Jednym z takich rozwiązań jest przyznanie organowi właściwemu kompetencji do nadania decyzji o wymierzeniu kary rygoru natychmiastowej wykonalności w całości lub w części. Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego. W przeciwieństwie do obecnie obowiązujących przepisów ustawy, które przewidują, że Strategia ustalana jest na okres pięciu lat, z możliwością wprowadzenia zmian w okresie jej obowiązywania, w nowelizacji nie wskazano okresu, na który ma ona zostać uchwalona. Przy doborze nakazów lub zakazów z powyższego katalogu niezbędne jest uwzględnienie adekwatności środków, co w szczególności powinno wynikać z analizy przeprowadzanej przez ministra we współpracy z ZIK. Jeżeli potrzebujecie wsparcia w audytach, testach bezpieczeństwa lub wdrożeniu niezbędnych systemów zgodnych z nowymi przepisami, nasz zespół inżynierów służy pomocą.

Co dalej z nowelizacją ustawy o KSC?

Wykonywanie oceny bezpieczeństwa oraz identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych i powiadamianie ich właścicieli o wykrytych podatnościach oraz cyberzagrożeniach. CSIRT sektorowy, który przyjął wczesne ostrzeżenie, może także zwrócić się do zgłaszającego podmiotu o uzupełnienie potrzebnych informacji, w tym tych stanowiących tajemnice prawnie chronione, w zakresie niezbędnym do realizacji ustawowych zadań. Nowe przepisy rozszerzają także odpowiedzialność kierownictwa organizacji – osoby zarządzające mogą zostać ukarane indywidualnie, a maksymalna kara może wynieść nawet 300% ich wynagrodzenia. Zaproponowane rozwiązania umożliwią szybszą reakcję na ataki cyfrowe w kluczowych sektorach gospodarki. Dzięki inwestycjom w sprzęt oraz zwiększeniu finansowania kadr IT, wzrośnie odporność systemów informatycznych. Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem.

Założeniem jest, aby nowe regulacje zostały przyjęte jeszcze w tym roku. Znowelizowana wersja ustawy przewiduje, że organy właściwe mogą, samodzielnie lub wspólnie, tworzyć metodyki nadzoru, określające szczegółowy sposób jego sprawowania nad podmiotami kluczowymi i ważnymi, w tym zakres i przyjęte kryteria oceny. Skuteczność metodyk powinna być co dwa lata oceniana przez organy właściwe w oparciu o ocenę efektywności. Stroną postępowania uznania za HRV jest każdy wobec kogo wszczęto postępowanie – czyli kto został zawiadomiony lub który jest wskazany w BIP na stronie ministra właściwego ds.

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw

Czas na jej wdrożenie do krajowych porządków prawnych mija 17 października 2024 roku. Na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)1. Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 22. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

Czwarta wersja projektu nowelizacji ustawy o KSC (grudzień 2024 r.)

W przypadku   gdy podmiot ich nie dostarczy lub będą one niewystarczające, organ właściwy ustali podstawę wymiaru kary pieniężnej w sposób szacunkowy, uwzględniając w szczególności wielkość danego podmiotu, specyfikę jego działalności lub ogólnodostępne dane finansowe. Opinia Kolegium w sprawie decyzji musi zawierać analizę szeregu kwestii, mających związek z celem wszczęcia postępowania. Ta ostatnia kwestia uwzględniać musi rozważenie przepisów prawa oraz praktyk ich stosowania w zakresie regulującym stosunki pomiędzy dostawcą a krajem spoza UE i NATO.

Nowe przepisy przeformułowują niektóre z obszarów, które mają zostać określone w Strategii – m. Dodany został zapis o konieczności wskazania mechanizmu służącego określeniu istotnych zasobów i szacowaniu ryzyka. Jednocześnie, szef resortu cyfryzacji zwrócił uwagę na problem luki kompetencyjnej, a także potrzebę przeznaczenia większej ilości środków na wykształcenie kompetencji cyfrowych, wiedzy o cyberzagrożeniach oraz higieny cyfrowej w społeczeństwie. Jednym z przykładów jest zastrzeżenie numeru PESEL – spośród 10 mln użytkowników mObywatela, tylko 6 mln wykonało tę czynność – oraz testy wewnętrzne Ministerstwa. Na początku pierwszego tygodnia listopada, w Kancelarii Prezesa Rady Ministrów odbyło się VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej.

Obowiązkiem jest także zawarcie analizy treści wydanych przez Pełnomocnika Rządu ds. Projekt nowelizacji zawiera propozycję mechanizmu uznania za dostawcę wysokiego ryzyka określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych. W szczególności chodzi tutaj, zgodni z uzasadnieniem do projektu, o sytuację zagrożenia bezpieczeństwa kluczowych podmiotów w Polsce, a przez to w konsekwencji także funkcjonowaniu państwa. Proponowana procedura jest odpowiedzią na zidentyfikowane tak na poziomie krajowym, jak i unijnym, ryzyka związane choćby z rozwojem sieci 5G, niskiej jakości lub nieadekwatnie zabezpieczonych względem zagrożeń produktów i rozwiązań, a także coraz poważniejszych cyberzagrożeń.

• Nowelizacja odchodzi jednak od tej zasady i wprowadza samoidentyfikację podmiotów kluczowych i ważnych, nakładając na nie obowiązek samodzielnej rejestracji w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji.
• Według wicepremiera, takie sytuacje pokazują wystarczająco, że potrzebny jest wspólny system do komunikacji, zarządzania wiedzą i reagowania.
• Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony.
• Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych innych podmiotów.
• Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Dotychczas posiadanie certyfikacji ISO często uznawano za wystarczające do spełnienia wymagań ustawy, jednak nowe przepisy mogą wymagać dodatkowych sektorowych wytycznych dostosowanych do specyfiki danej branży. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, przedłożony przez Ministra Cyfryzacji. Decyzję o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także – opcjonalnie – organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów.

• Wprowadza ona istotne zmiany w zakresie obowiązków dotyczących zapewnienia ochrony przed cyberzagrożeniami i w znacznym stopniu będzie dotyczyła także sektora zdrowotnego.
• W związku z tym, rozszerza on krąg podmiotów objętych przepisami ustawy oraz katalog obowiązków, które powinny one spełniać.
• Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów.
• Termin na to wynosi 2 miesiące od dnia, w którym decyzja została ogłoszona w dzienniku urzędowym ministra właściwego do spraw informatyzacji.

W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego lub ważnego mogą stanowić naruszenie przepisów ustawy, organ właściwy kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem. Wskazuje w nim czynności, jakie podmiot powinien podjąć, aby zapobiec takim naruszeniom lub ich zaprzestać. Podmiotem uprawnionym do wszczęcia postępowania za dostawcę wysokiego ryzyka (HRV) jest minister właściwy ds. Może to nastąpić z urzędu lub na wniosek przewodniczącego Kolegium do Spraw Cyberbezpieczeństwa. Postępowanie musi być wszczęte w określonym ustawowo celu – ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.

Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:

Ponadto dyrektor RCB, szef ABW oraz minister mogą fakultatywnie wzywać podmioty objęte poleceniem lub organy administracji publicznej do udzielenia informacji niezbędnych do przeprowadzenia analizy. Dodatkowym uprawnieniem dyrektora RCB jest także możliwość zaproszenia przedstawicieli wspomnianych podmiotów lub organów do udziału w pracach lub posiedzeniach ZIK w związku z przygotowywaniem analizy. Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów.

Uwagi do projektu w ramach konsultacji publicznych można przesyłać na adres e-mail Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu. Wykaz będzie prowadzony w systemie teleinformatycznym S46, a wnioski do niego składane mają być w formie elektronicznej, również z wykorzystaniem tego systemu. Świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy. Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje.

W przypadku wystąpienia incydentu krytycznego minister właściwy do spraw informatyzacji może fakultatywnie wydać w drodze decyzji polecenie zabezpieczające. Dotyczy ono nieokreślonej liczby podmiotów kluczowych i ważnych, a strony zawiadamia się o czynnościach w sprawie poprzez publiczne udostępnienie informacji w Biuletynie Informacji Publicznej ministra właściwego do spraw informatyzacji. Jest ogłaszane w dzienniku urzędowym ministra i udostępnia się o nim informacje na stronie internetowej urzędu go obsługującego. Polecenie podlega natychmiastowej wykonalności, a uznaje się je za doręczone z chwilą jego ogłoszenia.

Do czasu osiągnięcia zdolności operacyjnej przez CSIRT sektorowe, podmioty kluczowe i ważne będą jednak zgłaszały incydenty poważne do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, tak jak obecnie. Część informacji w wykazie będzie uzupełniana z urzędu przez ministra właściwego do spraw informatyzacji. Nowe przepisy określają warunki objęcia danego podmiotu obowiązkami wynikającymi z ustawy, a także procedurę umieszczenia go w wykazie podmiotów kluczowych lub ważnych.

