. a) pkt (i) dyrektywy NIS2.

REKLAMA

Wśród obowiązków, które zgodnie z dyrektywą NIS2 zostaną nałożone na operatorów telekomunikacyjnych w drodze implementacji tego aktu unijnego wymienić można = m.in. wdrożenie systemu zarządzania ryzykiem, a także zgłaszanie do CSIRT wczesnych ostrzeżeń o wykrytych incydentach poważnych – 24 godziny od jego wykrycia oraz zgłaszanie samych incydentów – 72 godziny od jego wykrycia, a także przechodzenie przez kontrole organów nadzorczych.

Niedopełnienie wskazanych wymogów grozi karami finansowymi sięgającymi w maksymalnej wysokości 10 mln euro lub 2% rocznego obrotu prowadzonego przez ten podmiot przedsiębiorstwa za poprzedni rok obrotowy w przypadku podmiotu kluczowego, natomiast nałożona na podmiot ważny kara finansowa może wynieść maksymalnie 7 mln euro lub 1,4% obrotu prowadzonego przez ten podmiot przedsiębiorstwa za poprzedni rok obrotowy.

Dyrektywa NIS 2 została przyjęta jako tzw. instrument harmonizacji minimalnej, co oznacza, że państwa członkowskie mogą w ramach jej wdrażania wprowadzać do krajowych przepisów dodatkowe obowiązki, niewynikające wprost z treści samej dyrektywy. W praktyce oznacza to, że ustawodawca krajowy może rozszerzyć zakres regulacji i uszczegółowić wymagania wobec podmiotów objętych Krajowym systemem cyberbezpieczeństwa.

Piąta wersja projektu nowelizacji o Krajowym Systemie Cyberbezpieczeństwa

Choć termin implementacji dyrektywy NIS 2 minął 17 października 2024 r., w Polsce proces legislacyjny wciąż pozostaje w toku. 12 lutego 2025 r. opublikowano piątą wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), mającą na celu wdrożenie przepisów dyrektywy do krajowego porządku prawnego. Nowa wersja wprowadza istotne zmiany względem poprzedniego projektu z grudnia 2024 r., koncentrujące się przede wszystkim na dwóch obszarach:

1) Zakres podmiotowy i obowiązki podmiotów publicznych – projekt przewiduje nową klasyfikację tych podmiotów jako „kluczowe” lub „ważne”, oraz ich obowiązków w obszarze cyberbezpieczeństwa;
2) Środki nadzoru – nowelizacja zakłada rozszerzenie kompetencji organów nadzorczych, a także wprowadzenie zmian w systemie sankcji i mechanizmów kontrolnych.

Rozporządzenie DORA

Oprócz obowiązku implementacji dyrektywy NIS2, Parlament Europejski i Rada Unii Europejskiej przyjęły również rozporządzenie DORA (Rozporządzenie UE 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego), które weszło w życie 17 stycznia 2025 r. i - jako akt bezpośrednio obowiązujący - nie wymaga implementacji do prawa krajowego.

Choć DORA koncentruje się na instytucjach finansowych, ma także istotne znaczenie dla operatorów telekomunikacyjnych, którzy są traktowani jako dostawcy usług ICT - dostarczający infrastrukturę technologiczną niezbędną do działania sektora finansowego. W praktyce oznacza to, że operatorzy współpracujący z bankami, funduszami inwestycyjnymi czy ubezpieczycielami muszą już teraz spełniać wysokie standardy bezpieczeństwa, niezawodności i ciągłości działania usług ICT, poprzez wdrażanie mechanizmów ograniczających ryzyko incydentów ICT oraz zapewniających nieprzerwane świadczenie usług.

Dalszy ciąg materiału pod wideo

Na co muszą przygotować się operatorzy telekomunikacyjni?

