WKB Lawyers: cyberbezpieczeństwo w sektorze wod-kan - nowe wymogi prawne

Ministerstwo Cyfryzacji odpowiedzialne za projekt ustawy szacuje, że nowe wymogi obejmą około 268 przedsiębiorstw z podsektora zaopatrzenia w wodę pitną oraz 102 z podsektora odprowadzania
ścieków. Potencjalnie nowe obowiązki mogą objąć również dodatkowe podmioty kwalifikowane jako podmioty publiczne.

Nowelizacja ustawy wyróżnia dwie kategorie podmiotów zobowiązanych do stosowania przepisów KSC – podmioty kluczowe i podmioty ważne.

Podmioty kluczowe i ważne będą musiały przede wszystkim:

1. Wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) obejmujący środki techniczne i organizacyjne w obszarze m.in. bezpieczeństwa fizycznego i środowiskowego oraz bezpieczeństwa łańcucha dostaw. Skuteczne wdrożenie SZBI wymagać będzie podjęcia działań zarówno prawnych, jak i technicznych – konieczne może być wdrożenie szeregu procedur (w szczególności w obszarze bezpieczeństwa informacji, ale także np. zarządzania dostawcami) oraz dokonanie przeglądu umów IT;

2. Wdrożyć i utrzymywać niezbędną dokumentację systemów ICT;

3. Zapewnić obsługę i zgłaszanie incydentów wpływających na bezpieczeństwo systemów do właściwego CSIRT sektorowego (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Jak zostało wskazane, obowiązki w zakresie cyberbezpieczeństwa będą spoczywać zasadniczo na podmiotach (osobach prawnych lub innych jednostkach organizacyjnych) kwalifikowanych jako pomioty ważne lub kluczowe. Dyrektywa NIS2, a w ślad za nią również projektowana nowelizacja KSC, przewiduje jednak że za ich realizację bezpośrednio odpowiedzialni będą również kierownicy - członkowie zarządu lub osoby pełniące funkcje kierownicze.

Dodatkowo, podmioty, które będą kwalifikowane jako kluczowe, będą musiały przeprowadzać co 3 lata audyt systemów informatycznych, przy czym pierwszy taki audyt będzie musiał być przeprowadzony w terminie 24 miesięcy.

Projekt nowelizacji ustawy o KSC przewiduje znacznie wyższe kary administracyjne za naruszenie jej przepisów niż obecnie. Sankcje mogą sięgać do 10 mln euro lub 2% przychodów za poprzedni
rok obrotowy (dla podmiotów kluczowych) oraz do 7 mln euro lub 1,4% przychodów za poprzedni rok obrotowy (dla podmiotów ważnych).

Ustawa dopuści również nakładanie indywidualnych kar na kierowników podmiotów kluczowych i ważnych. Wysokość tych kar może wynosić aż do 300% otrzymywanego przez ukaranego wynagrodzenia (w podmiotach publicznych limit ten będzie wynosił 100%).

W związku z tym przed podmiotami podlegającymi pod nową ustawę będzie stało wiele wyzwań – od dokonania samooceny, przez przegląd procesów ICT i wdrożenie SZBI aż po dostosowanie procedur bezpieczeństwa, zakupowych i przegląd umów z dostawcami ICT. Chociaż projekt ustawy oczekuje wciąż na przekazanie pod obrady Sejmu, w ostatnich kilku miesiącach nie zmieniał on istotnie kształtu. Warto zatem jak najwcześniej rozpocząć przygotowania do wdrożenia nowych wymogów cyberbezpieczeństwa. Wiele podmiotów z rynku - mając na względzie skalę obowiązków oraz krótki czas na ich wdrożenie - rozpoczyna proces samooceny oraz dostosowania do nowych przepisów już dziś, jeszcze przed ich formalnym wejściem w życie, co wydaje się być jak najbardziejuzasadnionym podejściem.

[1] Treść najnowszego projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z 16 kwietnia 2025 r. (opublikowanego 6 czerwca 2025 r.) dostępny jest pod adresem https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055232#13055232

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG)