Chemia i Biznes

W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Mogą Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Więcej szczegółów w naszej "Polityce prywatności Cookies"

Rozumiem i zgadzam się

Konfiguracja makiety

Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla firm energetycznych

2026-07-06

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze krytycznej obejmie wiele podmiotów z sektora energetycznego i ich podwykonawców. Część firm w Polsce wciąż nie jest świadoma nowych przepisów i naraża się na wysokie kary, jeśli w krótkim czasie nie wprowadzi odpowiednich procedur.

Celem Dyrektywy NIS2 z 2022 roku, która w Polsce została implementowana dopiero w tym roku poprzez zmianę ustawy o Krajowym Systemie Cyberbezpieczeństwa, jest podniesienie bezpieczeństwa cybernetycznego w spółkach o znaczeniu strategicznym. Najważniejsze obowiązki firm objętych ustawą to zarejestrowanie się w rządowej bazie, wdrożenie zarządzania cyberbezpieczeństwem, zgłaszanie incydentów w ciągu 24 godzin od ich wykrycia oraz zakaz współpracy z podmiotami, które trafią na listę dostawców wysokiego ryzyka. Zdaniem ekspertów Baker McKenzie, prawidłowo stosowane przepisy NIS2 powinny pomóc uniknąć zdarzeń podobnych do tego, jakie miało miejsce w grudniu ubiegłego roku, gdy wykryto w Polsce wrogą aktywność w systemach spółek OZE i jednej elektrociepłowni.

– Dyrektywa NIS2 jest ściśle związana z globalnymi i regionalnymi wyzwaniami w obszarze cyberbezpieczeństwa. W energetyce ogniskują się wchodzące obecnie w życie lub procedowane właśnie na poziomie unijnym i krajowym przepisy dotyczące ochrony systemów, sieci, urządzeń i danych, jak również podstawowej infrastruktury wytwórczej i przesyłowej. Prawie jednocześnie na horyzoncie pojawiają się też przepisy kolejnych aktów prawnych: NC CS, CER, CRA, EU Data Act. Dostosowanie do nowych przepisów to spore wyzwanie, a kary za niezgodność będą bardzo wysokie. Nowe przepisy wpływają też na inwestycje energetyczne w toku realizacji, w tym inwestycje z sektora jądrowego, OZE czy BESS – mówi Agnieszka Skorupińska, partnerka kierująca praktyką zrównoważonego rozwoju i transformacji energetycznej w warszawskim biurze Baker McKenzie. –

Branża energetyczna jest szczególnie eksponowana na zmiany zachodzące w prawie. Jednak znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje podmioty z wszystkich sektorów gospodarki uznanych za kluczowe lub ważne. Oprócz energetyki są to również transport lotniczy i kolejowy, infrastruktura cyfrowa, ochrona zdrowia, gospodarka odpadami i inne. Objęci są nią również poddostawcy przedsiębiorstw z tych branż.

– Z naszych obserwacji wynika, że niektóre, kluczowe podmioty w branży są świadome zmian w prawie i zadbały już o rozwiązania zapewniające bezpieczeństwo cybernetyczne albo intensywnie pracują nad spełnieniem wymogów NIS2 i polskiej ustawy. Tej świadomości nie ma natomiast wśród podmiotów mniejszych i ich poddostawców. Zapoznanie się z przepisami ustawy, rozstrzygnięcie czy podmiot podlega jej przepisom, rejestracja w systemie i audyt poddostawców to absolutne minimum, jakie powinna wykonać firma działająca w branży – dodaje Radosław Nożykowski, kierujący praktyką obronności oraz cyberbezpieczeństwa w Baker McKenzie w Warszawie.

Pierwszym krokiem, który powinny wykonać firmy to analiza, czy nowe obowiązki mają do nich zastosowanie, a zatem czy są tzw. podmiotem kluczowym albo ważnym. Następnie pojawia się konieczność zarejestrowania w publicznej bazie, czyli Systemie S46, do 3 października 2026 roku. Kolejnym krokiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji w firmach zgodnego z normami ISO 27001 lub równoważnego. Jeśli podmiot nie posiada dotychczas tego rodzaju systemu, powinien wziąć pod uwagę, że na wdrożenie go będzie miał zaledwie rok.

Kolejne istotne kwestie to precyzyjne obowiązki raportowania incydentów. Dla sektora OZE, a także BESS kluczowa natomiast jest lista dostawców wysokiego ryzyka, którą tworzył będzie minister cyfryzacji. Jeśli okaże się, że dany podmiot i jego produkty stwarzają zagrożenie dla bezpieczeństwa i w konsekwencji trafi on na listę dostawców wysokiego ryzyka, firmy w Polsce nie będą mogły podjąć z nimi współpracy. Natomiast przedsiębiorstwa posiadające już produkty od dostawcy, który trafił na listę, zostaną zobowiązane do wygaszenia tej współpracy, a także zmiany stosowanych rozwiązań.

Eksperci Baker McKenzie zwracają uwagę na surowość kar przewidzianych w nowych regulacjach. Mogą one dotyczyć zarówno firm, jak i członków zarządu i menedżerów odpowiedzialnych za bezpieczeństwo cyfrowe. Kary powiązane są z wysokością obrotu przedsiębiorstwa lub wynagrodzenia indywidualnego. W przypadku naruszenia przepisów powodujących poważne incydenty cyberbezpieczeństwa zagrażające obronności, zdrowiu publicznemu lub bezpieczeństwu publicznemu przewidziano maksymalną karę 100 mln złotych lub 2 proc. rocznego przychodu przedsiębiorstwa. Członkowie zarządu lub kierownicy jednostek, którzy dopuścili się rażącego zaniedbania w tym obszarze mogą zostać ukarani grzywną sięgającą 300 proc. ich rocznego wynagrodzenia.


Baker McKenzieenergetykaprawo

Podoba Ci się ten artykuł? Udostępnij!

Oddaj swój głos  

Ten artykuł nie został jeszcze oceniony.

Dodaj komentarz

Redakcja Portalu Chemia i Biznes zastrzega sobie prawo usuwania komentarzy obraźliwych dla innych osób, zawierających słowa wulgarne lub nie odnoszących się merytorycznie do tematu. Twój komentarz wyświetli się zaraz po tym, jak zostanie zatwierdzony przez moderatora. Dziękujemy i zapraszamy do dyskusji!


WięcejNajnowsze

Więcej aktualności



WięcejNajpopularniejsze

Więcej aktualności (192)



WięcejPolecane

Więcej aktualności (97)



WięcejSonda

Czy w Twojej firmie brakuje specjalistów z branży chemicznej (inżynierowie procesowi, chemicy, automatycy)?

Zobacz wyniki

WięcejW obiektywie