1) Audyt systemów bezpieczeństwa - Firmy powinny regularnie weryfikować infrastrukturę IT/OT, identyfikować luki i klasyfikować zasoby krytyczne.
2) Plany reagowania na incydenty - Operatorzy muszą mieć formalne, sprawdzone procedury postępowania na wypadek cyberataku lub awarii.
3) Szkolenia dla kadry - Zarówno zespoły techniczne, jak i menedżerowie muszą znać nowe obowiązki i procedury (np. raportowanie, reakcja na incydenty, współpraca z CSIRT).
4) Monitorowanie zmian prawnych - Ze względu na dynamiczne zmiany legislacyjne, firmy powinny na bieżąco analizować nowe przepisy i dostosowywać wewnętrzne polityki.
5) Gotowość do kontroli i raportowania - Wzmocnienie nadzoru administracyjnego (UKNF, NASK, CSIRT) oznacza konieczność utrzymywania rzetelnej dokumentacji i systematycznego raportowania.

Wdrożenie dyrektywy NIS2, poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) oraz rozporządzenia DORA wyznacza nowy standard cyberodporności w Unii Europejskiej, a sektor telekomunikacyjny znajduje się w samym jego centrum. Polski projekt ustawy wprowadza dalej idące wymagania w stosunku do operatorów telekomunikacyjnychniż unijna dyrektywa - obejmując regulacjami również mniejszych przedsiębiorców, wdrażając 5G Toolbox w sposób szerszy niż w innych państwach UE oraz wprowadzając mechanizmy dotyczące dostawców wysokiego ryzyka (DWR).

Dodatkowo, rozporządzenie DORA, obowiązujące od stycznia 2025 r., wymusiło już na części operatorów telekomunikacyjnych podniesienie standardów usług ICT świadczonych na rzecz instytucji finansowych. Dla operatorów telekomunikacyjnych to czas strategicznych decyzji – od przeprowadzenia audytów bezpieczeństwa i wzmocnienia procedur, przez dostosowanie się do rosnących wymogów dokumentacyjnych, po ścisłe monitorowanie zmian prawnych. Firmy, które odpowiednio wcześnie podejmą działania, nie tylko zminimalizują ryzyko sankcji, ale zyskają realną przewagę w zakresie zaufania i stabilności operacyjnej w coraz bardziej wymagającym środowisku cyfrowym.

Autor: Radca prawny Gabriela Wolsza z kancelarii Brightspot Legal Katarzyna Orzeł, Maciej Jojczyk sp.k.

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
11 lipca świętem państwowym i nowym dniem wolnym od pracy w 2025 r.? Jest podpis Prezydenta pod ustawą

W 2025 r. dzień 11 lipca wypada w piątek. Wielu zaczęło zastanawiać się, czy w związku z tym, że właśnie na 11 lipca uchwalono święto państwowe, będzie to dzień ustawowo wolny od pracy i czy tym samym będzie można mieć dłuższy weekend. Opisujemy jak jest i co to za święto 11 lipca. Informacja jest 100% ponieważ Prezydent podpisał już ustawę.

Sejm na żywo: 8 lipca 2025 [Transmisja online]

38. posiedzenie Sejmu - dzień pierwszy. 8 lipiec 2025 r.

11 lipca 2025 nowym świętem państwowym w Polsce. Czy będzie dniem wolnym od pracy? Co mówi ustawa?

Od lipca 2025 roku w polskim kalendarzu pojawia się nowe święto państwowe – 11 lipca. Tego dnia obchodzony będzie Narodowy Dzień Pamięci o Polakach – Ofiarach ludobójstwa OUN-UPA. Czy oznacza to dzień wolny od pracy? Sprawdź, co dokładnie uchwalono i dlaczego wybrano właśnie tę datę.

Znieważenie córki prezydenta elekta K. Nawrockiego w internecie. Już 6 postępowań prokuratorskich, kilkaset zawiadomień czeka na rozpatrzenie. Rzecznik: „skala jest ogromna"

Prokuratura Rejonowa Warszawa-Mokotów wszczęła sześć postępowań w sprawie znieważania córki prezydenta elekta. Każde postępowanie dotyczy wpisów na osobnej platformie internetowej – poinformował PAP rzecznik Prokuratury Okręgowej w Warszawie prok. Piotr Antoni Skiba.

