REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?
NIS2, DORA, nowelizacja ustawy o KSC – jak operatorzy telekomunikacyjni powinni zapewnić cyberbezpieczeństwo klientom?
shutterstock

REKLAMA

REKLAMA

W dobie rosnących zagrożeń cyfrowych i postępującej cyfryzacji infrastruktury, sektor telekomunikacyjny staje się jednym z głównych filarów bezpieczeństwa cybernetycznego. W związku z tym na dostawców publicznych sieci łączności elektronicznej i dostawców publicznie dostępnych usług łączności elektronicznej (czyli operatorów telekomunikacyjnych), nakładane są coraz bardziej rygorystyczne obowiązki - zarówno na poziomie prawa unijnego (NIS2, DORA), jak i krajowego (nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa – UKSC).

NIS2 – nowe ramy cyberodporności dla operatorów

REKLAMA

Dyrektywa NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) zobowiązuje państwa członkowskie do ustanowienia jednolitych standardów cyberbezpieczeństwa. Operatorzy telekomunikacyjni zostali w niej wprost zaklasyfikowani jako podmioty kluczowe lub ważne w zależności od rodzaju podmiotu, a także wielkości prowadzonego przez nich przedsiębiorstwa.

Zgodnie z art. 3 ust. 1 lit. a) dyrektywy NIS2, podmiotami kluczowymi są podmioty, które przekraczają kryteria przewidziane dla średnich przedsiębiorstw (posiadają status dużych przedsiębiorców) i jednocześnie działają w sektorach uznanych za kluczowe, określonych w załączniku 1 do dyrektywy NIS2. W sektorze „Infrastruktura cyfrowa” wymienieni są wprost m.in. dostawcy publicznych sieci łączności elektronicznej oraz dostawcy publicznie dostępnych usług łączności elektronicznej.

Zgodnie z art. 3 ust. 1 lit. b) dyrektywy NIS2 podmiotami kluczowymi są także dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej (czyli operatorzy telekomunikacyjni), którzy kwalifikują się jako średnie przedsiębiorstwa.

Zgodnie z art. 3 ust. 2, podmiotami ważnymi są te, które należą do sektorów kluczowych lub ważnych, ale nie zostały uznane za podmioty kluczowe w rozumieniu dyrektywy NIS2. Oznacza to, że operatorzy telekomunikacyjni (dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej) działający w sektorze „Infrastruktura cyfrowa”, którzy mają status mikro lub małych przedsiębiorców, powinni zostać zakwalifikowani jako podmioty ważne – zgodnie z art. 2 lit. a) pkt (i) dyrektywy NIS2.

REKLAMA

Wśród obowiązków, które zgodnie z dyrektywą NIS2 zostaną nałożone na operatorów telekomunikacyjnych w drodze implementacji tego aktu unijnego wymienić można = m.in. wdrożenie systemu zarządzania ryzykiem, a także zgłaszanie do CSIRT wczesnych ostrzeżeń o wykrytych incydentach poważnych – 24 godziny od jego wykrycia oraz zgłaszanie samych incydentów – 72 godziny od jego wykrycia, a także przechodzenie przez kontrole organów nadzorczych.

Niedopełnienie wskazanych wymogów grozi karami finansowymi sięgającymi w maksymalnej wysokości 10 mln euro lub 2% rocznego obrotu prowadzonego przez ten podmiot przedsiębiorstwa za poprzedni rok obrotowy w przypadku podmiotu kluczowego, natomiast nałożona na podmiot ważny kara finansowa może wynieść maksymalnie 7 mln euro lub 1,4% obrotu prowadzonego przez ten podmiot przedsiębiorstwa za poprzedni rok obrotowy.

Dyrektywa NIS 2 została przyjęta jako tzw. instrument harmonizacji minimalnej, co oznacza, że państwa członkowskie mogą w ramach jej wdrażania wprowadzać do krajowych przepisów dodatkowe obowiązki, niewynikające wprost z treści samej dyrektywy. W praktyce oznacza to, że ustawodawca krajowy może rozszerzyć zakres regulacji i uszczegółowić wymagania wobec podmiotów objętych Krajowym systemem cyberbezpieczeństwa.

Piąta wersja projektu nowelizacji o Krajowym Systemie Cyberbezpieczeństwa

Choć termin implementacji dyrektywy NIS 2 minął 17 października 2024 r., w Polsce proces legislacyjny wciąż pozostaje w toku. 12 lutego 2025 r. opublikowano piątą wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), mającą na celu wdrożenie przepisów dyrektywy do krajowego porządku prawnego. Nowa wersja wprowadza istotne zmiany względem poprzedniego projektu z grudnia 2024 r., koncentrujące się przede wszystkim na dwóch obszarach:

1) Zakres podmiotowy i obowiązki podmiotów publicznych – projekt przewiduje nową klasyfikację tych podmiotów jako „kluczowe” lub „ważne”, oraz ich obowiązków w obszarze cyberbezpieczeństwa;
2) Środki nadzoru – nowelizacja zakłada rozszerzenie kompetencji organów nadzorczych, a także wprowadzenie zmian w systemie sankcji i mechanizmów kontrolnych.

