NIS2 i UKSC w sektorze telekomunikacyjnym

Dyrektywa NIS2 oraz nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) w istotny sposób wpływają na sektor telekomunikacyjny.

NIS2 a sektor telekomunikacyjny

NIS2 i UKSC w sektorze telekomunikacyjnym weszły w życie 3 kwietnia 2026 roku. Dla operatorów sieci, dostawców usług komunikacji elektronicznej i podmiotów zarządzających infrastrukturą cyfrową oznacza to realne i wiążące obowiązki – nie kolejną regulację w tle, ale zestaw wymagań z konkretnymi terminami, mechanizmami nadzoru i karami.

Wynika to z fundamentalnej roli telekomunikacji: awaria lub kompromitacja sieci operatora może natychmiastowo dotknąć energetykę, finanse, służby ratunkowe i administrację publiczną. Dlatego sektor ten znalazł się w centrum unijnych regulacji cyberbezpieczeństwa, a polska ustawa UKSC precyzuje, jak te wymagania wyglądają w praktyce.

Kluczowe terminy dla sektora telekomunikacyjnego:

  • 3 kwietnia 2026 – ustawa UKSC wchodzi w życie; podmioty kluczowe podlegają regulacji
  • 3 października 2026 – termin rejestracji w systemie S46 (podmioty kluczowe i ważne)
  • Do 3 kwietnia 2027 – wdrożenie systemu zarządzania ryzykiem i środków technicznych
  • Do 3 kwietnia 2028 – pierwszy obowiązkowy audyt bezpieczeństwa; od tej daty mogą być nakładane kary finansowe

Dlaczego telekomunikacja jest w centrum regulacji NIS2?

Dyrektywa NIS2 wprost wskazuje infrastrukturę cyfrową i komunikację elektroniczną jako sektory krytyczne. Uzasadnienie jest techniczne i strategiczne jednocześnie.

Sektor telekomunikacyjny jest chronicznym celem zaawansowanych ataków – zarówno ze strony cyberprzestępców, jak i podmiotów powiązanych z państwami. Ustawodawca unijny wyciągnął konkretne wnioski: operatorzy telekomunikacyjni muszą dysponować udokumentowanymi, działającymi i testowanymi mechanizmami ochrony – nie na papierze, ale w praktyce operacyjnej.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa jako akt implementujący NIS2 do polskiego porządku prawnego precyzuje mechanizmy nadzoru, kategorie podmiotów i harmonogram obowiązków. Od 3 kwietnia 2026 roku przepisy obowiązują.

Które podmioty sektora telekomunikacyjnego podlegają UKSC?

Nie każda firma z branży automatycznie wchodzi w zakres regulacji. Kluczowe znaczenie ma charakter świadczonych usług oraz ich rola w ciągłości funkcjonowania infrastruktury cyfrowej państwa.

UKSC, zgodnie z NIS2, dzieli podmioty na kluczowe i ważne – różnią się intensywnością nadzoru i wysokością ewentualnych kar, ale obie kategorie muszą wdrożyć system zarządzania ryzykiem i procedury obsługi incydentów.

Potencjalnie objęte regulacją mogą być:

  • operatorzy sieci mobilnych (MNO) i wirtualni operatorzy sieci (MVNO), w zależności od skali działalności,
  • dostawcy stacjonarnych usług szerokopasmowych i hurtowego dostępu do internetu,
  • operatorzy sieci szkieletowych i transeuropejskich,
  • dostawcy usług DNS i rejestratorzy domen najwyższego poziomu (TLD),
  • operatorzy centrów danych i usług chmurowych świadczący usługi dla podmiotów krytycznych,
  • operatorzy punktów wymiany ruchu internetowego (IXP),
  • podmioty świadczące usługi komunikacji elektronicznej dla administracji publicznej i sektorów krytycznych.

Samo działanie w telekomunikacji nie przesądza o kwalifikacji – kluczowe są skala, liczba użytkowników i wpływ na ciągłość usług kluczowych. Wiele firm działa w kilku segmentach jednocześnie, co komplikuje ocenę statusu i wymaga szczegółowej analizy.

Praktyczna zasada: każdy operator powinien przeprowadzić udokumentowaną ocenę swojego statusu. Brak takiej oceny jest sam w sobie ryzykiem prawnym i finansowym.

Sprawdź, czy podlegasz pod UKSC (NIS2)

Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!


Napisz do nas!

Olga Budziszewska

GRC Advisory

Czym UKSC różni się od dotychczasowych regulacji telekomunikacyjnych?

Operatorzy telekomunikacyjni funkcjonują już w gęstym środowisku regulacyjnym – Prawo telekomunikacyjne, nadzór UKE, obowiązki z rozporządzenia BEREC oraz unijnych aktów dotyczących bezpieczeństwa sieci. Pytanie, które słyszymy najczęściej, brzmi: dlaczego UKSC to coś nowego, skoro już i tak podlegamy regulacjom?

