Dyrektywa NIS 2 i inne regulacje prawne w obszarze cyberbezpieczeństwa

W związku z cyfryzacją i elektronizacją, coraz więcej czynności i zadań realizowanych jest przez Internet. Jednocześnie wzrasta świadomość zarówno przedsiębiorców, jak i konsumentów, w obszarze cyberbezpieczeństwa, do czego przyczynia się z pewnością tworzenie unijnych (NIS 2/DORA/CRA) i krajowych ram prawnych w tym zakresie.

W dniu 23 stycznia 2026 r. Sejm uchwalił nowelizację o zmianie Ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, która ma wdrożyć w Polsce unijną dyrektywę NIS2 (druk sejmowy nr 1955). W dniu 19 lutego 2026 r. ustawa została podpisana przez Prezydenta (przy czym jednocześnie została skierowana do kontroli następczej przez Trybunał Konstytucyjny), a w dniu 2 marca 2026 r. ogłoszona w Dzienniku Ustaw (poz. 252).

Najważniejsze zmiany w stosunku do pierwotnego, wniesionego do Sejmu projektu: wydłużenie do 6 miesięcy terminu na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych; wydłużenie do 12 miesięcy terminu na wdrożenie wymaganych przez UKSC środków zarządzania ryzykiem w cyberbezpieczeństwie; wydłużenie do 12 miesięcy terminu na rozpoczęcie korzystania przez podmioty kluczowe i ważne z systemu S46; wskazanie, że kary pieniężne za naruszenie przepisów UKSC będą mogły zostać nałożone dopiero po upływie 2 lat od wejścia w życie ustawy; zawężenie definicji organizacji badawczej oraz modyfikację zakresu podlegania pod UKSC przez wybrane podmioty z sektora badań naukowych.

Zgodnie z szacunkami Ministerstwa Cyfryzacji, nowelizacja ustawy o KSC dotyczyć będzie ponad 10 000 podmiotów w Polsce, w porównaniu do około 400 podmiotów (tzw. operatorów usług kluczowych), które podlegały ustawie o Krajowym Systemie Cyberbezpieczeństwa z 2018 r.

Niezależnie do tego, od 17 stycznia 2025 r. obowiązuje rozporządzenie unijne DORA, które ustanowiło, szczegółowe regulacje w zakresie cyberbezpieczeństwa dla sektora finansowego. Nowe regulacje NIS 2 oraz DORA to nie tylko nowy zakres podmiotów tworzących Krajowy System Cyberbezpieczeństwa, ale również bardziej restrykcyjne wymagania i obowiązki, a także odpowiedzialność finansowa przedsiębiorstwa oraz osobista członków zarządów za odpowiednie wdrożenie środków zarządzania ryzykiem. Wkrótce można się spodziewać także nowych regulacji z zakresu cyberbezpieczeństwa – nakładających obowiązki także na producentów, importerów i dystrybutorów produktów z elementami cyfrowymi (Cyber Resiliance Act).

Cel szkolenia

Celem szkolenia jest przedstawienie obecnych oraz przyszłych ram prawnych dotyczących obszaru cyberbezpieczeństwa, a także wskazanie optymalnej drogi do wdrożenia zgodności z tymi regulacjami.

Warsztat skupi się również na kwestiach regulacji tych zagadnień w umowach z dostawcami IT – nakreślone zostaną kluczowe postanowienia, które powinny zostać wprowadzone do umów, a także konsekwencje ich braku, zwłaszcza w obszarze odpowiedzialności i rozwiązywania umów. Ostatni blok zagadnień dotyczyć będzie odpowiedzialności karnej, administracyjnej i cywilnej w obszarze cyberbezpieczeństwa.

W ramach szkolenia omówione zostaną m.in.:

• przepisy oraz soft law regulujące zagadnienia z zakresu cyberbezpieczeństwa,
• kluczowe założenia nowych regulacji, które organizacja musi wdrożyć,
• zasady identyfikacji i rejestracji podmiotów kluczowych oraz ważnych zgodnie z najnowszą wersją projektu UKSC,
• normy ISO i inne standardy w kontekście wdrażania środków zarządzania ryzykiem,
• sposoby praktycznego konkretyzowania ogólnych wymogów oraz dobierania właściwych środków technicznych,
• możliwości wykorzystania doświadczeń z wdrażania RODO w kontekście NIS 2,
• metody unikania potencjalnych sankcji prawnych,
• obowiązki wynikające z NIS 2, UKSC i DORA dotyczące łańcucha dostaw,
• kwestie cyberbezpieczeństwa w umowach IT (dotyczących wdrożenia czy serwisu),
• zasady odpowiedzialności za naruszenie cyberbezpieczeństwa – kto i na jakich warunkach ją ponosi.

