Krajowy System Cyberbezpieczeństwa: art. 8 ust. 1 UKSC

Środki bezpieczeństwa UKSC: pięć obszarów systemu zarządzania bezpieczeństwem informacji

Sercem obowiązków podmiotu kluczowego i podmiotu ważnego jest system zarządzania bezpieczeństwem informacji wymagany przez art. 8 ust. 1 UKSC. Ustawa nie podaje listy gotowych produktów. Definiuje pięć obszarów, które podmiot musi pokryć adekwatnie do swojego ryzyka. Na tej stronie tłumaczymy, czego każdy z obszarów wymaga w praktyce, jak działa zasada proporcjonalności i czym jest metodyczna warstwa Narodowych Standardów Cyberbezpieczeństwa (NSC).

Podstawa: ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), w brzmieniu nadanym nowelizacją Dz.U. 2026 poz. 252, w mocy od 3 kwietnia 2026 r. Organem właściwym jest Minister Cyfryzacji.

Czym jest system zarządzania bezpieczeństwem informacji

System zarządzania bezpieczeństwem informacji to nie pojedyncze narzędzie, lecz powtarzalny cykl: organizacja rozpoznaje ryzyko, dobiera środki, wykrywa i obsługuje incydenty, a następnie uczy się i poprawia. Pięć obszarów z art. 8 ust. 1 UKSC opisuje, co ten cykl musi obejmować. Pierwszy obszar, zarządzanie ryzykiem, wyznacza zakres pozostałych: to wynik oceny ryzyka decyduje o tym, jak mocne mają być środki techniczne, organizacyjne i procesowe.

Obowiązek dotyczy zarówno podmiotu kluczowego, jak i podmiotu ważnego. Różnica leży nie w zestawie obszarów, lecz w intensywności środków i w sposobie nadzoru. Jeżeli nie masz pewności, do której kategorii należysz, sprawdź stronę o podmiotach kluczowych i ważnych.

Pięć obszarów art. 8 ust. 1 UKSC

Poniżej każdy obszar wraz z tym, czego wymaga w codziennej praktyce.

  • Obszar 1

    Zarządzanie ryzykiem

    Punkt wyjścia całego systemu. Podmiot musi w sposób systematyczny i udokumentowany identyfikować, analizować oraz oceniać ryzyko dla świadczonych usług, a następnie dobierać środki adekwatne do wyniku tej oceny.

    • Inwentaryzacja zasobów informacyjnych oraz usług kluczowych dla działania organizacji.
    • Metodyka szacowania ryzyka: identyfikacja zagrożeń i podatności, ocena prawdopodobieństwa oraz skutków.
    • Plan postępowania z ryzykiem z przypisaną odpowiedzialnością i terminami.
    • Okresowy przegląd oceny ryzyka i jej aktualizacja po istotnych zmianach w organizacji lub po incydencie.
    • Uwzględnienie ryzyka wynikającego z łańcucha dostaw i relacji z dostawcami.
  • Obszar 2

    Środki techniczne i organizacyjne

    Konkretne zabezpieczenia, które przekładają ocenę ryzyka na codzienną praktykę. Łączą warstwę technologiczną z politykami i procedurami obowiązującymi w organizacji.

    • Polityki bezpieczeństwa informacji zatwierdzone przez kierownictwo i komunikowane pracownikom.
    • Kontrola dostępu oparta na rolach oraz uwierzytelnianie wieloskładnikowe dla kont uprzywilejowanych i dostępu zdalnego.
    • Szyfrowanie danych w spoczynku i w tranzycie oraz zarządzanie kluczami.
    • Kopie zapasowe, ich regularne testowanie i odseparowane przechowywanie.
    • Bezpieczeństwo zasobów ludzkich: szkolenia, budowanie świadomości i zasady higieny cyberbezpieczeństwa.
    • Zarządzanie podatnościami oraz aktualizacjami oprogramowania.
  • Obszar 3

    Informacje o cyberzagrożeniach

    Podmiot nie działa w próżni. Musi pozyskiwać, przetwarzać i wykorzystywać informacje o aktualnych zagrożeniach, aby wyprzedzać ataki, a nie tylko na nie reagować po fakcie.