Różnica jest fundamentalna i dotyczy czterech obszarów.

Po pierwsze, zakres odpowiedzialności przenosi się na zarząd. Dotychczasowe regulacje adresowały głównie poziom techniczny. UKSC natomiast wzmacnia osobistą odpowiedzialność kierownictwa – prezes nie może scedować nadzoru nad cyberbezpieczeństwem wyłącznie na dyrektora IT. W związku z tym brak takiego nadzoru może skutkować odpowiedzialnością osobistą.

Po drugie, bezpieczeństwo łańcucha dostaw staje się obowiązkiem, nie dobrą praktyką. Operatorzy muszą weryfikować ryzyko u dostawców sprzętu i oprogramowania, w tym stosować analizę ryzyka wobec dostawców z krajów o podwyższonym ryzyku geopolitycznym. Ponadto istniejące kontrakty wymagają pilnego przeglądu.

Po trzecie, raportowanie incydentów jest ustrukturyzowane i niezależne od UKE. UKSC wprowadza trójstopniowy system zgłaszania do CSIRT z konkretnymi terminami. Co istotne, jeden incydent może zatem wymagać równoległego raportowania do różnych organów.

Po czwarte, sankcje są wyższe i mogą dotyczyć osób zarządzających – nie tylko samej organizacji.

Dlatego spełnienie obowiązków wobec UKE nie gwarantuje zgodności z UKSC. To dwa równoległe systemy regulacyjne, które należy traktować oddzielnie.

Konkretne wymagania – co w praktyce musi zrobić operator telekomunikacyjny?

1. System zarządzania ryzykiem sieci i systemów (SZBI)

UKSC wymaga wdrożenia proporcjonalnych środków technicznych i organizacyjnych opartych na systematycznej, udokumentowanej analizie ryzyka. System musi obejmować cały cykl życia systemów i usług – od projektowania sieci, przez eksploatację, po wycofanie urządzeń. Dla operatora telekomunikacyjnego oznacza to inwentaryzację sieci i systemów, przypisanie właścicieli procesów bezpieczeństwa, regularne przeglądy polityk i udokumentowane decyzje o ryzyku akceptowalnym.

Obszary szczególnej uwagi w telekomunikacji to środowisko sieciowe (urządzenia aktywne, węzły, systemy zarządzania siecią), platformy OSS/BSS, systemy bilingowe oraz infrastruktura dostępowa.

2. Zgłaszanie incydentów – nowe, wiążące terminy

UKSC utrzymuje unijne wymogi NIS2 w zakresie raportowania:

  • 24 godziny – wczesne ostrzeżenie do właściwego CSIRT po wykryciu poważnego incydentu
  • 72 godziny – pełne zgłoszenie incydentu z oceną jego skutków i wstępną analizą przyczyn
  • 30 dni – sprawozdanie końcowe z opisem działań naprawczych i wnioskami

Zgłoszenia trafiają do CSIRT TELKO (dla sektora telekomunikacyjnego) przez system S46. Operator musi dysponować wewnętrznymi procedurami, które pozwolą terminowo dostarczyć wymagane informacje – co oznacza gotowość do klasyfikacji incydentów i szybkiej eskalacji wewnętrznej.

3. Bezpieczeństwo łańcucha dostaw

W telekomunikacji znaczna część bezpieczeństwa zależy od zewnętrznych dostawców – producentów sprzętu sieciowego, platform zarządzania siecią, operatorów centrów danych i dostawców usług zarządzanych. UKSC nakłada obowiązek zarządzania ryzykiem w łańcuchu dostaw.

W praktyce oznacza to:

  • ocenę dostawców sprzętu i oprogramowania pod kątem bezpieczeństwa, w tym analizę ryzyka geopolitycznego,
  • klauzule bezpieczeństwa w umowach z podwykonawcami (czasy reakcji na incydenty, dostęp do logów, obowiązki informacyjne),
  • przegląd istniejących kontraktów pod kątem zgodności z UKSC,
  • udokumentowane decyzje zakupowe w przypadku wyboru dostawców z krajów objętych podwyższoną oceną ryzyka.

4. Ciągłość działania i plany awaryjne

Oczekiwania dotyczące dostępności sieci telekomunikacyjnych są wyjątkowo wysokie. UKSC wymaga, by plany ciągłości działania były nie tylko opracowane, ale regularnie testowane i dostępne dla osób decyzyjnych. Operator musi wiedzieć, w jakim czasie i w jaki sposób jest w stanie przywrócić kluczowe usługi po incydencie – i móc to udokumentować.