– W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci – od ministra cyfryzacji, przez pełnomocnika rządu, aż po zespoły CSIRT. Nowe kompetencje pozwolą im działać sprawniej, skuteczniej i bliżej realnych potrzeb obywateli oraz gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski. Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. Odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach.

Podmioty kluczowe i podmioty ważne – więcej odpowiedzialności, mniej ryzyka

Takie rozwiązanie zapewnia elastyczność i pozwala dopasować zabezpieczenia do charakteru i skali działania organizacji. Podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu S46 bezpośrednio do odpowiednich zespołów CSIRT. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia w poszczególnych obszarach. Pozwolą też zbudować bazę wiedzy o zagrożeniach i podatnościach danego sektora.

Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Ponadto, podmioty kluczowe i ważne mają obowiązek przekazywania, na żądanie organu właściwego, danych, FXALL i TradeWeb Markets w celu współpracy nad rozwiązaniami zabezpieczającymi rynki wschodzące informacji i dokumentów niezbędnych do wykonywania przez organ jego ustawowych uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli. Żądanie organu powinno być proporcjonalne do celu, któremu ma służyć oraz zawierać m. Wskazanie zakresu żądanych danych, informacji lub dokumentów oraz uzasadnienie. W opiniowaniu w sprawach z zakresu uznania za HRV uczestniczy także Kolegium – musi zostać poproszone o opinię przez ministra właściwego ds. Termin na jej sporządzenie wynosi 3 miesiące od dnia, kiedy minister o nią wystąpi.

Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności. Do tej pory powstały dwa takie zespoły – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia). Nowelizacja wprowadza zupełnie nowe brzmienie art. 5, definiując podmiot kluczowy i podmiot ważny. W nowym podejściu podmiot kluczowy to nie tylko organizacja świadcząca usługi kluczowe, ale także dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, rejestry domen najwyższego poziomu (TLD) czy kwalifikowani dostawcy usług zaufania. Podmiotem kluczowym może być również podmiot publiczny wskazany w załączniku do ustawy lub jednostka państwowa.

Jednym z takich rozwiązań jest przyznanie organowi właściwemu kompetencji do nadania decyzji o wymierzeniu kary rygoru natychmiastowej wykonalności w całości lub w części. Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego. W przeciwieństwie do obecnie obowiązujących przepisów ustawy, które przewidują, że Strategia ustalana jest na okres pięciu lat, z możliwością wprowadzenia zmian w okresie jej obowiązywania, w nowelizacji nie wskazano okresu, na który ma ona zostać uchwalona. Przy doborze nakazów lub zakazów z powyższego katalogu niezbędne jest uwzględnienie adekwatności środków, co w szczególności powinno wynikać z analizy przeprowadzanej przez ministra we współpracy z ZIK. Jeżeli potrzebujecie wsparcia w audytach, testach bezpieczeństwa lub wdrożeniu niezbędnych systemów zgodnych z nowymi przepisami, nasz zespół inżynierów służy pomocą.

Co dalej z nowelizacją ustawy o KSC?

Wykonywanie oceny bezpieczeństwa oraz identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych i powiadamianie ich właścicieli o wykrytych podatnościach oraz cyberzagrożeniach. CSIRT sektorowy, który przyjął wczesne ostrzeżenie, może także zwrócić się do zgłaszającego podmiotu o uzupełnienie potrzebnych informacji, w tym tych stanowiących tajemnice prawnie chronione, w zakresie niezbędnym do realizacji ustawowych zadań. Nowe przepisy rozszerzają także odpowiedzialność kierownictwa organizacji – osoby zarządzające mogą zostać ukarane indywidualnie, a maksymalna kara może wynieść nawet 300% ich wynagrodzenia. Zaproponowane rozwiązania umożliwią szybszą reakcję na ataki cyfrowe w kluczowych sektorach gospodarki. Dzięki inwestycjom w sprzęt oraz zwiększeniu finansowania kadr IT, wzrośnie odporność systemów informatycznych. Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem.

Założeniem jest, aby nowe regulacje zostały przyjęte jeszcze w tym roku. Znowelizowana wersja ustawy przewiduje, że organy właściwe mogą, samodzielnie lub wspólnie, tworzyć metodyki nadzoru, określające szczegółowy sposób jego sprawowania nad podmiotami kluczowymi i ważnymi, w tym zakres i przyjęte kryteria oceny. Skuteczność metodyk powinna być co dwa lata oceniana przez organy właściwe w oparciu o ocenę efektywności. Stroną postępowania uznania za HRV jest każdy wobec kogo wszczęto postępowanie – czyli kto został zawiadomiony lub który jest wskazany w BIP na stronie ministra właściwego ds.

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw

Czas na jej wdrożenie do krajowych porządków prawnych mija 17 października 2024 roku. Na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)1. Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 22. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

Czwarta wersja projektu nowelizacji ustawy o KSC (grudzień 2024 r.)

W przypadku   gdy podmiot ich nie dostarczy lub będą one niewystarczające, organ właściwy ustali podstawę wymiaru kary pieniężnej w sposób szacunkowy, uwzględniając w szczególności wielkość danego podmiotu, specyfikę jego działalności lub ogólnodostępne dane finansowe. Opinia Kolegium w sprawie decyzji musi zawierać analizę szeregu kwestii, mających związek z celem wszczęcia postępowania. Ta ostatnia kwestia uwzględniać musi rozważenie przepisów prawa oraz praktyk ich stosowania w zakresie regulującym stosunki pomiędzy dostawcą a krajem spoza UE i NATO.

Nowe przepisy przeformułowują niektóre z obszarów, które mają zostać określone w Strategii – m. Dodany został zapis o konieczności wskazania mechanizmu służącego określeniu istotnych zasobów i szacowaniu ryzyka. Jednocześnie, szef resortu cyfryzacji zwrócił uwagę na problem luki kompetencyjnej, a także potrzebę przeznaczenia większej ilości środków na wykształcenie kompetencji cyfrowych, wiedzy o cyberzagrożeniach oraz higieny cyfrowej w społeczeństwie. Jednym z przykładów jest zastrzeżenie numeru PESEL – spośród 10 mln użytkowników mObywatela, tylko 6 mln wykonało tę czynność – oraz testy wewnętrzne Ministerstwa. Na początku pierwszego tygodnia listopada, w Kancelarii Prezesa Rady Ministrów odbyło się VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej.

Obowiązkiem jest także zawarcie analizy treści wydanych przez Pełnomocnika Rządu ds. Projekt nowelizacji zawiera propozycję mechanizmu uznania za dostawcę wysokiego ryzyka określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych. W szczególności chodzi tutaj, zgodni z uzasadnieniem do projektu, o sytuację zagrożenia bezpieczeństwa kluczowych podmiotów w Polsce, a przez to w konsekwencji także funkcjonowaniu państwa. Proponowana procedura jest odpowiedzią na zidentyfikowane tak na poziomie krajowym, jak i unijnym, ryzyka związane choćby z rozwojem sieci 5G, niskiej jakości lub nieadekwatnie zabezpieczonych względem zagrożeń produktów i rozwiązań, a także coraz poważniejszych cyberzagrożeń.

• Nowelizacja odchodzi jednak od tej zasady i wprowadza samoidentyfikację podmiotów kluczowych i ważnych, nakładając na nie obowiązek samodzielnej rejestracji w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji.
• Według wicepremiera, takie sytuacje pokazują wystarczająco, że potrzebny jest wspólny system do komunikacji, zarządzania wiedzą i reagowania.
• Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony.
• Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych innych podmiotów.
• Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Dotychczas posiadanie certyfikacji ISO często uznawano za wystarczające do spełnienia wymagań ustawy, jednak nowe przepisy mogą wymagać dodatkowych sektorowych wytycznych dostosowanych do specyfiki danej branży. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, przedłożony przez Ministra Cyfryzacji. Decyzję o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także – opcjonalnie – organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów.

• Wprowadza ona istotne zmiany w zakresie obowiązków dotyczących zapewnienia ochrony przed cyberzagrożeniami i w znacznym stopniu będzie dotyczyła także sektora zdrowotnego.
• W związku z tym, rozszerza on krąg podmiotów objętych przepisami ustawy oraz katalog obowiązków, które powinny one spełniać.
• Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów.
• Termin na to wynosi 2 miesiące od dnia, w którym decyzja została ogłoszona w dzienniku urzędowym ministra właściwego do spraw informatyzacji.

W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego lub ważnego mogą stanowić naruszenie przepisów ustawy, organ właściwy kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem. Wskazuje w nim czynności, jakie podmiot powinien podjąć, aby zapobiec takim naruszeniom lub ich zaprzestać. Podmiotem uprawnionym do wszczęcia postępowania za dostawcę wysokiego ryzyka (HRV) jest minister właściwy ds. Może to nastąpić z urzędu lub na wniosek przewodniczącego Kolegium do Spraw Cyberbezpieczeństwa. Postępowanie musi być wszczęte w określonym ustawowo celu – ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.

Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:

Ponadto dyrektor RCB, szef ABW oraz minister mogą fakultatywnie wzywać podmioty objęte poleceniem lub organy administracji publicznej do udzielenia informacji niezbędnych do przeprowadzenia analizy. Dodatkowym uprawnieniem dyrektora RCB jest także możliwość zaproszenia przedstawicieli wspomnianych podmiotów lub organów do udziału w pracach lub posiedzeniach ZIK w związku z przygotowywaniem analizy. Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów.

Uwagi do projektu w ramach konsultacji publicznych można przesyłać na adres e-mail Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu. Wykaz będzie prowadzony w systemie teleinformatycznym S46, a wnioski do niego składane mają być w formie elektronicznej, również z wykorzystaniem tego systemu. Świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy. Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje.

W przypadku wystąpienia incydentu krytycznego minister właściwy do spraw informatyzacji może fakultatywnie wydać w drodze decyzji polecenie zabezpieczające. Dotyczy ono nieokreślonej liczby podmiotów kluczowych i ważnych, a strony zawiadamia się o czynnościach w sprawie poprzez publiczne udostępnienie informacji w Biuletynie Informacji Publicznej ministra właściwego do spraw informatyzacji. Jest ogłaszane w dzienniku urzędowym ministra i udostępnia się o nim informacje na stronie internetowej urzędu go obsługującego. Polecenie podlega natychmiastowej wykonalności, a uznaje się je za doręczone z chwilą jego ogłoszenia.

Do czasu osiągnięcia zdolności operacyjnej przez CSIRT sektorowe, podmioty kluczowe i ważne będą jednak zgłaszały incydenty poważne do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, tak jak obecnie. Część informacji w wykazie będzie uzupełniana z urzędu przez ministra właściwego do spraw informatyzacji. Nowe przepisy określają warunki objęcia danego podmiotu obowiązkami wynikającymi z ustawy, a także procedurę umieszczenia go w wykazie podmiotów kluczowych lub ważnych.

– W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci – od ministra cyfryzacji, przez pełnomocnika rządu, aż po zespoły CSIRT. Nowe kompetencje pozwolą im działać sprawniej, skuteczniej i bliżej realnych potrzeb obywateli oraz gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski. Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. Odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach.

Podmioty kluczowe i podmioty ważne – więcej odpowiedzialności, mniej ryzyka

Takie rozwiązanie zapewnia elastyczność i pozwala dopasować zabezpieczenia do charakteru i skali działania organizacji. Podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu S46 bezpośrednio do odpowiednich zespołów CSIRT. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia w poszczególnych obszarach. Pozwolą też zbudować bazę wiedzy o zagrożeniach i podatnościach danego sektora.

Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Ponadto, podmioty kluczowe i ważne mają obowiązek przekazywania, na żądanie organu właściwego, danych, FXALL i TradeWeb Markets w celu współpracy nad rozwiązaniami zabezpieczającymi rynki wschodzące informacji i dokumentów niezbędnych do wykonywania przez organ jego ustawowych uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli. Żądanie organu powinno być proporcjonalne do celu, któremu ma służyć oraz zawierać m. Wskazanie zakresu żądanych danych, informacji lub dokumentów oraz uzasadnienie. W opiniowaniu w sprawach z zakresu uznania za HRV uczestniczy także Kolegium – musi zostać poproszone o opinię przez ministra właściwego ds. Termin na jej sporządzenie wynosi 3 miesiące od dnia, kiedy minister o nią wystąpi.

Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności. Do tej pory powstały dwa takie zespoły – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia). Nowelizacja wprowadza zupełnie nowe brzmienie art. 5, definiując podmiot kluczowy i podmiot ważny. W nowym podejściu podmiot kluczowy to nie tylko organizacja świadcząca usługi kluczowe, ale także dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, rejestry domen najwyższego poziomu (TLD) czy kwalifikowani dostawcy usług zaufania. Podmiotem kluczowym może być również podmiot publiczny wskazany w załączniku do ustawy lub jednostka państwowa.

Jednym z takich rozwiązań jest przyznanie organowi właściwemu kompetencji do nadania decyzji o wymierzeniu kary rygoru natychmiastowej wykonalności w całości lub w części. Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego. W przeciwieństwie do obecnie obowiązujących przepisów ustawy, które przewidują, że Strategia ustalana jest na okres pięciu lat, z możliwością wprowadzenia zmian w okresie jej obowiązywania, w nowelizacji nie wskazano okresu, na który ma ona zostać uchwalona. Przy doborze nakazów lub zakazów z powyższego katalogu niezbędne jest uwzględnienie adekwatności środków, co w szczególności powinno wynikać z analizy przeprowadzanej przez ministra we współpracy z ZIK. Jeżeli potrzebujecie wsparcia w audytach, testach bezpieczeństwa lub wdrożeniu niezbędnych systemów zgodnych z nowymi przepisami, nasz zespół inżynierów służy pomocą.

Co dalej z nowelizacją ustawy o KSC?

Wykonywanie oceny bezpieczeństwa oraz identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych i powiadamianie ich właścicieli o wykrytych podatnościach oraz cyberzagrożeniach. CSIRT sektorowy, który przyjął wczesne ostrzeżenie, może także zwrócić się do zgłaszającego podmiotu o uzupełnienie potrzebnych informacji, w tym tych stanowiących tajemnice prawnie chronione, w zakresie niezbędnym do realizacji ustawowych zadań. Nowe przepisy rozszerzają także odpowiedzialność kierownictwa organizacji – osoby zarządzające mogą zostać ukarane indywidualnie, a maksymalna kara może wynieść nawet 300% ich wynagrodzenia. Zaproponowane rozwiązania umożliwią szybszą reakcję na ataki cyfrowe w kluczowych sektorach gospodarki. Dzięki inwestycjom w sprzęt oraz zwiększeniu finansowania kadr IT, wzrośnie odporność systemów informatycznych. Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem.

Założeniem jest, aby nowe regulacje zostały przyjęte jeszcze w tym roku. Znowelizowana wersja ustawy przewiduje, że organy właściwe mogą, samodzielnie lub wspólnie, tworzyć metodyki nadzoru, określające szczegółowy sposób jego sprawowania nad podmiotami kluczowymi i ważnymi, w tym zakres i przyjęte kryteria oceny. Skuteczność metodyk powinna być co dwa lata oceniana przez organy właściwe w oparciu o ocenę efektywności. Stroną postępowania uznania za HRV jest każdy wobec kogo wszczęto postępowanie – czyli kto został zawiadomiony lub który jest wskazany w BIP na stronie ministra właściwego ds.

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw

Czas na jej wdrożenie do krajowych porządków prawnych mija 17 października 2024 roku. Na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)1. Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 22. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

Czwarta wersja projektu nowelizacji ustawy o KSC (grudzień 2024 r.)

W przypadku   gdy podmiot ich nie dostarczy lub będą one niewystarczające, organ właściwy ustali podstawę wymiaru kary pieniężnej w sposób szacunkowy, uwzględniając w szczególności wielkość danego podmiotu, specyfikę jego działalności lub ogólnodostępne dane finansowe. Opinia Kolegium w sprawie decyzji musi zawierać analizę szeregu kwestii, mających związek z celem wszczęcia postępowania. Ta ostatnia kwestia uwzględniać musi rozważenie przepisów prawa oraz praktyk ich stosowania w zakresie regulującym stosunki pomiędzy dostawcą a krajem spoza UE i NATO.

Nowe przepisy przeformułowują niektóre z obszarów, które mają zostać określone w Strategii – m. Dodany został zapis o konieczności wskazania mechanizmu służącego określeniu istotnych zasobów i szacowaniu ryzyka. Jednocześnie, szef resortu cyfryzacji zwrócił uwagę na problem luki kompetencyjnej, a także potrzebę przeznaczenia większej ilości środków na wykształcenie kompetencji cyfrowych, wiedzy o cyberzagrożeniach oraz higieny cyfrowej w społeczeństwie. Jednym z przykładów jest zastrzeżenie numeru PESEL – spośród 10 mln użytkowników mObywatela, tylko 6 mln wykonało tę czynność – oraz testy wewnętrzne Ministerstwa. Na początku pierwszego tygodnia listopada, w Kancelarii Prezesa Rady Ministrów odbyło się VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej.

Obowiązkiem jest także zawarcie analizy treści wydanych przez Pełnomocnika Rządu ds. Projekt nowelizacji zawiera propozycję mechanizmu uznania za dostawcę wysokiego ryzyka określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych. W szczególności chodzi tutaj, zgodni z uzasadnieniem do projektu, o sytuację zagrożenia bezpieczeństwa kluczowych podmiotów w Polsce, a przez to w konsekwencji także funkcjonowaniu państwa. Proponowana procedura jest odpowiedzią na zidentyfikowane tak na poziomie krajowym, jak i unijnym, ryzyka związane choćby z rozwojem sieci 5G, niskiej jakości lub nieadekwatnie zabezpieczonych względem zagrożeń produktów i rozwiązań, a także coraz poważniejszych cyberzagrożeń.

• Nowelizacja odchodzi jednak od tej zasady i wprowadza samoidentyfikację podmiotów kluczowych i ważnych, nakładając na nie obowiązek samodzielnej rejestracji w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji.
• Według wicepremiera, takie sytuacje pokazują wystarczająco, że potrzebny jest wspólny system do komunikacji, zarządzania wiedzą i reagowania.
• Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony.
• Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych innych podmiotów.
• Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Dotychczas posiadanie certyfikacji ISO często uznawano za wystarczające do spełnienia wymagań ustawy, jednak nowe przepisy mogą wymagać dodatkowych sektorowych wytycznych dostosowanych do specyfiki danej branży. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, przedłożony przez Ministra Cyfryzacji. Decyzję o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także – opcjonalnie – organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów.

• Wprowadza ona istotne zmiany w zakresie obowiązków dotyczących zapewnienia ochrony przed cyberzagrożeniami i w znacznym stopniu będzie dotyczyła także sektora zdrowotnego.
• W związku z tym, rozszerza on krąg podmiotów objętych przepisami ustawy oraz katalog obowiązków, które powinny one spełniać.
• Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów.
• Termin na to wynosi 2 miesiące od dnia, w którym decyzja została ogłoszona w dzienniku urzędowym ministra właściwego do spraw informatyzacji.

W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego lub ważnego mogą stanowić naruszenie przepisów ustawy, organ właściwy kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem. Wskazuje w nim czynności, jakie podmiot powinien podjąć, aby zapobiec takim naruszeniom lub ich zaprzestać. Podmiotem uprawnionym do wszczęcia postępowania za dostawcę wysokiego ryzyka (HRV) jest minister właściwy ds. Może to nastąpić z urzędu lub na wniosek przewodniczącego Kolegium do Spraw Cyberbezpieczeństwa. Postępowanie musi być wszczęte w określonym ustawowo celu – ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.

Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:

Ponadto dyrektor RCB, szef ABW oraz minister mogą fakultatywnie wzywać podmioty objęte poleceniem lub organy administracji publicznej do udzielenia informacji niezbędnych do przeprowadzenia analizy. Dodatkowym uprawnieniem dyrektora RCB jest także możliwość zaproszenia przedstawicieli wspomnianych podmiotów lub organów do udziału w pracach lub posiedzeniach ZIK w związku z przygotowywaniem analizy. Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów.

Uwagi do projektu w ramach konsultacji publicznych można przesyłać na adres e-mail Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu. Wykaz będzie prowadzony w systemie teleinformatycznym S46, a wnioski do niego składane mają być w formie elektronicznej, również z wykorzystaniem tego systemu. Świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy. Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje.

W przypadku wystąpienia incydentu krytycznego minister właściwy do spraw informatyzacji może fakultatywnie wydać w drodze decyzji polecenie zabezpieczające. Dotyczy ono nieokreślonej liczby podmiotów kluczowych i ważnych, a strony zawiadamia się o czynnościach w sprawie poprzez publiczne udostępnienie informacji w Biuletynie Informacji Publicznej ministra właściwego do spraw informatyzacji. Jest ogłaszane w dzienniku urzędowym ministra i udostępnia się o nim informacje na stronie internetowej urzędu go obsługującego. Polecenie podlega natychmiastowej wykonalności, a uznaje się je za doręczone z chwilą jego ogłoszenia.

Do czasu osiągnięcia zdolności operacyjnej przez CSIRT sektorowe, podmioty kluczowe i ważne będą jednak zgłaszały incydenty poważne do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, tak jak obecnie. Część informacji w wykazie będzie uzupełniana z urzędu przez ministra właściwego do spraw informatyzacji. Nowe przepisy określają warunki objęcia danego podmiotu obowiązkami wynikającymi z ustawy, a także procedurę umieszczenia go w wykazie podmiotów kluczowych lub ważnych.

– W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci – od ministra cyfryzacji, przez pełnomocnika rządu, aż po zespoły CSIRT. Nowe kompetencje pozwolą im działać sprawniej, skuteczniej i bliżej realnych potrzeb obywateli oraz gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski. Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. Odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach.

Podmioty kluczowe i podmioty ważne – więcej odpowiedzialności, mniej ryzyka

Takie rozwiązanie zapewnia elastyczność i pozwala dopasować zabezpieczenia do charakteru i skali działania organizacji. Podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu S46 bezpośrednio do odpowiednich zespołów CSIRT. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia w poszczególnych obszarach. Pozwolą też zbudować bazę wiedzy o zagrożeniach i podatnościach danego sektora.

Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Ponadto, podmioty kluczowe i ważne mają obowiązek przekazywania, na żądanie organu właściwego, danych, FXALL i TradeWeb Markets w celu współpracy nad rozwiązaniami zabezpieczającymi rynki wschodzące informacji i dokumentów niezbędnych do wykonywania przez organ jego ustawowych uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli. Żądanie organu powinno być proporcjonalne do celu, któremu ma służyć oraz zawierać m. Wskazanie zakresu żądanych danych, informacji lub dokumentów oraz uzasadnienie. W opiniowaniu w sprawach z zakresu uznania za HRV uczestniczy także Kolegium – musi zostać poproszone o opinię przez ministra właściwego ds. Termin na jej sporządzenie wynosi 3 miesiące od dnia, kiedy minister o nią wystąpi.

Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności. Do tej pory powstały dwa takie zespoły – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia). Nowelizacja wprowadza zupełnie nowe brzmienie art. 5, definiując podmiot kluczowy i podmiot ważny. W nowym podejściu podmiot kluczowy to nie tylko organizacja świadcząca usługi kluczowe, ale także dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, rejestry domen najwyższego poziomu (TLD) czy kwalifikowani dostawcy usług zaufania. Podmiotem kluczowym może być również podmiot publiczny wskazany w załączniku do ustawy lub jednostka państwowa.

Mniejsze przedsiębiorstwa, w tym niekwalifikowanych dostawców usług zaufania, mikro- i małych przedsiębiorców komunikacji elektronicznej oraz inwestorów obiektów energetyki jądrowej. Za brak wdrożenia systemu zarządzania bezpieczeństwem informacji lub niezarejestrowanie się w wykazie podmiotów kluczowych i ważnych. Analogicznie, polskie organy właściwe udzielają pomocy organom innych państw członkowskich w sprawowaniu nadzoru nad podmiotami, których systemy informacyjne znajdują się w Polsce. W pierwszej kolejności organ właściwy informuje podmiot kluczowy lub ważny o wstępnych ustaleniach, które mogą prowadzić do zastosowania wobec podmiotu środków egzekwowania przepisów. Może on jednak odstąpić od przekazania takiej informacji, jeżeli utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom, reakcji na nie lub mogłoby mieć niekorzystny wpływ na bezpieczeństwo państwa lub porządek publiczny. Wykaz będzie zawierał wszystkie informacje niezbędne do skutecznego nadzoru nad tymi podmiotami oraz do wykonywania ustawowych zadań nałożonych na zespoły CSIRT poziomu krajowego oraz CSIRT sektorowe.

Wprowadzone zmiany wymagają od organizacji dostosowania swoich procedur do nowych wymogów, co może wiązać się z koniecznością inwestycji w infrastrukturę bezpieczeństwa i procesy zarządzania incydentami. Na uwagę zasługują również zmiany przepisów dotyczących kar pieniężnych w zakresie cyberbezpieczeństwa. Znacząco Funduszy inwestycyjnych Indiach zbiera pieniądze na zakup zwiększa się zarówno zakres naruszeń podlegających sankcjom, jak i wysokość możliwych kar.