    • Pozyskiwanie informacji o zagrożeniach z wiarygodnych źródeł, w tym od właściwego CSIRT.
    • Bieżące monitorowanie komunikatów o podatnościach i kampaniach istotnych dla danego sektora.
    • Procedura przekładania informacji o zagrożeniu na działania ochronne, na przykład pilną aktualizację lub zmianę konfiguracji.
    • Udział w wymianie informacji oraz współpraca z właściwym CSIRT i innymi podmiotami.
  • Obszar 4

    Zarządzanie incydentami

    Zdolność do wykrycia, obsłużenia i prawidłowego zgłoszenia incydentu. To obszar najbardziej wrażliwy na czas, ponieważ wiąże się z ustawowymi terminami zgłoszeń do właściwego CSIRT.

    • Procedury wykrywania, rejestrowania i klasyfikowania incydentów.
    • Kryteria uznania zdarzenia za poważny incydent.
    • Zgłaszanie poważnego incydentu do właściwego CSIRT: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca.
    • Wyznaczenie ról i osób odpowiedzialnych za obsługę incydentu oraz komunikację.
    • Rejestr incydentów i wnioski wyciągane po ich zamknięciu.

    Szczegóły terminów i kanałów zgłoszeń znajdziesz na stronie zgłoszenia incydentu do CSIRT.

  • Obszar 5

    Zapobieganie i ograniczanie wpływu incydentów

    Obszar oparty na założeniu, że część incydentów i tak nastąpi. Jego celem jest zapewnienie, że organizacja przetrwa, utrzyma usługi i szybko wróci do normalnego działania.

    • Plany ciągłości działania oraz plany odtwarzania po awarii (disaster recovery).
    • Mechanizmy ograniczania zasięgu incydentu i jego skutków dla świadczonych usług.
    • Testy i ćwiczenia planów, w tym ćwiczenia scenariuszowe (tabletop).
    • Zarządzanie kryzysowe oraz komunikacja wewnętrzna i zewnętrzna w trakcie incydentu.

    Plany warto sprawdzać na ćwiczeniach scenariuszowych. Zobacz ćwiczenia tabletop.

Zasada proporcjonalności

UKSC nie nakłada na każdy podmiot identycznego zestawu rozwiązań. Środki bezpieczeństwa mają być proporcjonalne: ich zakres i siła wynikają z oszacowanego ryzyka oraz z realiów organizacji. To dlatego cały system zaczyna się od obszaru zarządzania ryzykiem.

Co bierze się pod uwagę przy doborze środków

  • Wielkość podmiotu oraz skala i charakter świadczonych usług.
  • Poziom narażenia na zagrożenia i aktualny stan techniki.
  • Prawdopodobieństwo wystąpienia incydentów i ich potencjalne skutki, w tym skutki społeczne i gospodarcze.
  • Koszt wdrożenia środków w odniesieniu do ograniczanego ryzyka.

W praktyce: mniejszy podmiot ważny może realizować te same pięć obszarów prostszymi środkami niż duży podmiot kluczowy, pod warunkiem że poziom ochrony pozostaje odpowiedni do ryzyka. Proporcjonalność nie jest furtką do pomijania obszarów, lecz sposobem na rozsądne ich dostosowanie.

Warstwa metodyczna: Narodowe Standardy Cyberbezpieczeństwa (NSC)

Ustawa określa co trzeba osiągnąć. Pytanie jak to zrobić rozstrzyga warstwa metodyczna. Tu pomocne są Narodowe Standardy Cyberbezpieczeństwa (NSC), opracowywane w Kancelarii Prezesa Rady Ministrów (KPRM) na bazie publikacji NIST. Stanowią one praktyczny przewodnik po wymaganiach poszczególnych obszarów art. 8 ust. 1 UKSC.

NSC (KPRM, oparte na NIST)

Warstwa metodyczna. Tłumaczy obszary ustawy na konkretne praktyki i grupy zabezpieczeń. Pomaga zaplanować zarządzanie ryzykiem, kontrolę dostępu, obsługę incydentów oraz ciągłość działania w sposób uznawany w kraju.

Rozporządzenie wykonawcze

Szczegółowe wymagania techniczne i organizacyjne doprecyzuje rozporządzenie wykonawcze. Do czasu jego wejścia w życie obszary z art. 8 ust. 1 UKSC oraz NSC stanowią wystarczającą podstawę, aby rozpocząć budowę systemu.

