Cyberbezpieczeństwo w sektorze energii

Ataki wymierzone w podmioty sektora energii mogą spowodować naruszenie ciągłości dostaw energii, co może skutkować wzrostem jej cen, czy też ograniczenia w jej dostępności. W związku z tym, ustawodawca unijny przyjął nowe przepisy w celu wzmocnienia ochrony przed cyberzagrożeniami.

Należy do nich Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS 2). Zastępuje ona Dyrektywę NIS 1, kładącą podwaliny pod przepisy prawa wspólnotowego w zakresie cyberbezpieczeństwa.

3 kwietnia bieżącego roku weszła w życie ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, będąca implementacją Dyrektywy NIS 2. Należy przy tym zaznaczyć, że ustawa została skierowana do Trybunału Konstytucyjnego w trybie kontroli następczej, co oznacza, że jej przepisy obowiązują, choć ich zgodność z Konstytucją pozostaje przedmiotem oceny.

Co to oznacza dla polskiej energetyki?

Dyrektywa NIS 2 obejmuje publiczne i prywatne podmioty typów wskazanych w załącznikach I (sektory „wysokiego ryzyka”) i II (pozostałe sektory), które spełniają próg wielkości przedsiębiorstwa (co do zasady średnie lub większe) i prowadzą działalność w UE. Dodatkowo przewidziane są wyjątki i rozszerzenia (np. dla niektórych mniejszych podmiotów o krytycznym znaczeniu). Państwa członkowskie klasyfikują podmioty jako kluczowe (essential) lub ważne (important).

Kluczowe sektory obejmują m.in. energię (podsektory: energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz i wodór), transport (w tym zarządcy/operatorzy infrastruktury), wodę i ścieki oraz infrastrukturę cyfrową.

Nowelizacja KSC poza podsektorami wymienionymi w Dyrektywie NIS 2 poszerza katalog podsektorów sektora energetycznego także o: wydobywanie kopalin, energię jądrową oraz działalność podmiotów publicznych.

Z perspektywy regulacyjnej odnoszącej się do infrastruktury krytycznej, zakres podmiotowy obejmuje przede wszystkim operatorów sieci i instalacji. Należą do nich m.in. podmioty zajmujące się wytwarzaniem, przesyłem i dystrybucją energii, zarządzaniem infrastrukturą transportową, a także świadczeniem usług w obszarze zaopatrzenia w wodę i gospodarki ściekowej.

Zmiana obejmuje także szerokie spektrum uczestników rynku energii elektrycznej, gazu oraz ciepła systemowego. Dotyczy to zarówno operatorów systemów przesyłowych i dystrybucyjnych (OSP i OSD), jak i operatorów magazynów energii oraz infrastruktury LNG.

Nowelizacja ustawy KSC, w ślad za Dyrektywą NIS 2, wprowadza pojęcia „podmiotów kluczowych” i „podmiotów ważnych”, zastępując dotychczasowych „operatorów usług kluczowych” i „dostawców usług cyfrowych”.

Podmioty kluczowe stosują odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do ryzyka. Katalog obejmuje m.in.: politykę analizy ryzyka i bezpieczeństwa informacji, obsługę incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, polityki i procedury dotyczące kryptografii, bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu systemów, szkolenia, polityki kontroli dostępu, wieloskładnikowe/ciągłe uwierzytelnianie, bezpieczną komunikację i łączność awaryjną.

Zarządzanie i odpowiedzialność organów zarządzających

Na poziomie zarządczym nowelizacja wprowadza dodatkowo wymogi dotyczące odpowiedzialności organów zarządzających. Organy te zatwierdzają środki zarządzania ryzykiem, nadzorują ich wdrożenie oraz mogą ponosić odpowiedzialność za naruszenia obowiązków w tym zakresie (zgodnie z prawem krajowym). Wprowadzony został również obowiązek zapewnienia szkoleń dla członków organów zarządzających oraz kadry kierowniczej.

Audyt

Podmioty kluczowe przeprowadzają regularne cykliczne audyty bezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług. Komunikaty resortowe przewidują dla „nowych” podmiotów kluczowych termin pierwszego audytu w ciągu 24 miesięcy od spełnienia przesłanek.