Nowe przepisy wzmocnią ochronę przed cyberzagrożeniami

Podobnie jak w przypadku Strategii Cyberbezpieczeństwa RP, Rada Ministrów przyjmuje ten dokument w drodze uchwały. Jest on opracowywany przez ministra właściwego do spraw informatyzacji we współpracy z Pełnomocnikiem, Rządowym Centrum Bezpieczeństwa oraz innymi ministrami i właściwymi kierownikami urzędów centralnych. Podmioty kluczowe i ważne muszą zatem jak najszybciej dostosować swoje procedury do nowych regulacji, aby uniknąć konsekwencji finansowych oraz zapewnić zgodność z krajowymi i unijnymi przepisami dotyczącymi cyberbezpieczeństwa. W praktyce oznacza to konieczność przeprowadzenia audytów wewnętrznych, wdrożenia procedur zarządzania incydentami oraz przeszkolenia personelu odpowiedzialnego za ochronę systemów informacyjnych. Zapewnienie zgodności z regulacjami stanie się kluczowym elementem strategii IT, a niedostosowanie się do nowych wymogów może skutkować wysokimi karami finansowymi. Nie zapominajmy jednak, że Dyrektywa NIS2 nałożyła na państwa członkowskie obowiązek implementacji przepisów do 17 października 2024 roku, co oznacza, że organizacje objęte regulacją powinny już być przygotowane do wdrożenia wymaganych mechanizmów.

stopka Ministerstwo Cyfryzacji

Nowelizacja ustawy zmienia również podejście do audytów bezpieczeństwa systemów informacyjnych. Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji. Jednocześnie nowe przepisy nakładają obowiązek przekazania raportu z audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie 3 dni roboczych, co zwiększa nadzór nad zgodnością podmiotów z wymaganiami ustawy. Dodatkowo organ nadzorczy zyskuje prawo do nakazania audytu w każdym czasie dla podmiotów kluczowych oraz w przypadku incydentu poważnego lub naruszenia przepisów dla podmiotów ważnych. Wprowadzone zmiany pozwalają na lepsze dostosowanie wymagań audytowych do rzeczywistych zagrożeń, jednocześnie zwiększając kontrolę nad poziomem cyberbezpieczeństwa organizacji.

Osobista odpowiedzialność kierowników podmiotów kluczowych i ważnych

W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień dyrektywy jest również objęcie przepisami ustawy wszystkich podmiotów publicznych, niezależnie od wielkości. Istotną zmianą jest również znaczące podwyższenie górnych limitów kar, które dla podmiotów kluczowych mogą sięgać 10 milionów euro lub 2% rocznych przychodów, a dla podmiotów ważnych 7 milionów euro lub 1,4% rocznych przychodów. Co więcej, w przypadkach rażących naruszeń związanych z zagrożeniem bezpieczeństwa publicznego lub krytycznymi usługami, możliwe jest nałożenie kary sięgającej 100 milionów złotych. Dynamiczna sytuacja międzynarodowa, że konieczne jest wzmocnienie krajowego systemu cyberbezpieczeństwa. W 2022 roku do CSIRT NASK, czyli specjalnego zespołu ekspertów, który pomaga radzić sobie z problemami związanymi z bezpieczeństwem w sieci, zgłoszono ponad 39 tys.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – najważniejsze zmiany dla podmiotów

Incydentów cyberbezpieczeństwa, w 2023 roku – ponad 75 tys.,  a w 2024 roku już ponad 103 tys. Nowy projekt nowelizacji ustawy o KSC nie wprowadza rewolucyjnych zmian w stosunku do projektu z listopada 2024 r. Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.

Nowym rozwiązaniem zaproponowanym w nowelizacji, mającym zwiększać bezpieczeństwo systemów informacyjnych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa, jest ocena bezpieczeństwa, przeprowadzana w celu identyfikacji podatności danego systemu informacyjnego. Na początku 2023 roku weszła w życie dyrektywa NIS 2, która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa.

• Wpłynie ona istotnie na szpitale, kierownicy podmiotów medycznych na razie nie przygotowują się jednak na jej skutki – a te mogą być dotkliwe również w kontekście finansowym.
• Wskazuje w nim czynności, jakie podmiot powinien podjąć, aby zapobiec takim naruszeniom lub ich zaprzestać.
• Po drugie, CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, a także uzyskać dostęp do całości lub części systemu informacyjnego.
• Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji.

Postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka ma umożliwić wyeliminowanie niebezpiecznego sprzętu i usług z kluczowych dla funkcjonowania państwa systemów informatycznych. Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa. W nowelizacji został dodany zupełnie nowy w stosunku do obowiązującej wersji ustawy rozdział 13a, dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę (dalej w tekście jako ,,Krajowy plan”).

Oprócz tego dostęp do danych z wykazu będzie miał również organ właściwy do spraw cyberbezpieczeństwa w zakresie nadzorowanego sektora lub podsektora, a także podmiot kluczowy lub ważny w zakresie go dotyczącym. Ponadto, o dostęp do tych danych będą mogły wnioskować inne organy państwa takie jak np. Aby zagwarantować podmiotom bezpieczeństwo i zapewnić ochronę ich interesów, do wykazu nie będą miały zastosowania przepisy ustawy o dostępie do informacji publicznej5 oraz ustawy o otwartych danych6. Do tej pory operatorzy usług kluczowych byli wyznaczani w drodze decyzji administracyjnej organu właściwego do spraw cyberbezpieczeństwa.

Wspomniał przy tym o systemie S46, za którego tworzenie odpowiada NASK. Po zmianach, odpowiedzialność za cyberbezpieczeństwo nabierze zupełnie nowego wymiaru. Wysokość kar przewidziana w nowelizacji robi wrażenie – zwłaszcza jak porównamy je do obowiązującej ustawy.

Środki egzekwowania przepisów

Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa. Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) służy wdrożeniu na polskim gruncie unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii w skrócie NIS2 – red.. Wprowadza ona istotne zmiany w zakresie obowiązków dotyczących zapewnienia ochrony przed cyberzagrożeniami i w znacznym stopniu będzie dotyczyła także sektora zdrowotnego. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np.

• W przeciwieństwie do obecnie obowiązujących przepisów ustawy, które przewidują, że Strategia ustalana jest na okres pięciu lat, z możliwością wprowadzenia zmian w okresie jej obowiązywania, w nowelizacji nie wskazano okresu, na który ma ona zostać uchwalona.
• Wpisanie do wykazu w ten sposób jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
• Decyzja o uznaniu za dostawcę wysokiego ryzyka jest wydawana przez ministra właściwego ds.
• Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego.
• Ta ostatnia kwestia uwzględniać musi rozważenie przepisów prawa oraz praktyk ich stosowania w zakresie regulującym stosunki pomiędzy dostawcą a krajem spoza UE i NATO.

Wydarzenie zostało otwarte przez wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego. Jak powiedział przedstawiciel rządu, według statystyk na koniec III kwartału 2025 roku, od 1 stycznia odnotowano ponad pół miliona incydentów cyberbezpieczeństwa. Z kolei zdarzeń, które zostały obsłużone przez zespoły, zanotowano ponad 170 tys. Zdaniem Gawkowskiego, wiele wskazuje na to, że rekord z poprzednich lat zostanie pobity. Liczba incydentów na koniec III kwartału 2025 roku sięgnęła pół miliona – powiedział we wtorek podczas VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco rozszerza zakres obowiązków dotyczących zarządzania incydentami. Podmioty kluczowe i ważne będą musiały wdrożyć systemy monitorowania infrastruktury IT w trybie ciągłym, które umożliwią szybką detekcję i klasyfikację zagrożeń. Nowe przepisy pozwalają również na ograniczenie ruchu sieciowego w przypadku wykrycia podatności lub cyberzagrożeń, z uwzględnieniem minimalizacji skutków dla świadczonych usług. Tymczasowe blokowanie określonych adresów IP, segmentację sieci czy ograniczenie dostępu do zasobów krytycznych. Po pierwsze, znacząco zwiększone zostały górne granicy kary możliwej do nałożenia na podmiot kluczowy lub ważny. W znowelizowanej wersji ustawy, na podmiot, który dopuści się tego rodzaju naruszeń, organ może nałożyć karę w maksymalnej wysokości aż do 100 milionów złotych.

Mniejsze przedsiębiorstwa, w tym niekwalifikowanych dostawców usług zaufania, mikro- i małych przedsiębiorców komunikacji elektronicznej oraz inwestorów obiektów energetyki jądrowej. Za brak wdrożenia systemu zarządzania bezpieczeństwem informacji lub niezarejestrowanie się w wykazie podmiotów kluczowych i ważnych. Analogicznie, polskie organy właściwe udzielają pomocy organom innych państw członkowskich w sprawowaniu nadzoru nad podmiotami, których systemy informacyjne znajdują się w Polsce. W pierwszej kolejności organ właściwy informuje podmiot kluczowy lub ważny o wstępnych ustaleniach, które mogą prowadzić do zastosowania wobec podmiotu środków egzekwowania przepisów. Może on jednak odstąpić od przekazania takiej informacji, jeżeli utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom, reakcji na nie lub mogłoby mieć niekorzystny wpływ na bezpieczeństwo państwa lub porządek publiczny. Wykaz będzie zawierał wszystkie informacje niezbędne do skutecznego nadzoru nad tymi podmiotami oraz do wykonywania ustawowych zadań nałożonych na zespoły CSIRT poziomu krajowego oraz CSIRT sektorowe.