Wskazówka praktyczna: nie czekaj na pełne rozporządzenie, aby ruszyć z pracą. Pięć obszarów ustawy jest stałe. Zaczynając od oceny ryzyka i podstawowych środków technicznych, budujesz fundament, który później tylko dostosujesz do szczegółowych wymagań.

Jak Reglyze pomaga wdrożyć pięć obszarów

Reglyze prowadzi przez wymagania art. 8 ust. 1 UKSC krok po kroku. Zamiast pustego szablonu dostajesz konkretne pytania dopasowane do twojego sektora i wielkości, a system mapuje odpowiedzi na pięć obszarów oraz wskazuje luki do uzupełnienia.

  • Ocena dojrzałości w każdym z pięciu obszarów, z czytelnym wynikiem i listą priorytetów.
  • Generowanie polityk i procedur dopasowanych do twojego profilu, gotowych do zatwierdzenia przez kierownictwo.
  • Wsparcie przy obsłudze incydentu: przygotowanie treści zgłoszenia i pilnowanie terminów 24 godzin, 72 godzin oraz 1 miesiąca. Samo zgłoszenie do właściwego CSIRT wykonujesz Ty, przez portal incydent.cert.pl.
  • Aktualizacje treści, gdy pojawi się rozporządzenie wykonawcze lub nowe wytyczne NSC.

Najczęstsze pytania

Czego wymaga art. 8 ust. 1 UKSC?
Art. 8 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) zobowiązuje podmiot kluczowy oraz podmiot ważny do wdrożenia systemu zarządzania bezpieczeństwem informacji w świadczonych usługach. System obejmuje pięć obszarów: zarządzanie ryzykiem, środki techniczne i organizacyjne, informacje o cyberzagrożeniach, zarządzanie incydentami oraz zapobieganie i ograniczanie wpływu incydentów.
Jakie są obszary systemu zarządzania bezpieczeństwem informacji?
Pięć obszarów: zarządzanie ryzykiem, środki techniczne i organizacyjne, informacje o cyberzagrożeniach, zarządzanie incydentami oraz zapobieganie i ograniczanie wpływu incydentów. Razem tworzą spójny system, w którym ocena ryzyka wyznacza zakres pozostałych środków.
Na czym polega zasada proporcjonalności?
Środki muszą być adekwatne do oszacowanego ryzyka oraz odpowiadać wielkości podmiotu, charakterowi usług, a także prawdopodobieństwu i potencjalnym skutkom incydentów. Mniejszy podmiot ważny nie musi wdrażać tych samych rozwiązań co duży podmiot kluczowy, o ile poziom ochrony pozostaje odpowiedni do ryzyka.
Czym są Narodowe Standardy Cyberbezpieczeństwa (NSC)?
NSC to warstwa metodyczna opracowywana w Kancelarii Prezesa Rady Ministrów (KPRM), oparta na publikacjach NIST. Stanowi praktyczny przewodnik, jak realizować obszary z art. 8 ust. 1 UKSC. Szczegółowe wymagania techniczne i organizacyjne doprecyzuje rozporządzenie wykonawcze.
Kiedy należy zgłosić poważny incydent?
Poważny incydent zgłasza się do właściwego CSIRT: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca. Dla sektora ogólnego i prywatnego właściwy jest CSIRT NASK, a zgłoszenia kieruje się przez portal incydent.cert.pl. Dla podmiotów rządowych i wojskowych właściwe są odpowiednio CSIRT GOV oraz CSIRT MON.
Czy Reglyze zgłasza incydent w imieniu podmiotu?
Nie. Reglyze przygotowuje treść zgłoszenia, pilnuje terminów i porządkuje dokumentację, ale zgłoszenia do właściwego CSIRT dokonuje samodzielnie operator podmiotu przez portal incydent.cert.pl. Reglyze nigdy nie wysyła zgłoszenia za podmiot.

Sprawdź swój poziom przygotowania w pięciu obszarach

Bezpłatna diagnoza pokazuje, gdzie jesteś względem wymagań art. 8 ust. 1 UKSC i które obszary wymagają najpilniejszych działań. Bez karty płatniczej.