Baker McKenzie: nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce
Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze krytycznej obejmie wiele podmiotów z sektora energetycznego i ich podwykonawców, twierdzą eksperci Baker McKenzie. Część firm w Polsce wciąż nie jest świadoma nowych przepisów i naraża się na wysokie kary, jeśli w krótkim czasie nie wprowadzi odpowiednich procedur.
Celem Dyrektywy NIS2 z 2022 roku, która w Polsce została implementowana dopiero w tym roku poprzez zmianę ustawy o Krajowym Systemie Cyberbezpieczeństwa, jest podniesienie bezpieczeństwa cybernetycznego w spółkach o znaczeniu strategicznym. Najważniejsze obowiązki firm objętych ustawą to zarejestrowanie się w rządowej bazie, wdrożenie zarządzania cyberbezpieczeństwem, zgłaszanie incydentów w ciągu 24 godzin od ich wykrycia oraz zakaz współpracy z podmiotami, które trafią na listę dostawców wysokiego ryzyka. Zdaniem ekspertów prawidłowo stosowane przepisy NIS2 powinny pomóc uniknąć zdarzeń podobnych do tego, jakie miało miejsce w grudniu ubiegłego roku, gdy wykryto w Polsce wrogą aktywność w systemach spółek OZE i jednej elektrociepłowni.

Źródło: Baker McKenzie
– Dyrektywa NIS2 jest ściśle związana z globalnymi i regionalnymi wyzwaniami w obszarze cyberbezpieczeństwa. W energetyce ogniskują się wchodzące obecnie w życie lub procedowane właśnie na poziomie unijnym i krajowym przepisy dotyczące ochrony systemów, sieci, urządzeń i danych, jak również podstawowej infrastruktury wytwórczej i przesyłowej. Prawie jednocześnie na horyzoncie pojawiają się też przepisy kolejnych aktów prawnych: NC CS, CER, CRA, EU Data Act. Dostosowanie do nowych przepisów to spore wyzwanie, a kary za niezgodność będą bardzo wysokie. Nowe przepisy wpływają też na inwestycje energetyczne w toku realizacji, w tym inwestycje z sektora jądrowego, OZE czy BESS – twierdzi Agnieszka Skorupińska, partnerka kierująca praktyką zrównoważonego rozwoju i transformacji energetycznej w warszawskim biurze Baker McKenzie.
Branża energetyczna eksponowana na zmiany zachodzące w prawie
Jednak znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje podmioty z wszystkich sektorów gospodarki uznanych za kluczowe lub ważne. Oprócz energetyki są to również transport lotniczy i kolejowy, infrastruktura cyfrowa, ochrona zdrowia, gospodarka odpadami i inne. Objęci są nią również poddostawcy przedsiębiorstw z tych branż.
– Z naszych obserwacji wynika, że niektóre, kluczowe podmioty w branży są świadome zmian w prawie i zadbały już o rozwiązania zapewniające bezpieczeństwo cybernetyczne albo intensywnie pracują nad spełnieniem wymogów NIS2 i polskiej ustawy. Tej świadomości nie ma natomiast wśród podmiotów mniejszych i ich poddostawców. Zapoznanie się z przepisami ustawy, rozstrzygnięcie czy podmiot podlega jej przepisom, rejestracja w systemie i audyt poddostawców to absolutne minimum, jakie powinna wykonać firma działająca w branży – dodał Radosław Nożykowski, kierujący praktyką obronności oraz cyberbezpieczeństwa w Baker McKenzie w Warszawie.
Co powinny zrobić firmy uznane za strategiczne?
Pierwszym krokiem, który powinny wykonać firmy to analiza, czy nowe obowiązki mają do nich zastosowanie, a zatem czy są tzw. podmiotem kluczowym albo ważnym. Następnie pojawia się konieczność zarejestrowania w publicznej bazie, czyli Systemie S46, do 3 października 2026 roku. Kolejnym krokiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji w firmach zgodnego z normami ISO 27001 lub równoważnego. Jeśli podmiot nie posiada dotychczas tego rodzaju systemu, powinien wziąć pod uwagę, że na wdrożenie go będzie miał zaledwie rok.
Dostawcy wysokiego ryzyka
Kolejne istotne kwestie to precyzyjne obowiązki raportowania incydentów. Dla sektora OZE, a także BESS kluczowa natomiast jest lista dostawców wysokiego ryzyka, którą tworzył będzie minister cyfryzacji. Jeśli okaże się, że dany podmiot i jego produkty stwarzają zagrożenie dla bezpieczeństwa i w konsekwencji trafi on na listę dostawców wysokiego ryzyka, firmy w Polsce nie będą mogły podjąć z nimi współpracy. Natomiast przedsiębiorstwa posiadające już produkty od dostawcy, który trafił na listę, zostaną zobowiązane do wygaszenia tej współpracy, a także zmiany stosowanych rozwiązań.
Surowe kary za naruszenie przepisów
Eksperci Baker McKenzie zwracają uwagę na surowość kar przewidzianych w nowych regulacjach. Mogą one dotyczyć zarówno firm, jak i członków zarządu i menedżerów odpowiedzialnych za bezpieczeństwo cyfrowe. Kary powiązane są z wysokością obrotu przedsiębiorstwa lub wynagrodzenia indywidualnego. W przypadku naruszenia przepisów powodujących poważne incydenty cyberbezpieczeństwa zagrażające obronności, zdrowiu publicznemu lub bezpieczeństwu publicznemu przewidziano maksymalną karę 100 mln PLN lub 2% rocznego przychodu przedsiębiorstwa. Członkowie zarządu lub kierownicy jednostek, którzy dopuścili się rażącego zaniedbania w tym obszarze mogą zostać ukarani grzywną sięgającą 300% ich rocznego wynagrodzenia.
Komentarze ekspertów z branży energetycznej
Zdaniem przedstawicieli branży incydent, który w ubiegłym roku dotknął sektor OZE w Polsce, oraz wprowadzenie nowych przepisów powinno działać mobilizująco na przedsiębiorców sektora energetycznego:
– Wykryty w grudniu incydent bezpieczeństwa z pewnością zwiększył świadomość tego rodzaju zagrożeń. Wdrożenie przepisów NIS2 z pewnością będzie wyzwaniem dla wielu przedsiębiorców choćby ze względu na wzrost kosztów operacyjnych, jednak specyfika branży i jej strategiczny charakter wymagają poważnego potraktowania zagrożeń cyberbezpieczeństwa. Bez wątpienia z takimi wyzwaniami lepiej poradzą sobie duże podmioty, działające profesjonalnie, które już teraz przygotowują się do wdrożenia NIS2 – zapewnił Paweł Konieczny, wiceprezes zarządu Polskiego Stowarzyszenia Energetyki Słonecznej.
– Magazyn energii to cyfrowo sterowany zasób systemowy, w którym warstwa informatyczna decyduje równocześnie o trzech rzeczach: o przychodach z rynku, o bezpieczeństwie fizycznym samych baterii i o zgodności z obowiązkami regulacyjnymi – wszystkie trzy w skali sekund. Branża rozumie wagę cyberbezpieczeństwa z prostego powodu – stało się ono rdzeniem jej modelu biznesowego. Realnym wyzwaniem jest dziś operacyjne dostosowanie do rosnącej liczby wymogów regulacyjnych, które nakładają się na siebie – podkreślił Tomasz Adamski, starszy dyrektor ds. Badań i Analiz Polskiego Stowarzyszenia Magazynowania Energii.
– Sektor energetyki jądrowej jest bardzo wysoko regulowany, jeśli chodzi o wszelkie formy bezpieczeństwa i jest to bezwzględny priorytet już na etapie projektowania a dalej budowy elektrowni jądrowej. Łańcuchy dostaw są ściśle sprawdzane na etapie zamówień a zmiany w prawie stanowią podmiot ciągłego monitoringu. „Safety and security” to są dwa kluczowe słowa dla tej branży – zaznaczyła Monika Silva, zastępca dyrektora generalnego Izby Gospodarczej Energetyki i Ochrony Środowiska.
– Przed największym wyzwaniem stoją mniejsze firmy, w tym z sektora OZE, które mogą nie mieć świadomości zmian, a jednocześnie bardzo liczą się z kosztami. Z punktu widzenia cyberbezpieczeństwa zadbanie o wysoki standard zabezpieczeń w branży ma sens. Jednak konieczność poniesienia kosztów dostosowania do nowego prawa lub wręcz wymiany technologii, jeśli dostawca trafi na listę wysokiego ryzyka, będzie dla mniejszych podmiotów dużo trudniejszy do udźwignięcia – powiedziała Ewa Kwapis, wiceprezes zarządu Transition Technologies-Systems, firmy członkowskiej IGEOS.
Źródło: PAP