Samoidentyfikacja podmiotów

Obecnie operatorzy usług kluczowych są wyznaczani w drodze decyzji administracyjnej, ale w związku z wprowadzeniem obowiązku samoidentyfikacji, każdy podmiot będzie z mocy prawa zobowiązany do samodzielnego ustalenia swojego statusu oraz dokonania wpisu do Wykazu podmiotów kluczowych i ważnych prowadzonego w systemie S46.

Obsługa incydentów i współpraca z CSIRT

Na mocy już obecnie obowiązujących przepisów krajowych dla każdego sektora ustanowiono organ właściwy do spraw cyberbezpieczeństwa. W sektorze energii organem takim jest minister właściwy ds. energii.

Zgodnie ze Sprawozdaniem Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa za rok 2024, opublikowanym przez Ministerstwo Cyfryzacji, w zakresie dotyczącym incydentów za ten rok, nie odnotowano co prawda ani jednego przypadku incydentu krytycznego, ale zarejestrowano 6 przypadków incydentów poważnych, z czego aż 5 w sektorze energii. Wszystkie one wynikały z awarii i nie nosiły znamion ataków z zewnątrz. Rok 2025 przyniósł natomiast duże, skoordynowane ataki wymierzone w stabilność dostaw energii.

Nowelizacja KSC definiuje incydent jako zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych, a incydent poważny jako incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej.

Zgodnie z treścią nowelizacji podmiot kluczowy będzie zobowiązany do zgłoszenia takiego incydentu do odpowiedniego sektorowego lub podsektorowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Obecnie istnieją trzy zespoły CSIRT na poziomie krajowym, ale organ właściwy także może powołać sektorowy zespół cyberbezpieczeństwa. CSIRT dla sektora energii nie został na ten moment jeszcze powołany.

Podmiot kluczowy zobowiązany będzie do zgłoszenia wczesnego ostrzeżenia o incydencie poważnym niezwłocznie nie później niż w ciągu 24 godzin od jego wykrycia, a CSIRT do udzielenia mu wsparcia. W ciągu 72 godzin podmiot kluczowy lub ważny zgłasza taki incydent wraz z dodatkowymi informacjami. Na wniosek CSIRT sektorowego, w ciągu miesiąca od zgłoszenia incydentu poważnego podmiot będzie zobowiązany do złożenia sprawozdania okresowego. Podmiot kluczowy lub ważny będzie miał także obowiązek poinformować użytkowników swoich usług o incydencie poważnym, w przypadku, jeśli będzie on miał niekorzystny wpływ na ich świadczenie.

Kluczowe terminy

W kontekście wdrażania regulacji wynikających z nowelizacji KSC, przewidziano szereg istotnych terminów, które determinują obowiązki poszczególnych podmiotów.

7 maja 2026 r. uruchomiony zostaje proces samorejestracji w Wykazie KSC, natomiast data 3 października 2026 r. wyznacza ostateczny termin na złożenie wniosku o wpis do wykazu przez podmioty zobowiązane do samorejestracji. Niedochowanie tego terminu może wiązać się z konsekwencjami regulacyjnymi, w tym potencjalnymi sankcjami administracyjnymi.

Z perspektywy wdrożenia systemów zarządzania bezpieczeństwem informacji (SZBI), szczególne znaczenie ma data 3 kwietnia 2027 r. Do tego dnia podmioty, które spełniały kryteria objęcia regulacją już w momencie wejścia w życie nowelizacji, powinny w pełni wdrożyć wymagane mechanizmy organizacyjne i techniczne.

Zasadniczym terminem przeprowadzenia pierwszego audytu dla tzw. „nowych” podmiotów kluczowych jest 3 kwietnia 2028 r.

Podsumowanie

W obliczu rosnącej liczby zagrożeń w cyberprzestrzeni wyzwania związane z cyberbezpieczeństwem będą się nasilać, dlatego kluczowe jest nie tylko przestrzeganie przepisów, ale także inwestowanie w innowacyjne rozwiązania i rozwój kompetencji w tym obszarze. Wdrażanie przepisów wymaga od przedsiębiorstw nie tylko dostosowania procedur, ale także budowania kultury cyberbezpieczeństwa na wszystkich etapach łańcucha dostaw. Będzie to decydować o stabilności i bezpieczeństwie sektora energetycznego w nadchodzących latach.