Prelegenci zapraszają na szkolenie:

1. Obecne ramy prawne w obszarze cyberbezpieczeństwa.
   • Regulacje unijne, w tym:
     • dyrektywa NIS,
     • RODO,
     • Akt o cyberbezpieczeństwie,
     • dyrektywa CER,
     • rozporządzenie DORA.
   • Regulacje krajowe, w tym:
     • ustawa o krajowym systemie cyberbezpieczeństwa.
   • Soft law, wytyczne i normy.
2. Przyszłe ramy prawne w obszarze cyberbezpieczeństwa.
   • Regulacje unijne, w tym:
     • rozporządzenie CRA,
     • AI Act.
   • Regulacje krajowe, w tym:
     • Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 12 sierpnia 2025 r.
3. Nowy zakres podmiotowy krajowego systemu cyberbezpieczeństwa.
   
   • Kogo dotyczą nowe regulacje NIS 2 i ustawy o krajowym systemie cyberbezpieczeństwa?
   • Relacja dyrektywy NIS 2 do innych regulacji z zakresu cyberbezpieczeństwa.
   • Kim są pomioty ważne i kluczowe w rozumieniu dyrektywy NIS 2 i projektu UKSC?
   • Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych wg projektu UKSC.
4. Środki zarządzania ryzykiem jako podstawa zapewnienia cyberbezpieczeństwa w organizacji.
   
   • Podstawowe środki zarządzania ryzykiem w cyberbezpieczeństwie zgodnie z NIS.
   • Ogólne zasady stosowania środków zarządzania ryzykiem.
   • Jak oceniać czy stosowane środki są „odpowiednie”?
   • Normy ISO oraz inne normy a wdrażanie środków zarządzania ryzykiem.
   • Jak konkretyzować w praktyce ogólne wymogi i dobierać właściwe środki techniczne?
5. Cyberbezpieczeństwo łańcucha dostaw.
   • Incydenty w łańcuchu dostaw – znaczenie cyberbezpieczeństwa.
   • Obowiązki wynikające z NIS 2, DORA oraz UKSC dotyczące łańcucha dostaw.
   • Dobre praktyki w zakresie cyberbezpieczeństwa łańcucha dostaw – regulacje wewnętrzne i kontraktowe.
   • Kiedy, jak i jakich dostawców weryfikować w zakresie cyberbezpieczeństwa, aby wypełnić wymagania wynikające z NIS 2?
   • Bezpieczeństwo łańcucha dostaw a Prawo zamówień publicznych.
6. Cyberbezpieczeństwo w umowach.
   
   • Rodzaje umów w zakresie cyberbezpieczeństwa:
     • NDA,
     • umowy outsourcingu,
     • umowy na pentesty,
     • umowy IT: wdrożenia, serwis, licencje ze wsparciem technicznym.
   • Jakie kwestie warto wziąć pod uwagę na różnym etapie współpracy z dostawcą:
     • przygotowanie i negocjacje umowy,
     • realizacja umowy.
   • Zasady odpowiedzialności wynikające z przepisów i możliwość ich modyfikacji w umowie.
7. Odpowiedzialność za naruszenie cyberbezpieczeństwa.
   
   • Rodzaje odpowiedzialności za naruszenie cyberbezpieczeństwa:
     • odpowiedzialność administracyjna,
     • odpowiedzialność karna,
     • odpowiedzialność pracownicza,
     • odpowiedzialność cywilna.
   • Krajowy system cyberbezpieczeństwa:
     • uprawnienia organu właściwego ds. cyberbezpieczeństwa,
     • nadzór i kontrola,
     • wysokość i podstawy do nałożenia kar,
     • na kogo może zostać nałożona kara?
   • Inne podstawy odpowiedzialności administracyjnej – RODO i regulacje sektorowe.
   • Odpowiedzialność karna:
     • przestępstwa przeciwko ochronie informacji,
     • tryb ścigania i aspekty dowodowe.
   • Odpowiedzialność pracownicza:
     • sposób regulacji odpowiedzialności w umowie i regulacjach wewnętrznych,
     • zakres odpowiedzialności i tryb jej egzekwowania.
   • Odpowiedzialność cywilna:
     • za co odpowiada dostawca IT?
     • roszczenia odszkodowawcze i kary umowne,
     • znaczenie norm i przepisów branżowych,
     • case studies – wyłączenie odpowiedzialności,
     • cyberpolisy.