5. Zarządzanie dostępem do infrastruktury krytycznej

Kontrola dostępu do systemów zarządzania siecią, platform OSS/BSS i węzłów krytycznych to jeden z obszarów, które UKSC traktuje szczególnie rygorystycznie. Obejmuje to uwierzytelnianie wieloskładnikowe dla dostępu uprzywilejowanego, kontrolę dostępu zdalnego dla pracowników i podwykonawców oraz audytowalność działań w systemach krytycznych.

6. Szkolenia kadry zarządzającej i pracowników

Regularne, udokumentowane szkolenia z zakresu cyberbezpieczeństwa są obowiązkiem – zarówno dla pracowników operacyjnych, jak i dla kadry zarządzającej. Kierownictwo musi rozumieć ryzyka cybernetyczne specyficzne dla telekomunikacji, by sprawować realny nadzór nad obszarem bezpieczeństwa.

Kary i odpowiedzialność – ile ryzykuje operator?

Kary finansowe mogą być nakładane po upływie 24 miesięcy od wejścia ustawy w życie, tj. od 3 kwietnia 2028 roku. Jednak skala sankcji powinna skłonić każdego operatora do działania już teraz:

Typ podmiotuMaksymalna kara
Podmiot kluczowy10 mln euro lub 2% rocznego światowego obrotu
Podmiot ważny7 mln euro lub 1,4% rocznego światowego obrotu
Dodatkowe sankcje (obie kategorie)Obowiązkowe audyty; odpowiedzialność osobista kierownictwa

Kary dotyczą nie tylko braków formalnych, ale przede wszystkim nieadekwatności środków bezpieczeństwa wobec zidentyfikowanego ryzyka. W telekomunikacji, gdzie ryzyko jest obiektywnie wysokie, trudno będzie uzasadnić brak wdrożenia nawet podstawowych mechanizmów.

Czy podlegam pod UKSC (NIS2)?

Ankieta powyżej pozwala w kilku krokach wstępnie ocenić, czy Twój sektor wchodzi w zakres UKSC. W telekomunikacji jednak ostateczna kwalifikacja wymaga analizy konkretnego modelu działalności — rodzaju usług, skali, roli w łańcuchu dostaw. Dlatego zapraszamy na bezpłatną rozmowę z naszym zespołem i prawnikami z kancelarii KRWLEGAL, podczas której odpowiemy na pytania dotyczące Twojej sytuacji.

Jak SEDIVIO wspiera operatorów telekomunikacyjnych w przygotowaniu do NIS2 i UKSC?

Wdrożenie UKSC w telekomunikacji to projekt, który wymaga jednoczesnej kompetencji technicznej i prawnej. Dlatego realizujemy wdrożenia wspólnie z kancelarią prawną KRWLEGAL – co oznacza, że operator otrzymuje w jednym miejscu zarówno analizę regulacyjną i interpretację przepisów, jak i projekt techniczny oraz wdrożenie środków bezpieczeństwa. To podejście eliminuje lukę, która pojawia się wtedy, gdy prawnicy i inżynierowie pracują osobno i mówią różnymi językami.

Od ponad 20 lat aktywnie uczestniczymy w cyfryzacji Polski – wdrażaliśmy systemy, budowaliśmy infrastrukturę IT i doradzaliśmy przy projektach transformacji cyfrowej zarówno w sektorze prywatnym, jak i w jednostkach publicznych. To doświadczenie przekłada się na rozumienie specyfiki środowisk, w których pracują operatorzy: złożoności architektury sieciowej, presji na dostępność usług i ograniczeń wynikających z eksploatacji systemów legacy.

Nasze działania w sektorze telekomunikacyjnym obejmują:

  • kwalifikację i analizę regulacyjną – ustalenie statusu podmiotu (kluczowy/ważny) i zakresu obowiązków, z interpretacją prawną KRWLEGAL,
  • ocenę dojrzałości operacyjnej – identyfikację luk w zarządzaniu ryzykiem, procesach incydentowych i łańcuchu dostaw,
  • wdrożenie systemu zarządzania ryzykiem – projektowanie SZBI adekwatnego do specyfiki sieci i usług operatora,
  • przygotowanie dokumentacji i procedur – polityki, procedury obsługi incydentów, rejestry ryzyka i dokumentacja dla audytorów,
  • wsparcie techniczne – z wykorzystaniem własnych narzędzi Cyrima, TestSec i Navigator, które wspierają zarządzanie bezpieczeństwem i ryzykiem.

Jeżeli chcesz zweryfikować, czy i w jakim zakresie Twoja organizacja podlega UKSC, oraz jakie kroki mają faktyczne znaczenie z punktu widzenia zarządu i nadzoru, warto rozpocząć od merytorycznej rozmowy i niezależnej diagnozy. 

Zaufali nam

Od instytucji publicznych po liderów innowacji – wspólnie tworzymy bezpieczniejsze środowisko cyfrowe. Sprawdź nasze case studies

Dodaj tu swój tekst nagłówka

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.