REKLAMA

Wyższa emerytura dla tysięcy seniorów? Wyrok TK daje nadzieję, ale ZUS odmawia wypłat

Emeryci, którzy przeszli na wcześniejsze świadczenia przed czerwcem 2012 r., mogą stracić nawet kilkadziesiąt tysięcy złotych przez wadliwy przepis. Trybunał Konstytucyjny uznał go za niezgodny z konstytucją, ale ZUS nie wypłaca rekompensat. Dlaczego?

Będzie nowa ustawa o kredycie konsumenckim. Duże zmiany w przepisach od 2026 roku

W dniu 7 lipca 2025 r. na stronach Rządowego Centrum Legislacji opublikowano projekt nowej ustawy o kredycie konsumenckim przygotowany przez Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Nowe przepisy maja wdrożyć do polskiego prawa przepisy dwóch unijnych dyrektyw. Dyrektywy Parlamentu Europejskiego i Rady (UE) 2023/2225 z 18 października 2023 r. w sprawie umów o kredyt konsumencki oraz uchylającej dyrektywę 2008/48/WE, zwanej dalej „dyrektywą 2023/2225”, oraz przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2023/2673 z 22 listopada 2023 r. zmieniającej dyrektywę 2011/83/UE w odniesieniu do umów o usługi finansowe zawieranych na odległość oraz uchylającej dyrektywę 2002/65/WE, zwanej dalej „dyrektywą 2023/2673”. Nowa ustawa o kredycie konsumenckim ma zostać uchwalona jeszcze w 2025 roku, a jej przepisy mają być stosowane najpóźniej od 20 listopada 2026 r.

Emerytura matczyna a zamieszkiwanie za granicą i domicyl

Rodzicielskie świadczenie uzupełniające, tzw. emerytura matczyna, emerytura dla matek (mama 4 plus) ma charakter specjalny - ma za zadanie przeciwdziałać ubóstwu grupie uprawnionych do niego osób, zapewniając im określone (niezbędne) środki po osiągnięciu odpowiedniego wieku. Ale czy zawsze i każdy ma bezwzględne prawo do tego świadczenia? Czy fakt zamieszkiwania w Polsce ma znaczenie? Czy dodatkowe świadczenie do emerytury powinno przysługiwać każdemu bez względu na liczbę dzieci w rodzinie?

Live Nation z zarzutami od UOKiK. Chodzi o zakaz wnoszenia bagażu na imprezę i opłaty za depozyt

Prezes UOKiK sformułował zarzuty wobec spółki Live Nation, podając w wątpliwość zapisy jej regulaminów. Zastrzeżenia dotyczą zakazu wnoszenia bagażu na wydarzenia organizowane przez firmę oraz obowiązku uiszczania opłat za przechowywanie plecaków i torebek w depozycie.

REKLAMA

Nauczycielskie świadczenie kompensacyjne w 2025 roku - ile wynosi i jak uzyskać? Nauczyciele mają wybór ale są konkretne warunki do spełnienia

Zakład Ubezpieczeń Społecznych informuje, że nauczyciele, wychowawcy oraz inni pracownicy pedagogiczni, którzy urodzili się po 1948 roku, nie muszą czekać do 60. roku życia w przypadku kobiet ani do 65. roku życia w przypadku mężczyzn, aby otrzymać świadczenie emerytalne z ZUS-u. Jeśli mają odpowiedni wiek, staż pracy i rozwiązali stosunek pracy, mogą na przykład skorzystać z nauczycielskiego świadczenia kompensacyjnego.

Jesteś na zwolnieniu lekarskim ale nie przebywasz w swoim mieszkaniu? ZUS i pracodawca muszą o tym wiedzieć. Masz 3 dni na zawiadomienie o aktualnym adresie

Jeśli ubezpieczony jest na zwolnieniu lekarskim, musi pamiętać, by wskazać lekarzowi adres, pod którym faktycznie będziesz przebywać w czasie choroby. Jeżeli chory zmienił miejsce pobytu, ma tylko 3 dni, by poinformować o tym swojego pracodawcę i Zakład Ubezpieczeń Społecznych. Inaczej możesz mieć problemy z wypłatą zasiłku.

REKLAMA