Oficjalny termin implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS2) do krajowych porządków prawnych państw członkowskich UE minął 17 października 2024 r.
W Polsce implementacja stała się faktem dopiero w 2026 r. – w dniu 23 stycznia 2026 r. Sejm uchwalił Ustawę o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Nowelizacja UKSC), Senat przyjął ją bez poprawek, a Prezydent podpisał 19 lutego 2026 r. Ustawa wchodzi w życie z dniem 3 kwietnia 2026 r.
Zanim skupimy się na tym, co się zmienia, warto podkreślić rzecz często pomijaną: sektor energetyki nie trafia do systemu cyberbezpieczeństwa po raz pierwszy.
Sektor energetyczny w UKSC – stan dotychczasowy
Obowiązująca od 2018 r. Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), implementująca pierwszą dyrektywę NIS z 2016 r., od samego początku obejmuje sektor energii jako sektor kluczowy. Uzyskanie statusu operatora usługi kluczowej wymagało jednak wieloetapowej procedury: podmiot musiał znajdować się w katalogu z Załącznika nr 1 do UKSC, świadczyć usługę kluczową wymienioną w Rozporządzeniu Rady Ministrów z 11 września 2018 r., w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, a jego usługa musiała być uzależniona od systemów informacyjnych, przy czym incydent musiałby przekroczyć określony próg istotności skutku zakłócającego. Progi te były konkretne i kwantyfikowalne, przykładowo dla dystrybucji energii elektrycznej w/w rozporządzenie określało trzy parametry: obsługę co najmniej 500 tys. odbiorców rocznie, udział w rynku co najmniej 2,5% oraz sieć o długości co najmniej 50 km – przy czym rozporządzenie nie przesądzało wprost, czy wszystkie trzy musiały być spełnione łącznie.
System ten był selektywny, obejmował podmioty o dużej skali, pozostawiając poza zakresem regulacji wielu uczestników rynku, których rola z perspektywy cyberbezpieczeństwa jest coraz istotniejsza. Nowelizacja UKSC zasadniczo zmienia tę logikę.
Kluczowa zmiana: kwalifikacja z mocy prawa
Nowelizacja odchodzi od decyzji administracyjnej jako podstawowego mechanizmu kwalifikacji. Zasadą staje się kwalifikacja z mocy prawa, a mechanizm decyzyjny – wyjątkiem. Zgodnie z nowym brzmieniem przepisów, podmiotem kluczowym albo podmiotem ważnym staje się podmiot prowadzący działalność wskazaną w załączniku nr 1 albo nr 2 do Nowelizacji UKSC, o ile spełnia kryterium wielkości określone w przepisach odwołujących się do definicji średniego przedsiębiorcy.
Podmiotem ważnym jest podmiot, który spełnia kryteria średniego przedsiębiorcy (co najmniej 50 i mniej niż 250 pracowników oraz obrót nieprzekraczający 50 mln EUR). Podmiotem kluczowym – podmiot, który przekracza próg średniego przedsiębiorcy (co najmniej 250 pracowników lub obrót powyżej 50 mln EUR albo suma bilansowa powyżej 43 mln EUR).
Jednak również podmioty nieprzekraczające tych progów mogą zostać – w drodze decyzji właściwego ministra – uznane za podmioty kluczowy lub ważne.
Ciągłość regulacyjna została zagwarantowana w przepisach przejściowych ustawy nowelizującej: dotychczasowi operatorzy usług kluczowych z dniem wejścia w życie nowelizacji stają się z mocy prawa podmiotami kluczowymi, bez konieczności wydawania nowej decyzji administracyjnej.
Art. 7l ustawy zachowuje jednocześnie możliwość uznania podmiotu za kluczowy lub ważny w drodze decyzji administracyjnej, jeżeli nie spełnia on kryterium wielkości, ale spełnia inne przesłanki takie jak jedyność świadczonej usługi, zagrożenie bezpieczeństwa państwa czy znaczenie systemowe. Mechanizm ten ma jednak charakter wyjątkowy, a nie podstawowy.
Co nowego w sektorze energii
Załącznik nr 1 do znowelizowanej UKSC utrzymuje energię jako sektor kluczowy, jednocześnie istotnie rozszerzając katalog działalności objętych regulacją.