Rozporządzenie DORA

Oprócz obowiązku implementacji dyrektywy NIS2, Parlament Europejski i Rada Unii Europejskiej przyjęły również rozporządzenie DORA (Rozporządzenie UE 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego), które weszło w życie 17 stycznia 2025 r. i - jako akt bezpośrednio obowiązujący - nie wymaga implementacji do prawa krajowego.

Choć DORA koncentruje się na instytucjach finansowych, ma także istotne znaczenie dla operatorów telekomunikacyjnych, którzy są traktowani jako dostawcy usług ICT - dostarczający infrastrukturę technologiczną niezbędną do działania sektora finansowego. W praktyce oznacza to, że operatorzy współpracujący z bankami, funduszami inwestycyjnymi czy ubezpieczycielami muszą już teraz spełniać wysokie standardy bezpieczeństwa, niezawodności i ciągłości działania usług ICT, poprzez wdrażanie mechanizmów ograniczających ryzyko incydentów ICT oraz zapewniających nieprzerwane świadczenie usług.

Dalszy ciąg materiału pod wideo

Na co muszą przygotować się operatorzy telekomunikacyjni?

1) Audyt systemów bezpieczeństwa - Firmy powinny regularnie weryfikować infrastrukturę IT/OT, identyfikować luki i klasyfikować zasoby krytyczne.
2) Plany reagowania na incydenty - Operatorzy muszą mieć formalne, sprawdzone procedury postępowania na wypadek cyberataku lub awarii.
3) Szkolenia dla kadry - Zarówno zespoły techniczne, jak i menedżerowie muszą znać nowe obowiązki i procedury (np. raportowanie, reakcja na incydenty, współpraca z CSIRT).
4) Monitorowanie zmian prawnych - Ze względu na dynamiczne zmiany legislacyjne, firmy powinny na bieżąco analizować nowe przepisy i dostosowywać wewnętrzne polityki.
5) Gotowość do kontroli i raportowania - Wzmocnienie nadzoru administracyjnego (UKNF, NASK, CSIRT) oznacza konieczność utrzymywania rzetelnej dokumentacji i systematycznego raportowania.

Wdrożenie dyrektywy NIS2, poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) oraz rozporządzenia DORA wyznacza nowy standard cyberodporności w Unii Europejskiej, a sektor telekomunikacyjny znajduje się w samym jego centrum. Polski projekt ustawy wprowadza dalej idące wymagania w stosunku do operatorów telekomunikacyjnychniż unijna dyrektywa - obejmując regulacjami również mniejszych przedsiębiorców, wdrażając 5G Toolbox w sposób szerszy niż w innych państwach UE oraz wprowadzając mechanizmy dotyczące dostawców wysokiego ryzyka (DWR).

Dodatkowo, rozporządzenie DORA, obowiązujące od stycznia 2025 r., wymusiło już na części operatorów telekomunikacyjnych podniesienie standardów usług ICT świadczonych na rzecz instytucji finansowych. Dla operatorów telekomunikacyjnych to czas strategicznych decyzji – od przeprowadzenia audytów bezpieczeństwa i wzmocnienia procedur, przez dostosowanie się do rosnących wymogów dokumentacyjnych, po ścisłe monitorowanie zmian prawnych. Firmy, które odpowiednio wcześnie podejmą działania, nie tylko zminimalizują ryzyko sankcji, ale zyskają realną przewagę w zakresie zaufania i stabilności operacyjnej w coraz bardziej wymagającym środowisku cyfrowym.

Autor: Radca prawny Gabriela Wolsza z kancelarii Brightspot Legal Katarzyna Orzeł, Maciej Jojczyk sp.k.

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
14. emerytura z KRUS - ile i dla kogo w 2025 roku. Kiedy wypłata?

Kasa Rolniczego Ubezpieczenia Społecznego poinformowała w komunikacie, że dodatkowe roczne świadczenie pieniężne dla emerytów i rencistów, potocznie zwane "czternastą emeryturą", będzie w 2025 roku wypłacone we wrześniu, podobnie jak w poprzednich dwóch latach. Kto ma prawo do tego świadczenia, ile wyniesie w tym roku?