Wprowadzone zmiany wymagają od organizacji dostosowania swoich procedur do nowych wymogów, co może wiązać się z koniecznością inwestycji w infrastrukturę bezpieczeństwa i procesy zarządzania incydentami. Na uwagę zasługują również zmiany przepisów dotyczących kar pieniężnych w zakresie cyberbezpieczeństwa. Znacząco Funduszy inwestycyjnych Indiach zbiera pieniądze na zakup zwiększa się zarówno zakres naruszeń podlegających sankcjom, jak i wysokość możliwych kar.

Nowe przepisy wzmocnią ochronę przed cyberzagrożeniami

Podobnie jak w przypadku Strategii Cyberbezpieczeństwa RP, Rada Ministrów przyjmuje ten dokument w drodze uchwały. Jest on opracowywany przez ministra właściwego do spraw informatyzacji we współpracy z Pełnomocnikiem, Rządowym Centrum Bezpieczeństwa oraz innymi ministrami i właściwymi kierownikami urzędów centralnych. Podmioty kluczowe i ważne muszą zatem jak najszybciej dostosować swoje procedury do nowych regulacji, aby uniknąć konsekwencji finansowych oraz zapewnić zgodność z krajowymi i unijnymi przepisami dotyczącymi cyberbezpieczeństwa. W praktyce oznacza to konieczność przeprowadzenia audytów wewnętrznych, wdrożenia procedur zarządzania incydentami oraz przeszkolenia personelu odpowiedzialnego za ochronę systemów informacyjnych. Zapewnienie zgodności z regulacjami stanie się kluczowym elementem strategii IT, a niedostosowanie się do nowych wymogów może skutkować wysokimi karami finansowymi. Nie zapominajmy jednak, że Dyrektywa NIS2 nałożyła na państwa członkowskie obowiązek implementacji przepisów do 17 października 2024 roku, co oznacza, że organizacje objęte regulacją powinny już być przygotowane do wdrożenia wymaganych mechanizmów.

stopka Ministerstwo Cyfryzacji

Nowelizacja ustawy zmienia również podejście do audytów bezpieczeństwa systemów informacyjnych. Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji. Jednocześnie nowe przepisy nakładają obowiązek przekazania raportu z audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie 3 dni roboczych, co zwiększa nadzór nad zgodnością podmiotów z wymaganiami ustawy. Dodatkowo organ nadzorczy zyskuje prawo do nakazania audytu w każdym czasie dla podmiotów kluczowych oraz w przypadku incydentu poważnego lub naruszenia przepisów dla podmiotów ważnych. Wprowadzone zmiany pozwalają na lepsze dostosowanie wymagań audytowych do rzeczywistych zagrożeń, jednocześnie zwiększając kontrolę nad poziomem cyberbezpieczeństwa organizacji.

Osobista odpowiedzialność kierowników podmiotów kluczowych i ważnych

W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień dyrektywy jest również objęcie przepisami ustawy wszystkich podmiotów publicznych, niezależnie od wielkości. Istotną zmianą jest również znaczące podwyższenie górnych limitów kar, które dla podmiotów kluczowych mogą sięgać 10 milionów euro lub 2% rocznych przychodów, a dla podmiotów ważnych 7 milionów euro lub 1,4% rocznych przychodów. Co więcej, w przypadkach rażących naruszeń związanych z zagrożeniem bezpieczeństwa publicznego lub krytycznymi usługami, możliwe jest nałożenie kary sięgającej 100 milionów złotych. Dynamiczna sytuacja międzynarodowa, że konieczne jest wzmocnienie krajowego systemu cyberbezpieczeństwa. W 2022 roku do CSIRT NASK, czyli specjalnego zespołu ekspertów, który pomaga radzić sobie z problemami związanymi z bezpieczeństwem w sieci, zgłoszono ponad 39 tys.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – najważniejsze zmiany dla podmiotów

Incydentów cyberbezpieczeństwa, w 2023 roku – ponad 75 tys.,  a w 2024 roku już ponad 103 tys. Nowy projekt nowelizacji ustawy o KSC nie wprowadza rewolucyjnych zmian w stosunku do projektu z listopada 2024 r. Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.

Nowym rozwiązaniem zaproponowanym w nowelizacji, mającym zwiększać bezpieczeństwo systemów informacyjnych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa, jest ocena bezpieczeństwa, przeprowadzana w celu identyfikacji podatności danego systemu informacyjnego. Na początku 2023 roku weszła w życie dyrektywa NIS 2, która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa.

• Wpłynie ona istotnie na szpitale, kierownicy podmiotów medycznych na razie nie przygotowują się jednak na jej skutki – a te mogą być dotkliwe również w kontekście finansowym.
• Wskazuje w nim czynności, jakie podmiot powinien podjąć, aby zapobiec takim naruszeniom lub ich zaprzestać.
• Po drugie, CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, a także uzyskać dostęp do całości lub części systemu informacyjnego.
• Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji.

Postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka ma umożliwić wyeliminowanie niebezpiecznego sprzętu i usług z kluczowych dla funkcjonowania państwa systemów informatycznych. Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa. W nowelizacji został dodany zupełnie nowy w stosunku do obowiązującej wersji ustawy rozdział 13a, dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę (dalej w tekście jako ,,Krajowy plan”).

Oprócz tego dostęp do danych z wykazu będzie miał również organ właściwy do spraw cyberbezpieczeństwa w zakresie nadzorowanego sektora lub podsektora, a także podmiot kluczowy lub ważny w zakresie go dotyczącym. Ponadto, o dostęp do tych danych będą mogły wnioskować inne organy państwa takie jak np. Aby zagwarantować podmiotom bezpieczeństwo i zapewnić ochronę ich interesów, do wykazu nie będą miały zastosowania przepisy ustawy o dostępie do informacji publicznej5 oraz ustawy o otwartych danych6. Do tej pory operatorzy usług kluczowych byli wyznaczani w drodze decyzji administracyjnej organu właściwego do spraw cyberbezpieczeństwa.

Wspomniał przy tym o systemie S46, za którego tworzenie odpowiada NASK. Po zmianach, odpowiedzialność za cyberbezpieczeństwo nabierze zupełnie nowego wymiaru. Wysokość kar przewidziana w nowelizacji robi wrażenie – zwłaszcza jak porównamy je do obowiązującej ustawy.

Środki egzekwowania przepisów

Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa. Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) służy wdrożeniu na polskim gruncie unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii w skrócie NIS2 – red.. Wprowadza ona istotne zmiany w zakresie obowiązków dotyczących zapewnienia ochrony przed cyberzagrożeniami i w znacznym stopniu będzie dotyczyła także sektora zdrowotnego. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np.

• W przeciwieństwie do obecnie obowiązujących przepisów ustawy, które przewidują, że Strategia ustalana jest na okres pięciu lat, z możliwością wprowadzenia zmian w okresie jej obowiązywania, w nowelizacji nie wskazano okresu, na który ma ona zostać uchwalona.
• Wpisanie do wykazu w ten sposób jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
• Decyzja o uznaniu za dostawcę wysokiego ryzyka jest wydawana przez ministra właściwego ds.
• Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego.
• Ta ostatnia kwestia uwzględniać musi rozważenie przepisów prawa oraz praktyk ich stosowania w zakresie regulującym stosunki pomiędzy dostawcą a krajem spoza UE i NATO.

Wydarzenie zostało otwarte przez wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego. Jak powiedział przedstawiciel rządu, według statystyk na koniec III kwartału 2025 roku, od 1 stycznia odnotowano ponad pół miliona incydentów cyberbezpieczeństwa. Z kolei zdarzeń, które zostały obsłużone przez zespoły, zanotowano ponad 170 tys. Zdaniem Gawkowskiego, wiele wskazuje na to, że rekord z poprzednich lat zostanie pobity. Liczba incydentów na koniec III kwartału 2025 roku sięgnęła pół miliona – powiedział we wtorek podczas VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco rozszerza zakres obowiązków dotyczących zarządzania incydentami. Podmioty kluczowe i ważne będą musiały wdrożyć systemy monitorowania infrastruktury IT w trybie ciągłym, które umożliwią szybką detekcję i klasyfikację zagrożeń. Nowe przepisy pozwalają również na ograniczenie ruchu sieciowego w przypadku wykrycia podatności lub cyberzagrożeń, z uwzględnieniem minimalizacji skutków dla świadczonych usług. Tymczasowe blokowanie określonych adresów IP, segmentację sieci czy ograniczenie dostępu do zasobów krytycznych. Po pierwsze, znacząco zwiększone zostały górne granicy kary możliwej do nałożenia na podmiot kluczowy lub ważny. W znowelizowanej wersji ustawy, na podmiot, który dopuści się tego rodzaju naruszeń, organ może nałożyć karę w maksymalnej wysokości aż do 100 milionów złotych.

