Znaczne nasilenie cyberataków w sektorze wodociągowo - kanalizacyjnym pokazało, że odpowiednie środki cyberbezpieczeństwa i regulacje prawne w zakresie cyberodporności są konieczne, aby sprostać sektorowym wyzwaniom w tym obszarze. Z pewnością przyczyni się do tego nadchodząca wielkimi krokami nowelizacja KSC[1], wdrażająca Dyrektywę NIS2[2], która istotnie rozszerzy zakres podmiotów z sektora wodno-kanalizacyjnego zobowiązanych do wdrożenia takich środków.
Ministerstwo Cyfryzacji odpowiedzialne za projekt ustawy szacuje, że nowe wymogi obejmą około 268 przedsiębiorstw z podsektora zaopatrzenia w wodę pitną oraz 102 z podsektora odprowadzania ścieków. Potencjalnie nowe obowiązki mogą objąć również dodatkowe podmioty kwalifikowane jako podmioty publiczne.
Nowelizacja ustawy wyróżnia dwie kategorie podmiotów zobowiązanych do stosowania przepisów KSC – podmioty kluczowe i podmioty ważne.
Podmioty kluczowe i ważne będą musiały przede wszystkim:
1. Wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) obejmujący środki techniczne i organizacyjne w obszarze m.in. bezpieczeństwa fizycznego i środowiskowego oraz bezpieczeństwa łańcucha dostaw. Skuteczne wdrożenie SZBI wymagać będzie podjęcia działań zarówno prawnych, jak i technicznych – konieczne może być wdrożenie szeregu procedur (w szczególności w obszarze bezpieczeństwa informacji, ale także np. zarządzania dostawcami) oraz dokonanie przeglądu umów IT;
2. Wdrożyć i utrzymywać niezbędną dokumentację systemów ICT;
3. Zapewnić obsługę i zgłaszanie incydentów wpływających na bezpieczeństwo systemów do właściwego CSIRT sektorowego (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego).
Jak zostało wskazane, obowiązki w zakresie cyberbezpieczeństwa będą spoczywać zasadniczo na podmiotach (osobach prawnych lub innych jednostkach organizacyjnych) kwalifikowanych jako pomioty ważne lub kluczowe. Dyrektywa NIS2, a w ślad za nią również projektowana nowelizacja KSC, przewiduje jednak że za ich realizację bezpośrednio odpowiedzialni będą również kierownicy - członkowie zarządu lub osoby pełniące funkcje kierownicze.
Dodatkowo, podmioty, które będą kwalifikowane jako kluczowe, będą musiały przeprowadzać co 3 lata audyt systemów informatycznych, przy czym pierwszy taki audyt będzie musiał być przeprowadzony w terminie 24 miesięcy.
Projekt nowelizacji ustawy o KSC przewiduje znacznie wyższe kary administracyjne za naruszenie jej przepisów niż obecnie. Sankcje mogą sięgać do 10 mln euro lub 2% przychodów za poprzedni rok obrotowy (dla podmiotów kluczowych) oraz do 7 mln euro lub 1,4% przychodów za poprzedni rok obrotowy (dla podmiotów ważnych).
Ustawa dopuści również nakładanie indywidualnych kar na kierowników podmiotów kluczowych i ważnych. Wysokość tych kar może wynosić aż do 300% otrzymywanego przez ukaranego wynagrodzenia (w podmiotach publicznych limit ten będzie wynosił 100%).
W związku z tym przed podmiotami podlegającymi pod nową ustawę będzie stało wiele wyzwań – od dokonania samooceny, przez przegląd procesów ICT i wdrożenie SZBI aż po dostosowanie procedur bezpieczeństwa, zakupowych i przegląd umów z dostawcami ICT. Chociaż projekt ustawy oczekuje wciąż na przekazanie pod obrady Sejmu, w ostatnich kilku miesiącach nie zmieniał on istotnie kształtu. Warto zatem jak najwcześniej rozpocząć przygotowania do wdrożenia nowych wymogów cyberbezpieczeństwa. Wiele podmiotów z rynku - mając na względzie skalę obowiązków oraz krótki czas na ich wdrożenie - rozpoczyna proces samooceny oraz dostosowania do nowych przepisów już dziś, jeszcze przed ich formalnym wejściem w życie, co wydaje się być jak najbardziejuzasadnionym podejściem.
[1] Treść najnowszego projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z 16 kwietnia 2025 r. (opublikowanego 6 czerwca 2025 r.) dostępny jest pod adresem https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055232#13055232
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG)
Podanie adresu e-mail oraz wciśnięcie ‘OK’ jest równoznaczne z wyrażeniem
zgody na:
przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w
Warszawie, adres: Sielecka 35, 00-738 Warszawa na podany adres e-mail newsletterów
zawierających informacje branżowe, marketingowe oraz handlowe.
przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w
Warszawie, adres: Sielecka 35, 00-738 Warszawa (dalej: TOR), na podany adres e-mail informacji
handlowych pochodzących od innych niż TOR podmiotów.
Podanie adresu email oraz wyrażenie zgody jest całkowicie dobrowolne. Podającemu przysługuje prawo do wglądu
w swoje dane osobowe przetwarzane przez Zespół Doradców Gospodarczych TOR sp. z o. o. z
siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa oraz ich poprawiania.