Rachunki uśpione wreszcie dostępne dla spadkobierców! Prezydent podpisał nowelę Prawa bankowego

Prezydent Karol Nawrocki podpisał nowelizację Prawa bankowego, która umożliwia szybkie zamknięcie tzw. „rachunków uśpionych” i ułatwia spadkobiercom dostęp do środków po zmarłych. Równocześnie przyjął ustawę wydłużającą terminy na przechowywanie nawozów naturalnych w gospodarstwach rolnych, a zdecydowanie zawetował przepisy obniżające kary za przestępstwa skarbowe.

Umowa szkoleniowa (tzw. „Lojalka”) – zasady, terminy, plusy i minusy. Kiedy trzeba dać pracownikowi urlop szkoleniowy?

Sfinansowanie przez pracodawcę kosztownego szkolenia czy studiów pracownika to inwestycja. W naturalny sposób rodzi się pytanie: co jeśli pracownik po zakończeniu nauki szybko odejdzie z firmy? Jednym z narzędzi, które mają chronić pracodawcę przed stratą takiej inwestycji, jest umowa szkoleniowa, potocznie nazywana lojalką.

Świadczenia alimentacyjne. MRPiPS zapowiada ważną zmianę

Wprawdzie kryterium dochodowe pozostanie, ale ma podlegać corocznej waloryzacji. Aktualnie próg dochodowy dla świadczeń z funduszu alimentacyjnego zmienia się raz na trzy lata.

REKLAMA

Nawet 6,3 tys. zł miesięcznie dla studentów tych uczelni. MON już uszczelnia przepisy!

Studia wojskowe kuszą wysokim uposażeniem już od pierwszego roku, jednak atrakcyjny system sprzyja nadużyciom. MON wprowadza zmiany i uszczelnia przepisy, by ograniczyć rezygnacje studentów-żołnierzy oraz straty dla budżetu państwa.

500 plus dla małżeństw i niezwykłe jubileusze! Czy najstarsze pary w Polsce doczekają się gratyfikacji?

„500 plus dla małżeństw” – tak w skrócie określa się projekt jubileuszowej gratyfikacji, która ma nagradzać pary z wyjątkowo długim stażem. W Polsce nie brakuje małżeństw obchodzących złote, diamentowe czy brylantowe gody, a dziś znamy nawet parę, która wspólnie przeżyła 79 lat! Czy nowe świadczenie finansowe – od 5000 do 8000 zł – stanie się formą docenienia ich miłości i wytrwałości?

W 2025 r. emeryci pokrzywdzeni waloryzacją 9,49% subkonta ZUS. W 2026 r. nie będzie lepiej

Przez lata konto główne w ZUS miało wyższą waloryzacją (np. 14,41% w 2025 r.) niż subkonto ZUS (np. 9,49% w 2025 r.). Sejm zajmie się propozycją zrównania tych wartości i to wstecznie (aż od 2014 r.). To są spore pieniądze. Propozycja obywatela jest uczciwa, ale należy ocenić szanse jej przeprowadzenia przez parlament na 0%. Ta petycja obywatela będzie procedowana przez odpowiednią komisję, ale konkluzja będzie najpewniej taka „Niestety, nie ma na to pieniędzy w budżecie”.

Krótszy czas pracy w Polsce. Ministerstwo ujawniło pierwsze dane z pilotażu

W trakcie pierwszego tygodnia od rozpoczęcia pilotażu skrócenia czasu pracy do Ministerstwa Rodziny, Pracy i Polityki Społecznej wpłynęło 150 kompletnych wniosków od pracodawców, którzy chcieliby wziąć udział w programie. Kolejne są w trakcie przygotowywania.

REKLAMA

Duże zmiany w Karcie Nauczyciela od września 2025 r. M.in. godziny ponadwymiarowe, nagrody, odprawy ochrona przedemerytalna. Prezydent podpisał nowelizację

W dniu 21 sierpnia 2025 r. Prezydent RP podpisał ustawę z 25 lipca 2025 r. o zmianie ustawy – Karta nauczyciela oraz niektórych innych ustaw. Nowe przepisy mają w większości wejść w życie 1 września 2025 r. Nowelizacja ta zmienia także kilka innych ustaw - np. ustawę o nauczycielskich świadczeniach kompensacyjnych i Prawo oświatowe.

Sprzedaż spadku z problemami. Notariusze ostrzegają przed pułapkami w nowych przepisach. Czy będą odmawiać sporządzania aktów notarialnych?

Kolejna nowelizacja ustawy o podatku od spadków i darowizn, choć w założeniu ma ograniczyć biurokrację, w praktyce może prowadzić do licznych problemów interpretacyjnych – ostrzegają notariusze z Izby Notarialnej w Poznaniu. Chodzi o ustawę z 25 lipca 2025 r. o zmianie ustawy o podatku od spadków i darowizn, która weszła w życie 20 sierpnia 2025 r.

REKLAMA