If you make Transactions with the financial instruments offered on this olymp trade broker reviews Website, you might incur substantial losses or even lose everything in your Account. Before you decide to start Transactions with the financial instruments offered on the Website, you must review the Service Agreement and Risk Disclosure Information.

Modern trading platform

• Enjoy a secure and reliable trading experience with dedicated support every step of the way.
• With access to Forex, stocks, multipliers, indices, and more, you can easily diversify your trading portfolio.
• Our user-friendly interface, advanced tools, and comprehensive educational resources provide everything you need to succeed.

Insights highlight strong market entry points, and ready-to-use strategies help you navigate price trends effectively. Our customer support is available 24/7 in multiple languages to answer your questions and address any issues promptly. Olymptrade’s online trading platform is dedicated to enhancing your trading experience and bringing value to your journey.

• Before you decide to start Transactions with the financial instruments offered on the Website, you must review the Service Agreement and Risk Disclosure Information.
• Olymptrade’s online trading platform is dedicated to enhancing your trading experience and bringing value to your journey.
• Insights highlight strong market entry points, and ready-to-use strategies help you navigate price trends effectively.
• If you make Transactions with the financial instruments offered on this Website, you might incur substantial losses or even lose everything in your Account.
• The Transactions offered by this Website can be executed only by fully competent adults.Transactions with financial instruments offered on the Website involve substantial risk and trading may be very risky.
• Our customer support is available 24/7 in multiple languages to answer your questions and address any issues promptly.

Become a pro trader with Olymptrade

Join Olymptrade, the premier online trading platform, and unlock your potential as a pro trader. With access to Forex, stocks, multipliers, indices, and more, you can easily diversify your trading portfolio. Our user-friendly interface, advanced tools, and comprehensive educational resources provide everything you need to succeed. Enjoy a secure and reliable trading experience with dedicated support every step of the way. The Transactions offered by this Website can be executed only by fully competent adults.Transactions with financial instruments offered on the Website involve substantial risk and trading may be very risky.

Grupa Kapitałowa Powszechnej Kasy Oszczędności Banku Polskiego Spółki Akcyjnej (Grupa Kapitałowa PKO Banku Polskiego S.A. lub Grupa Kapitałowa Banku) należy do największych grup finansowych w Polsce i Europie Środkowo–Wschodniej. Oświadczenie nie zawiera korekt informacji z poprzednich raportów. Zakup akcji został sfinansowany z kredytu w rachunku bieżącym udzielonego PKO Leasing przez PKO Bank Polski. PKO Banku Polskiego jest również jedną z największych spółek notowanych na Giełdzie Papierów Wartościowych w Warszawie z kapitalizacją wynoszącą blisko 38 miliardy złotych na koniec 2022 r.

102-4 Grupa prowadzi działalność na terytorium Polski. 102-6 Grupa świadczy usługi finansowe także poza granicami Polski poprzez oddziały w Niemczech i Czechach oraz podmioty zależne na Ukrainie. W 2020 roku PKO Bank Polski utworzył oddział na Słowacji. Poza działalnością ściśle bankową Grupa PKO Banku Polskiego S.A. Grupa Kapitałowa Banku prowadzi działalność bankową i świadczy usługi finansowe poza granicami Polski poprzez oddziały w Republice Federalnej Niemiec (Oddział w Niemczech), Republice Czeskiej (Oddział w Czechach) i Republice Słowackiej (Oddział w Słowacji) oraz podmioty zależne na Ukrainie. W wykazie prezentowany jest udział PKO Banku Polskiego w kapitale zakładowym spółki, a w przypadku funduszy – udział posiadanych certyfikatów inwestycyjnych funduszu.

Należy do największych instytucji finansowych w Polsce, a także jest jedną z największych grup finansowych Europy Środkowo–Wschodniej. Podmiotem dominującym w Grupie Kapitałowej PKO jest PKO Bank Polski S.A. PKO Bank Polski S.A. Właściwe oznakowanie produktów obejmuje również przekazy reklamowe Banku, które wspierają działania sprzedażowe oraz kształtują wizerunek jego marki.

BSafer sp. z o.o.

W 2021 roku wartość faktur zapłaconych po terminie, od których z tego tytułu naliczono odsetki, stanowiła marginalny odsetek wszystkich zapłaconych faktur. Wykaz nie obejmuje płatności, których ewentualne opóźnienie zostało uzgodnione z dostawcą, gdyż zgromadzenie tych informacji byłoby zbyt pracochłonne. 102-9 Grupa Kapitałowa Banku współpracuje z partnerami biznesowymi jako nabywca dóbr i usług, jako zleceniodawca usług agencyjnych i outsourcingowych. W ramach swojej działalności charytatywnej i sponsorskiej współpracuje z różnymi organizacjami pożytku publicznego. Model zarządzania ryzykiem kredytowym jest dostosowany do aktualnej działalności biznesowej i uwarunkowań rynkowych w poszczególnych segmentach klientowskich.

Oprócz szeroko pojętego interesu Banku, Departament Zakupów stoi na straży etyki postępowań zakupowych, w tym równego traktowania wszystkich uczestników procesu. Przy wyborze dostawcy, Bank kieruje się także pozacenowymi kryteriami, w tym zgodnością z etyką biznesu, i dąży do przejrzystych relacji z dostawcami. Polityka zakupowa jest kształtowana w oparciu o najlepsze praktyki rynkowe. Głównymi przepisami wykonawczymi są „Zasady zakupu towarów i usług”, „Tryb zakupu towarów i usług w Banku”, oraz „Polityka zakupowa” zaktualizowana w 2021 roku.

Pekao stawia na innowacje i zaufanie

Nadzorcze oraz wewnętrzne miary ryzyka płynności utrzymywane były istotnie powyżej przyjętych progów ostrzegawczych. Przedmiotem działalności spółki jest świadczenie kompleksowych usług przechowywania i przetwarzania danych. Oferta produktowa obejmuje w szczególności usługi chmurowe, transformacji oraz bezpieczeństwa dla przedsiębiorstw oraz instytucji publicznych. 28 maja 2018 roku PKO Bank Polski SA zawarł ze spółką Bankowe Towarzystwo Kapitałowe SA (spółka bezpośrednio zależna od NEPTUN – fizan) umowę sprzedaży spółki Finansowa Kompania „Prywatne Inwestycje” sp. Udziału, który stanowi 95,4676% w kapitale zakładowym spółki i w głosach na zgromadzeniu wspólników.

W 2023 roku spółka wypracowała zysk netto w wysokości 237,7 mln PLN (w 2022 roku zysk netto wynosił 189,3 mln PLN). Prezentowane w opisie wyniki finansowe pochodzą ze sprawozdań finansowych poszczególnych spółek sporządzonych zgodnie z Międzynarodowymi Standardami Sprawozdawczości Finansowej, a w przypadku spółek ubezpieczeniowych zgodnie z Polskimi Standardami Rachunkowości. Dane dostępne na dzień sporządzenia sprawozdania. Szczegółowa informacja o emisjach papierów wartościowych oraz kredytach otrzymanych w ramach współpracy międzynarodowej znajduje się w nocie 38 „Otrzymane finansowanie” sprawozdania finansowego Grupy Kapitałowej Banku za 2023 rok. Jako spółka ukraińska dodatkowo uzyskuje finansowanie ze specjalnych programów kredytowych z Funduszu Rozwoju Przedsiębiorczości oraz grantów z Deutsche Sparkassenstiftung für internationale Kooperation (DSIK) dla klientów MSP korzystających z kredytów inwestycyjnych.

Charakterystyka działalności

Spółka w 2023 roku osiągnęła zysk netto w wysokości 107,0 mln PLN (vs. 87,0 mln PLN w 2022 roku). Miejsce (według obrotu) wśród firm faktoringowych zrzeszonych w Polskim Związku Faktorów z udziałem w rynku w wysokości 8,7%. Na 31 grudnia 2023 roku wartość bilansowa należności od klientów z tytułu leasingu i pożyczek (wymagalnych i niewymagalnych) oraz wartość bilansowa środków trwałych w leasingu operacyjnym Grupy PKO Leasing Citypoint Trading Forex Broker-przegląd S.A. Na koniec 2023 roku wartość aktywów netto PKO BP Bankowego OFE zarządzanego przez PKO BP BANKOWY PTE S.A. Wynosiła 9,5 mld PLN, co oznacza wzrost o ponad 2,4 mld PLN w stosunku do stanu na koniec 2022 roku. Wzrost jest efektem znaczącej poprawy sytuacji na rynkach finansowych.