W podsektorze energii elektrycznej, obok dotychczas objętych regulacją kategorii podmiotów – takich jak przedsiębiorstwa posiadające koncesje na wytwarzanie, przesyłanie, dystrybucję lub obrót energią elektryczną, podmioty zajmujące się przetwarzaniem lub magazynowaniem energii oraz prowadzące działalność w zakresie usług systemowych, jakościowych czy zarządzania infrastrukturą energetyczną — dodano nowe grupy, w tym:
- wyznaczeni operatorzy rynku energii elektrycznej (NEMO),
- uczestnicy rynku świadczący usługę agregacji,
- uczestnicy rynku świadczący usługę odpowiedzi odbioru,
- przedsiębiorcy odpowiedzialni za zarządzanie punktem ładowania oraz świadczenie usługi ładowania na rzecz użytkowników końcowych.
Zmiany dotyczą także pozostałych podsektorów.
W sektorze gazu, obok dotychczasowych podmiotów zajmujących się wytwarzaniem paliw gazowych, przedsiębiorstw posiadających koncesje na przesyłanie paliw gazowych oraz na obrót gazem ziemnym — zarówno krajowy, jak i zagraniczny — a także operatorów kluczowej infrastruktury gazowej, obejmujących system przesyłowy, dystrybucyjny, magazynowania oraz skraplania gazu ziemnego, regulacją objęte zostaną również podmioty prowadzące działalność w zakresie rafinacji i przetwarzania gazu ziemnego.
Dwa podsektory są całkowicie nowe. Energetyka jądrowa obejmuje operatora obiektu energetyki jądrowej. Wodór obejmuje przedsiębiorstwa prowadzące działalność w zakresie przesyłania, magazynowania, wytwarzania i dystrybucji wodoru. Szczególnie istotne jest objęcie reżimem ustawy inwestora obiektu energetyki jądrowej już na etapie przygotowawczym – inwestor, który uzyskał decyzję zasadniczą, został ujęty w Załączniku nr 2 jako podmiot ważny.
Cztery filary obowiązków
Nowelizacja porządkuje wymogi w czterech podstawowych obszarach. Pierwszy to zarządzanie ryzykiem – wdrożenie proporcjonalnych środków technicznych i organizacyjnych, obejmujących polityki analizy ryzyka, zarządzanie aktywami, kontrolę dostępu i szyfrowanie. Drugi to odpowiedzialność kierownictwa – kierownik podmiotu kluczowego lub ważnego ponosi osobistą odpowiedzialność za realizację obowiązków ustawowych i jest zobowiązany do uczestnictwa w szkoleniach z cyberbezpieczeństwa. Cyberbezpieczeństwo zostaje wprost wpisane w obszar ładu korporacyjnego. Trzeci obszar to raportowanie incydentów – wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie w ciągu 72 godzin, raport końcowy po miesiącu. Czwarty filar to bezpieczeństwo łańcucha dostaw – ocena ryzyk wynikających z relacji z dostawcami ICT, co dla sektora energetyki jest wymogiem o szczególnym znaczeniu operacyjnym. Wpływa to zwłaszcza na wymogi wobec dostawców usług SCADA/OT.
Sankcje są znacząco surowsze niż dotychczas. Dla podmiotów kluczowych kara może wynieść do 10 mln EUR lub 2% przychodów z poprzedniego roku obrotowego (stosuje się kwotę wyższą), jednak nie mniej niż 20 000 zł. W przypadku gdy naruszenie bezpośrednio zagraża bezpieczeństwu państwa lub życiu i zdrowiu ludzi górna granica wynosi 100 000 000 zł. Osobistej karze pieniężnej podlega również kierownik podmiotu.
Co zrobić teraz
Dotychczasowi operatorzy infrastruktury kluczowej w sektorze energetyki stają się podmiotami kluczowymi z dniem wejścia w życie Nowelizacji UKSC. Przepisy przejściowe dają im:
- 6 miesięcy (do 3 października 2026 r.) na dostosowanie trybu raportowania incydentów,
- 12 miesięcy (do 3 kwietnia 2027 r.) na wdrożenie nowego systemu zarządzania bezpieczeństwem
- 24 miesiące (do 3 kwietnia 2028 r.) na przeprowadzenie pierwszego audytu.
Punktem wyjścia powinna być analiza luk między aktualnym stanem a wymaganiami Nowelizacji UKSC, zwłaszcza w obszarze bezpieczeństwa łańcucha dostaw i odpowiedzialności kierownictwa.
Podmioty nowo objęte regulacją mają 12 miesięcy od wejścia w życie Nowelizacji UKSC na wdrożenie obowiązków. Rejestracja w wykazie podmiotów kluczowych i ważnych odbędzie się według harmonogramu ogłoszonego przez ministra właściwego do spraw informatyzacji.