Ministerstwo Cyfryzacji wydało komunikat w sprawie cyberbezpieczeństwa OZE
Cyfrowa transformacja polskich firm przyspiesza – raport Polcom 2025
W cyfrowym państwie żyje się lepiej – plany Ministerstwa Cyfryzacji na lata 2026-2027 


![https://www.youtube.com/watch?v=gHcP8AajoN4 Szymon Robak oprowadza po katowickim Laboratorium Badań Kompatybilności Elektromagnetycznej w Sieć Badawcza Łukasiewicz - Instytucie Sztucznej Inteligencji i Cyberbezpieczeństwa. Zapraszamy na film! [materiał redakcyjny]](https://mikrokontroler.pl/wp-content/uploads/2026/06/Szymon-Robak-tytulowe.png)
![https://www.youtube.com/watch?v=BgxJVTwYJ-s Zapraszamy do obejrzenia filmu i wysłuchania krótkich wypowiedzi prelegentów Hardware Forum 2026 i organizatorów majowej konferencji dla inżynierów z branży elektronicznej: Konrad Bruliński z Lemontech, prof. Krzysztof Kulpa z Politechniki Warszawskiej, Zbigniew Huber z FLC, Ewa Załupska z firmy KROK, Jerzy Kozieł z MPTECH, Grzegorz Potyralski z VIGO Photonics, dr Krzysztof Czuba z Politechniki Warszawskiej, Anna Beata Kalisz Hedegaard z Quantum Security Defence, Adrian Cichosz z Elhurt Dystrybucja Anna Kamińska z Creotech Quantum, oraz Łukasz Jaeszke i Adam Jaeszke z TEK.day [materiał redakcyjny]](https://mikrokontroler.pl/wp-content/uploads/2026/05/tytulowe-film-1.png)