Organizacja Grupy

W niespełna miesiąc Bank zaprojektował i wdrożył proces udzielania Bezpiecznego Kredytu 2% cieszącego się bardzo dużym zainteresowaniem klientów. Proces w znacznej mierze został zrobotyzowany i zautomatyzowany, a dla spraw wymagających obsługi manualnej Bank zapewnił realizację z wysoką efektywnością i jakością, dzięki czemu klienci otrzymywali środki w bardzo krótkim czasie. Połączenie kompetencji dwóch obszarów (operacji i Contact Center) pozwoliło zbudować nowoczesny, obsługiwany zdalnie proces middle office w zakresie obsługi spraw po śmierci naszych klientów. Dzięki zastosowaniu szerokiej współpracy pomiędzy pracownikami operacji, Contact Center oraz sieci oddziałów, aktualna obsługa spadkobierców zgłaszających się do Banku została uproszczona i pozwala na realizację zadania podczas jednego kontaktu.

Konsekwentnie realizuje swoją „drogę do chmury”. W wyniku tych działań w ciągu najbliższych lat, kluczowe biznesowe systemy IT Banku mają działać w chmurze obliczeniowej opartej o architekturę hybrydową. Pierwsze rozwiązania chmurowe, wdrożone przy udziale globalnych dostawców chmurowych oraz Operatora Chmury Krajowej sp.

1. Jednostki zależne

Zgodnie z jej postanowieniami nadrzędnym celem działań informacyjnych Banku jest zagwarantowanie wysokich standardów komunikacji z uczestnikami rynku kapitałowego, które są wyrazem poszanowania zasad powszechnego i równego dostępu do informacji. W ramach polityki informacyjnej Bank bierze pod uwagę interesy wszystkich inwestorów, o ile nie są one sprzeczne z interesami Banku. Celem polityki informacyjnej jest określenie mechanizmów komunikacji z uczestnikami rynku kapitałowego, które gwarantują właściwy, rzetelny i kompletny dostęp do informacji o Banku dla wszystkich inwestorów, bez stosowania preferencji w stosunku do któregokolwiek z nich. Większość podmiotów zależnych Banku podlega Ustawie o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym, która szczegółowo reguluje ten proces. Bank prowadzi działalność bankową wspomagając się podmiotami zewnętrznymi, w związku z czym narażony jest na ryzyko operacyjne wynikające ze zlecania usług innym podmiotom. Jednocześnie w związku z działaniami wojennymi w Ukrainie w Banku od 2022 roku działa Grupa Wsparcia pod przewodnictwem Szefa Sztabu Kryzysowego, która ma na celu m.in.

102-43 Bank ocenia zaangażowanie interesariuszy w regularnych badaniach satysfakcji Klienta. Jednakowe standardy stosowane są wobec wszystkich grup Klientów. Każdy komunikat należy formułować w sposób zrozumiały, rzetelny, wiarygodny, bez względu na to, do jakiego Klienta jest kierowany. Biuro Rzecznika Klienta regularnie monitoruje i raportuje m.in. Komitetowi Ryzyka Operacyjnego oraz Zarządowi i Radzie Nadzorczej Banku. Dopełnieniem procesu reklamacyjnego jest inicjowanie w Banku korzystnych zmian.

28 czerwca 2019 roku w Krajowym Rejestrze Sądowym (KRS) właściwym dla spółki przejmującej zostało zarejestrowane połączenie Qualia Development sp. (spółki zależnej banku) jako spółki przejmowanej i PKO Leasing SA jako spółki przejmującej. W ramach Grupy Kapitałowej Banku podmioty zależne posiadają przepisy wewnętrzne, które nakładają na nie obowiązek konstruowania komunikatów przy zachowaniu standardów etyki (nie dotyczy podmiotów, które nie prowadzą aktywnej działalności marketingowej). Standardy te pokrywają się z przyjętymi przez Bank. Dodatkowo, podmioty zależne Banku, które zawarły z Bankiem umowy dotyczące zlecania usług marketingowych dla Grupy Kapitałowej Banku, są zobowiązane do stosowania przepisów wewnętrznych Banku w zakresie komunikacji marketingowej. 1 PKO Bank Polski SA posiada certyfikaty inwestycyjne funduszu; w pozycji udział w kapitale prezentowany jest udział posiadanych certyfikatów inwestycyjnych funduszu.

Klienci mogą w ten sposób sfinansować aktywa trwałe, m.in. Samochody osobowe, dostawcze, pojazdy ciężarowe, maszyny, urządzenia, linie technologiczne, sprzęt medyczny, sprzęt oraz oprogramowanie IT. 26 września 2019 roku spółka PKO Leasing sprzedała portfel sekurytyzowanych wierzytelności leasingowych do spółki celowej Polish Lease Prime 1 DAC z siedzibą w Dublinie, która Turnieje z MMCIS zgodnie z MSSF 10 spełnia definicję jednostki zależnej PKO Leasing i jest objęta konsolidacją. W związku z nabyciem spółki PCM, w skład Grupy Kapitałowej PKO Leasing weszły jej spółki zależne.

• Bank rozwija działalność biznesową i wspiera prace badawczo-wdrożeniowe wykorzystując bezpieczne i nowoczesne rozwiązania, w tym oparte o sztuczną inteligencję i zaawansowaną analitykę danych, robotyzację i automatyzację.
• Powyższe spółki przestały wchodzić w skład Grupy Kapitałowej PKO Banku Polskiego S.A.
• Z jednostkami podporządkowanymi, w tym zadłużenie kredytowe tych jednostek wobec Banku na 31 grudnia 2023 roku zostało przedstawione w sprawozdaniu finansowym Grupy Kapitałowej Banku za 2023 rok w nocie 72 „Transakcje ze Skarbem Państwa i jednostkami powiązanymi”.
• Jest również liderem w obsłudze Klientów korporacyjnych oraz firm i przedsiębiorstw (zwłaszcza w zakresie ich finansowania) oraz na rynku usług finansowych dla gmin, powiatów, województw i sektora budżetowego.
• Najwyższy wzrost zadowolenia w stosunku do poprzednich lat zanotowano wśród Klientów uruchamiających finansowanie.

Jest obecnie jedyną w kraju i w Europie Środkowo-Wschodniej Zastosowanie systemu zarządzania pieniędzmi instytucją finansową z takim certyfikatem. Certyfikat Procurement Excellence jest globalnie rozpoznawalnym wyróżnieniem przyznawanym organizacjom wykazującym się najwyższymi standardami procesów zakupowych. Dodatkowo w serwisie transakcyjnym iPKO wdrożono ankietę, która jest dostępna dla każdego Klienta po zalogowaniu – Klient może podzielić się opinią w dogodnym dla siebie momencie w temacie, który jest dla niego ważny.

• Bank Pekao jest częścią grupy PZU i od 1998 roku notowany jest na GPW.
• Certyfikat Procurement Excellence jest globalnie rozpoznawalnym wyróżnieniem przyznawanym organizacjom wykazującym się najwyższymi standardami procesów zakupowych.
• Ryzyko ESG zostało zdefiniowane przez Bank jako ryzyko negatywnych skutków finansowych dla Banku, będących konsekwencją obecnego lub przyszłego wpływu czynników ryzyka ESG na klientów i kontrahentów lub pozycje bilansu Banku.
• Dane dostępne na dzień sporządzenia sprawozdania.
• Obszar operacji kontynuował obsługę procesu ustawowych wakacji kredytowych, która w znacznej mierze realizowana była w sposób automatyczny.
• Z każdym rokiem wzrasta udział głosu Klienta w procesie rozwoju produktów.

Wykaz jednostek zależnych bezpośrednio:

9 sierpnia 2018 roku Fundusz stał się podmiotem zależnym Banku. 28 września 2018 roku PKO Bank Polski SA zawarł umowę, która dotyczyła nabycia wszystkich akcji spółki PKO Towarzystwo Funduszy Inwestycyjnych SA posiadanych przez PKO BP Finat sp. Spółka w 2023 roku osiągnęła zysk netto w wysokości 27,9 mln PLN (vs. 29,6 mln PLN w 2022 roku).

Relacje z Klientami

102-43 Bank w trybie ciągłym bada podejście interesariuszy do prowadzonych działań charytatywnych i sponsoringowych. W sytuacji pandemii interesariusze zwracali większą uwagę na działania podmiotów, które wspierają służbę zdrowia i aktywności prospołeczne. Oprócz zainteresowania ochroną zdrowia i sportem interesariusze wskazują na ekologię i ochronę środowiska. Poparcie dla działań pro-środowiskowych rośnie w czasie i znajduje odzwierciedlenie w poprawie wizerunku podmiotów, które podejmują takie działania. Zarządzanie ryzykiem związanym z powierzaniem czynności podmiotom zewnętrznym w Banku dotyczy wszystkich etapów powierzenia, począwszy od planowanego powierzenia czynności, przez wybór podmiotu, który będzie realizował czynności, zawarcie umowy outsourcingowej, monitoringu współpracy i jej zakończenia. Warunki finansowania oferowane klientowi zależą od oceny poziomu ryzyka kredytowego danego klienta.