Polski przemysł stoczniowy na co dzień zmaga się z wyzwaniami w obszarze bezpieczeństwa cyfrowego. Związek Pracodawców FORUM OKRĘTOWE we współpracy z Ministerstwem Rozwoju i Technologii prowadzi wspólną akcję informacyjną skierowaną do krajowego sektora stoczniowego, wynikającą z wejścia w życie unijnej dyrektywy NIS2, oraz związaną z nią nowelizacją krajowej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Ponieważ nowe, restrykcyjne wymogi prawne nakładają na firmy obowiązki w zakresie ochrony cyfrowej, celem wspólnych działań FORUM OKRĘTOWEGO oraz Ministerstwa Rozwoju i Technologii jest przygotowanie przedsiębiorców do nadchodzących zmian regulacyjnych, identyfikacja nowych obowiązków oraz minimalizacja ryzyka związanego z potencjalnymi karami za ich niewdrożenie.
W polskiej cyberprzestrzeni rośnie fala zagrożeń
Żyjemy w czasach, w których w cyberprzestrzeni toczy się regularna, niewidzialna wojna. Statystyki są nieubłagane – to właśnie Polska jest obecnie krajem najczęściej atakowanym przez rosyjskich hakerów, ustępując jedynie Ukrainie. Przeprowadzane są zmasowane ataki na naszą infrastrukturę energetyczną, wodno-kanalizacyjną, sektor medyczny i bankowy.
Na pierwszej linii frontu stoją polskie Wojska Obrony Cyberprzestrzeni. Nasi żołnierze należą do absolutnej światowej czołówki i cieszą się ogromnym międzynarodowym uznaniem. Ogromna większość tych ataków zostaje przez nich odparta.
Samo wojsko jednak nie wystarczy. W tę cyfrową walkę zaangażowane są również firmy państwowe i prywatne, które każdego dnia odpierają tysiące uderzeń. Dziś celem ataku może stać się każde przedsiębiorstwo, a zwłaszcza podmioty kluczowe dla krajowej gospodarki i bezpieczeństwa – w tym branża stoczniowa, realizująca projekty wojenne.
W obliczu tak masowego zagrożenia, pojedyncze działania to za mało. Stąd zrodziła się pilna potrzeba ujednolicenia działań, czego efektem jest unijna dyrektywa NIS2 oraz nowa polska ustawa o KSC, obecnie wdrażana w życie.
Dlaczego sektor stoczniowy może być objęty nowymi przepisami KSC i NIS2?
Nowe przepisy wynikające z unijnej dyrektywy NIS2 oraz wdrażającej ją nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) mają na celu zwiększenie odporności cyfrowej gospodarki i ochronę usług istotnych dla funkcjonowania państwa.
Ich kluczową zmianą jest odejście od podziału sektorowego. O tym, czy firma podlega regulacjom decyduje jej realna rola w gospodarce, znaczenie dla ciągłości działania usług oraz miejsce w łańcuchach dostaw.
Podmioty kluczowe i podmioty ważne
Nowe przepisy wprowadzają dwie kategorie firm objętych regulacjami:
- podmioty kluczowe – o szczególnie istotnym znaczeniu dla bezpieczeństwa państwa i gospodarki,
- podmioty ważne – o istotnym, ale nie krytycznym wpływie na funkcjonowanie usług i procesów gospodarczych.
To właśnie ta kwalifikacja decyduje o zakresie obowiązków, jakie będzie musiała spełnić organizacja.
Firmy z sektora stoczniowego uczestniczą zarówno w tworzeniu projektów cywilnych, jak i produkują na potrzeby obronności państwa. Są więc częścią rozbudowanych łańcuchów dostaw dla strategicznych obszarów gospodarki, takich jak:
- transport morski i infrastruktura portowa,
- energetyka (w tym offshore),
- obronność i przemysł zbrojeniowy,
- logistyka i przemysł ciężki.
W praktyce oznacza to, że nawet jeśli firma nie działa w sektorze kluczowym, może zostać objęta regulacjami, jeśli dostarcza usługi lub produkty dla takich sektorów, utrzymuje lub serwisuje ich infrastrukturę, bierze udział w projektach o znaczeniu strategicznymi i jest ważnym elementem ich łańcucha dostaw.
W efekcie część firm z sektora stoczniowego może zostać zakwalifikowana jako podmiot kluczowy, który ma wysoki, systemowy wpływ na funkcjonowanie gospodarki i państwa, lub jako podmiot ważny, który ma istotny wpływ na ciągłość usług.
Ta kwalifikacja jest nie tylko formalna, ale określa ona konkretne obowiązki, które firma będzie musiała spełnić.
Pierwszy krok – sprawdzenie czy nowe przepisy obejmują dany podmiot
Aby tego dokonać należy wejść na stronę: www.biznes.gov.pl/pl/e-uslugi/00_0899_00
i zastosować się do opisanego tam postępowania w celu oceny czy dana firma ma obowiązki wynikające z dyrektywy NIS2.
Jeśli okaże się, że jest ona podmiotem kluczowym lub ważnym, do 3 października 2026 r. osoba uprawniona do reprezentowania firmy, musi złożyć wniosek o wpis do wykazu KSC w systemie S46:
https://wykaz-ksc.gov.pl/login
W wykazie tym znajdą się podmioty kluczowe i podmioty ważne, które od momentu uzyskania wpisu w tym systemie, będą musiały spełnić szereg nowych obowiązków w zakresie cyberbezpieczeństwa, w tym m.in.:
- wykrywanie i zgłaszanie poważnych incydentów,
- wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie,
- realizacja obowiązków organizacyjnych i dokumentacyjnych,
- bezpieczeństwo łańcucha dostaw (w tym dostawców i partnerów),
- szkolenia i budowanie świadomości pracowników
W najbliższym czasie Ministerstwo Rozwoju i Technologii będzie realizowało działania wspierające przedsiębiorców w zakresie nowych obowiązków KSC. Stworzone zostaną materiały edukacyjne, które będą pomocne dla firm z sektora stoczniowego przy analizie nowych przepisów i w przygotowaniu się do ich wdrożenia.
Wszelkie pytania związane z wprowadzaniem nowych regulacji należy kierować do Zespołu Edukacji Cyfrowej Przedsiębiorców Departament Gospodarki Cyfrowej w Ministerstwie Rozwoju i Technologii na adres:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

Ireneusz Karaśkiewicz
Dyrektor Biura Związku Pracodawców FORUM OKRĘTOWE
EU Transparency Registration Number - REG 0133338100106-19
