Cyberbezpieczeństwo a sektor kosmiczny – kto podlega znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa i co trzeba wdrożyć w praktyce?

Zarys regulacji

Sektor kosmiczny wreszcie doczekał się dedykowanej regulacji w zakresie cyberbezpieczeństwa. Unijny ustawodawca zwrócił uwagę, iż jest to jeden z bardzo istotnych sektorów dla każdego z państw członkowskich, a usługi z nim związane są krytyczne m.in. dla nawigacji, obserwacji Ziemi, łączności czy reagowania kryzysowego. Zatem ryzyko związane z cyberbezpieczeństwem jest nie tylko ryzykiem IT, ale ma ono realny wpływ na bezpieczeństwo usług o charakterze publicznym.

Właśnie w tym kontekście do polskiego systemu prawa wchodzi nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która implementuje Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii tzw. Dyrektywę NIS2.

Dyrektywa NIS2 znacząco rozszerza zakres obowiązywania o kolejne sektory gospodarki. W związku z tym, iż dyrektywa wymaga implementacji – włączenia do przepisów krajowego porządku prawnego polski ustawodawca uchwalił ustawę z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Niniejsza ustawa wejdzie w życie z dniem 3 kwietnia 2026 r.

Jednym z całkowicie nowych sektorów, który został objęty zakresem ustawy jest sektor przestrzeni kosmicznej. W tym miejscu należy podkreślić, iż dyrektywa dzieli podmioty objęte ustawą na podmioty kluczowe oraz podmioty ważne – przedmiotowa klasyfikacja różnicuje zakres obowiązków oraz odpowiedzialność dla podmiotów. 

Które podmioty z sektora space obejmuje uksc?

W omawianej ustawie do sektora przestrzeni kosmicznej zostali zaliczeni „operatorzy infrastruktury naziemnej, którzy wspierają świadczenie usług kosmicznych – z wyłączeniem przedsiębiorców telekomunikacyjnych uprawnionych do dostarczania publicznych sieci telekomunikacyjnych lub świadczenia powiązanych usług” oraz Polska Agencja Kosmiczna. Zatem, ustawa o krajowym systemie cyberbezpieczeństwa będzie dotyczyła przede wszystkim segmentu naziemnego, czyli m.in. stacji naziemnych, przetwarzania i dystrybucji danych czy też infrastruktury wspierającej usługi satelitarne.

Jakiej wielkości podmioty obejmuje uksc?

Co do zasady, w zakresie oddziaływania ustawy znajdą się średnie i duże przedsiębiorstwa klasyfikowane wg progów UE, ale przewidziane są również wyjątki. Zatem w przypadku sektora space, duże podmioty kosmiczne będą podmiotami kluczowymi, a średnie – ważnymi.

W praktyce oznacza to, że operatorzy infrastruktury naziemnej, którzy wspierają świadczenie usług kosmicznych zostaną uznani:

• za podmioty ważne – jeżeli spełniają warunki uznania ich za średnie przedsiębiorstwo (tj. zatrudniają nie więcej niż 250 pracowników[1]  i mające      obrót nieprzekraczający 50 mln EUR oraz całkowity bilans roczny wynoszący nie więcej niż 43 mln EUR),
• za podmioty kluczowe – jeżeli przewyższają warunki uznania ich za średnie przedsiębiorstwo (innymi słowy, gdy są tzw. przedsiębiorstwem dużym).

Z obowiązku stosowania przepisów znowelizowanej u.k.s.c. zwolnione zostaną natomiast podmioty będące mikroprzedsiębiorcami oraz małymi przedsiębiorcami – chyba że zostanie wobec nich wydana odrębna decyzja administracyjna, uznająca ich za podmiot kluczowy lub ważny. 

Jakie obowiązki nałożone zostały na podmioty z sektora space w ramach uksc?

W ramach uksc firmy z sektora kosmicznego będą musiały zarządzać      ryzykiem związanym z cyberbezpieczeństwem i z tego tytułu będą podlegały nadzorowi.

