23.02.2026

CyberSecUpdate #8: NIS2 / UKSC – ustawa podpisana

Mikołaj Prochownik
Ustawa wdrażająca dyrektywę NIS2 i nowelizująca ustawę o krajowym systemie cyberbezpieczeństwa (UKSC) została podpisana. Skierowano ją jednocześnie z wnioskiem następczym do Trybunału Konstytucyjnego.

Ustawa wdrażająca NIS2 (UKSC) podpisana – co oznacza wniosek do Trybunału Konstytucyjnego?

Ustawa wdrażająca dyrektywę NIS2 i nowelizująca ustawę o krajowym systemie cyberbezpieczeństwa (UKSC) została podpisana*.*co prawda z jednoczesnym wnioskiem następczym do Trybunału Konstytucyjnego o kontrolę zgodności z ustawą zasadniczą.
Z perspektywy podmiotów ważnych i kluczowych oznacza to, że:
  • ustawa wchodzi w życie zgodnie z planem, tj. miesiąc po publikacji w Dzienniku Ustaw,
  • Trybunał Konstytucyjny może wypowiedzieć się co do konstytucyjności ustawy i poszczególnych przepisów, ale do czasu wydania orzeczenia całość regulacji pozostaje w mocy i korzysta z domniemania konstytucyjności,
  • w praktyce wniosek do Trybunału nie wstrzymuje obowiązków – podmioty ważne i kluczowe i tak muszą rozpocząć przygotowania do wdrożenia wymogów NIS2/UKSC.
Innymi słowy: czas oczekiwania się skończył, nadszedł czas działania.

 

Dlaczego podmioty ważne i kluczowe nie mogą czekać na decyzję TK?

Pozostaje wprawdzie pewien czynnik niepewności – ustawa wdrażająca NIS2 będzie jeszcze przedmiotem oceny przez Trybunał Konstytucyjny – jednak z biznesowego i compliance’owego punktu widzenia wstrzymywanie się z wdrożeniem wymogów byłoby co najmniej ryzykowne.

Po pierwsze – sytuacja prawna jest jasna.
Przepisy ustawy obowiązują, dopóki ewentualnie nie zostanie stwierdzona ich niezgodność z Konstytucją. Do tego momentu podmioty ważne i kluczowe są związane nowymi obowiązkami wynikającymi z NIS2/UKSC.

Po drugie – brak pewności co do wyniku postępowania przed TK.
Nie ma żadnej gwarancji, że Trybunał zakwestionuje jakiekolwiek przepisy ustawy. Nawet gdyby tak się stało, nie wiadomo, jakie będą tego skutki. Trybunał może np.:

  • odroczyć utratę mocy obowiązującej przepisów,
  • pozostawić czas ustawodawcy na wprowadzenie zmian,
  • zakwestionować jedynie wybrane fragmenty regulacji.

Po trzecie – nieznany termin rozpatrzenia sprawy.
Nie wiadomo, kiedy w ogóle nastąpi rozpatrzenie wniosku przez Trybunał Konstytucyjny. Może się to wydarzyć za pół roku, rok albo nawet za kilka lat. Tymczasem wszystkie terminy przewidziane ustawą będą biegły, a ich niedotrzymanie może wiązać się z dotkliwymi konsekwencjami nadzorczymi i finansowymi.

Kluczowe terminy wdrożenia NIS2 / UKSC

Dla podmiotów objętych ustawą o krajowym systemie cyberbezpieczeństwa szczególne znaczenie mają terminy implementacyjne:
  • 1 miesiąc – ustawa wchodzi w życie po publikacji w Dzienniku Ustaw,
  • 6 miesięcy od daty wejścia w życie ustawy – obowiązek rejestracji w wykazie podmiotów ważnych i kluczowych,
  • 12 miesięcy od daty wejścia w życie – ostateczny termin na pełne wdrożenie nowych przepisów NIS2/UKSC w organizacji (m.in. system zarządzania bezpieczeństwem informacji, analiza ryzyka, zarządzanie incydentami, łańcuchem dostaw).
Ponadto ustawodawca przewidział, że pierwsze kary finansowe za naruszenie przepisów NIS2/UKSC mogą zostać nałożone nie wcześniej niż 24 miesiące od wejścia w życie ustawy. Ten dodatkowy okres ma pozwolić na wypracowanie i ustabilizowanie praktyki stosowania przepisów przez organy nadzoru oraz same organizacje.
Jednocześnie nie oznacza to „wakacji od compliance” – terminy implementacyjne nadal biegną, a w razie kontroli istotne będzie wykazanie realnych działań wdrożeniowych.

 

NIS2 / UKSC: obowiązek czy szansa na wzmocnienie cyberbezpieczeństwa?

Warto pamiętać, że nadrzędnym celem ustawy wdrażającej NIS2 nie jest wyłącznie wprowadzenie sankcji czy „nadmiarowych obowiązków”, ale realne podwyższenie poziomu cyberbezpieczeństwa w sektorach najbardziej narażonych na cyberzagrożenia, m.in.:
  • dostawców usług zarządzanych ICT i cyberbezpieczeństwa,
  • dostawców infrastruktury cyfrowej (np. data center),
  • w energetyce, transporcie, ochronie zdrowia,
  • produkcji – sprzętu komputerowego, elektroniki, pojazdów mechanicznych, chemikaliów, żywności, leków,
  • dostawców usług cyfrowych,
  • organizacji badawczych,
  • kluczowych dostawców w łańcuchach dostaw ICT.
We współczesnym środowisku cyfrowym ataki, incydenty i naruszenia bezpieczeństwa informacji są nie kwestią „czy”, ale „kiedy”. Dobre, przemyślane wdrożenie wymogów NIS2/UKSC może więc:
  • chronić przed sankcjami i odpowiedzialnością,
  • zwiększać odporność organizacji na incydenty bezpieczeństwa,
  • budować przewagę konkurencyjną na rynku.
Z perspektywy klientów i partnerów biznesowych, wybierając dostawcę usług lub operatora infrastruktury, oczekujemy, że nasze dane będą bezpieczne, a organizacja będzie spełniać standardy cyberbezpieczeństwa wynikające z NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa.
Autor
Mikołaj Prochownik

Mikołaj Prochownik

 mikolaj.prochownik@kwkr.pl

Eksperci KWKR

1 2 3 4 5 51

Newsletter

Chcesz być na bieżąco?
Zapisz się do naszego newslettera

Wpisując powyżej swój adres e-mail i klikając „Subskrybuję!” oświadczasz, że zapoznałeś/aś się i akceptujesz Regulamin serwisu oraz zapisujesz się do newslettera, czyli informacji o tematyce prawniczej, w tym informacji o istotnych wydarzeniach z dziedziny prawa, zmian legislacyjnych oraz działalności, usługach i produktach Kancelarii, za pośrednictwem komunikacji e-mail.

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu realizacji usługi newslettera, a tym samym wysyłania na podany adres e-mail informacji handlowych i marketingowych, zgodnie z Polityką Prywatności oraz Regulaminem serwisu. Więcej informacji o zasadach przetwarzania danych osobowych, w tym prawach, jakie Ci przysługują, znajdziesz w Polityce Prywatności.

Please wait...

Dziękujemy za zapisanie się do naszego newslettera