Usługi zarządzania bezpieczeństwem – weryfikacja stosowania UKSC

21 października 2025 roku Rada Ministrów przyjęła projekt ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Może to oznaczać, że nowe obwiązki będą niedługo obowiązywać adresatów regulacji. Nowelizowana ustawa ma implementować wymogi dyrektywy NIS2[1] do polskiego porządku prawnego. Dyrektywa NIS2/projekt UKSC ma harmonizować wymogi dotyczące cyberbezpieczeństwa m.in. poprzez objęcie regulacją większą liczbę podmiotów i wyznaczenie adresatów dyrektywy NIS2 przy zastosowaniu kryterium sektora i wielkości prowadzanej działalności gospodarczej. Co do zasady, każdy podmiot będzie musiał samodzielnie ocenić, czy podlega nowej regulacji.

Jednym z kluczowych aspektów UKSC jest objęcie dostawców usług zarządzanych w zakresie cyberbezpieczeństwa obowiązkami NIS2/UKSC. Dla branży IT może to oznaczać finansowe „być albo nie być” biorąc pod uwagę potencjalne obowiązki nałożone przez UKSC. Jeżeli podmiot świadczący usługi zarządzania cyberbezpieczeństwem będzie objęty UKSC, to będzie musiał m.in. zapewnić:

• Zgłaszanie poważnych incydentów do właściwego CSIRT sektorowego.
• Wczesne ostrzeżenie o incydencie poważnym: nie później niż w ciągu 24 godzin od momentu wykrycia.
• Wdrożenie system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi.
• Wdrożenie polityki szacowania ryzyka i bezpieczeństwa, ciągłość łańcucha dostaw, planów ciągłości działania i odtworzenia działalności, monitorowanie w trybie ciągłym, kryptografię, zarządzanie aktywami i kontrola dostępu.
• Edukację i szkolenia w zakresie cyberbezpieczeństwa.
• Udostępnić na swojej stronie internetowej zakres działania, w tym oferowany rodzaj wsparcia, zasady współpracy i wymiany informacji, politykę komunikacji, listę oferowanych usług oraz politykę obsługi incydentów i koordynacji incydentów (art. 8g ust. 2 UKSC).

Czy podlegamy – kryteria oceny

Zgodnie z art. 2 pkt 4i projektu UKSC dostawca usług zarządzanych w zakresie cyberbezpieczeństwa to:

• osoba fizyczna, prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która
• świadczy usługi polegające na realizacji lub,
• wsparciu dla realizacji działań związanych z zarządzaniem ryzykiem w cyberbezpieczeństwie, w tym obsługę incydentów, testów bezpieczeństwa, audytów systemów informacyjnych i usługi doradztwa.

Tak zdefiniowana usługa zarządzania może rodzić wątpliwości, czy każdy podmiot świadczący usługi zarządzania cyberbepzieczeństwem będzie podlegał wymaganiom UKSC.  Dodatkowo, czy tak zdefiniowana usługa nie poszerza stosowania UKSC o usługi o charakterze doradczym lub konsultacyjnym. Takie poszerzenie UKSC byłoby w mojej ocenie sprzeczne z rozumieniem usługi ICT, które mają stanowić przedmiot regulacji.  Usługi ICT to usługi, które polegają w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych. Takie rozumienie usługi objętej UKSC wynika z art. 3 pkt 13 aktu o cyberbezpieczeństwie[2]. Tak zdefiniowana usługa ICT odwołuje się do „cyfrowego” charakteru przedmiotu usługi/umowy. Zatem tylko usługi, których głównym celem jest przetwarzanie danych w sposób cyfrowy powinny regulowane przez UKSC, a nie usługi doradcze i konsultacyjne.

Dlatego warto rozróżnić i zweryfikować, kiedy jako świadczący usługi zarządzania cyberbezpieczeństwem jesteśmy objęci UKSC. W celu weryfikacji warto oprzeć się na art. 8g  projektu UKSC oraz zweryfikować, czy przekraczamy progi zakresu działalności przewidziane w UKSC.

Zatem, spełnienie poniżej wskazanych kryteriów pozwoli na wstępną ocenę, czy należy stosować UKSC.

• Czy jesteśmy podmiotem kluczowym? Podmiot kluczowy to duży przedsiębiorca, który zatrudniał średniorocznie przynajmniej 250 pracowników, osiągnął roczny obrót netto przynajmniej 50 mln euro lub sumy aktywów osiągnęły przynajmniej 43 mln euro.
• Czy rzeczywiście obsługujemy incydenty, czy mamy bezpośrednią informację o incydentach w ramach dostępu do systemów klienta?
• Czy koordynujemy obsługę incydentów, o których mamy bezpośrednią wiedzę?
• Czy zarządzając ryzykiem mamy bezpośredni dostęp do systemów ICT/systemu informacyjnego klienta?

Marek Dzięciołowski, adwokat, współtworzył Q&A do Komunikatu Chmurowego UKNF, opracowania ZBP dot. ICT, specjalizuje się w tematyce TMT, prywatności, cyberbezpieczeństwie.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) z 14 grudnia 2022 r. nr 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r.