Do najważniejszych obowiązków będą należały:

• prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu;
• wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych takich jak m.in. bezpieczeństwo fizyczne uwzględniające kontrole dostępu, bezpieczeństwo zasobów ludzkich, bezpieczeństwo i ciągłość łańcucha dostaw, wdrażanie planów ciągłości działania czy edukacja z zakresu cyberbezpieczeństwa dla personelu podmiotu;
• zarządzanie incydentami – od zapobiegania po zgłoszenie, monitorowanie, przygotowanie odpowiednich raportów – co w praktyce oznacza zbudowanie wewnętrznej stale działającej komórki zajmującej się detekcją zagrożeń, bądź też skorzystanie z zewnętrznej usługi w tym zakresie (SOC-as-a-Service).

Jaką odpowiedzialność mają podmioty z sektora space za nieprzestrzeganie przepisów ustawy?

W porównaniu z poprzednią wersją ustawy, nowością jest odpowiedzialność kierownictwa danego podmiotu i kary nakładane ściśle na zarząd. Poza tym, sam katalog kar pieniężnych nakładanych na podmioty za niewywiązywanie się z nałożonych obowiązków stanowi duży odrębny rozdział w ustawie. Przykładowo, wysokość kar nakładanych na podmioty kluczowe może wynieść  do 10 000 000 euro, wyrażonej w złotych lub 2% przychodów osiągniętych przez ww. podmiot.

Jeśli działasz w sektorze space, zadaj sobie te pytania:

1. Czy operujesz infrastrukturą naziemną wspierającą usługi kosmiczne (stacje naziemne, centra operacyjne, przetwarzanie danych satelitarnych, etc.)?
2. Czy masz skalę co najmniej „średniego przedsiębiorcy” lub większą (wg progów UE)?

Co zrobić teraz:

1. Ustal swój status – jak wyżej. Jeśli dojdziesz do wniosku, że podlegasz uksc, musisz samodzielnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych.
2. Przygotuj procedury związane z cyberbezpieczeństwem: procesy, role, monitoring, szkolenia.
3. Zbuduj ścieżkę wykrywania i obsługi       incydentów: wykorzystując wewnętrzne struktury lub poprzez outsourcing działań do profesjonalnego zespołu SOC 24×7.
4. Uporządkuj łańcuch dostaw: odpowiednie zapisy w umowach, wymagania dla poddostawców, wymogi dla chmury etc.
5. Przygotuj zarząd: informacja o konieczności wdrożenia zmian oraz o odpowiedzialności, przygotowanie szkoleń dla zarządu i pracowników, budżet.

Jak 3HT Partners może pomóc?

Nawigowanie w gąszczu złożonych przepisów znowelizowanej ustawy wymaga unikalnego połączenia wiedzy z domeny kosmicznej oraz zaawansowanych kompetencji w zakresie cyberbezpieczeństwa.

3HT Partners oferuje kompleksową ścieżkę zapewnienia zgodności (compliance) dla sektora kosmicznego:

• Audyt statusu i analiza luk (Gap Analysis): Pomagamy określić Twoją klasyfikację w ramach NIS2/u.k.s.c. oraz identyfikujemy istniejące luki techniczne i proceduralne.

• Wdrożenie SSDLC i Zero Trust: Wprowadzamy bezpieczne cykle rozwoju oprogramowania i sprzętu (Secure Software/Hardware Development Lifecycle) oraz architektury Zero Trust, dostosowane do specyfiki infrastruktury segmentu naziemnego.

• SOC-as-a-Service: Oferujemy profesjonalne, całodobowe (24/7) centrum operacji bezpieczeństwa do detekcji, monitorowania i raportowania incydentów, zapewniając zgodność z rygorystycznymi terminami ustawowymi.

• Szkolenia dla Zarządu: Prowadzimy dedykowane sesje budowania świadomości dla kadry zarządzającej, dotyczące ich nowych obowiązków prawnych oraz strategicznego znaczenia cyberodporności.

Upewnij się, że Twoja organizacja jest gotowa. Skontaktuj się z nami w celu uzyskania strategicznego i operacyjnego wsparcia.

Współautorem artykułu jest Magdalena Ostasz

Radca prawny z 20-letnim doświadczeniem. Pełni funkcję Koordynatora Zespołu Radców Prawnych na Akademii Górniczo-Hutniczej w Krakowie. Jest również pracownikiem naukowym i wykładowcą akademickim na Wydziale Informatyki oraz Wydziale Technologii Kosmicznych. Specjalizuje się w aspektach prawnych cyberbezpieczeństwa. Prowadzi wykłady z zakresu białego wywiadu, krajowego systemu cyberbezpieczeństwa oraz cyberbezpieczeństwa sektora kosmicznego.