Nowelizacja UKSC zmusza przedsiębiorców do pilnej renegocjacji umów
Wejście w życie znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) w dniu 3 kwietnia 2026 r. to prawdziwe trzęsienie ziemi dla przedsiębiorców. Choć z pozoru nowe regulacje, wdrażające unijną dyrektywę NIS-2, wydają się dotyczyć wyłącznie największe firmy na rynku, to w rzeczywistości odczuje je niemal każdy przedsiębiorca. Wszystko za sprawą mechanizmu, który potocznie nazywany jest ubezpieczeniem łańcucha dostaw.
Jeśli przedsiębiorca dostarcza usługi, oprogramowanie lub komponenty dla podmiotów z kluczowych sektorów, takich na przykład jak m.in. energetyka, transport, ochrona zdrowia, czy produkcja, to musi on przygotować się na to, że jego kontrahenci mogą wymusić na nim zmiany w zawartych umowach, nakładając na niego nowe obowiązki.
Dlaczego konieczna będzie renegocjacja umów?
Nowe przepisy zmuszają podmioty kluczowe i podmioty ważne do tego, by zarządzały ryzykiem nie tylko we własnej organizacji, ale w całym swoim ekosystemie dostawców i podwykonawców. Oznacza to, że słabość jednego, nawet najmniejszego elementu w tym „łańcuchu”, np. lokalnego dostawcy usług IT czy producenta części, podnosi poziom ryzyka dla całej kluczowej infrastruktury.
Przedsiębiorstwa, w obawie przed wielomilionowymi karami administracyjnymi, nie mogą już polegać wyłącznie na zaufaniu do kontrahenta. Muszą mieć zagwarantowane zabezpieczenia, że ich partnerzy biznesowi spełniają rygorystyczne normy bezpieczeństwa informacji. Muszą mieć też pewność, że kontrahenci ci wdrożyli u siebie stosowne procedury. Z punktu widzenia prawa, najskuteczniejszym narzędziem do wyegzekwowania tych norm jest wprowadzenie do umów stosownych klauzul.
Jakie klauzule muszą znaleźć się w nowych umowach i regulaminach?
Stare szablony umów o współpracy i ogólne warunki świadczenia usług mogą przestać być wystarczające i wymagana będzie ich aktualizacja. Podobnie jak miało to przy wdrożeniu przepisów związanych z RODO.
Zatem aby zachować zgodność z UKSC, kontrakty z dostawcami usług informatycznych, cyfrowych, a często również z tradycyjnymi podwykonawcami, muszą zostać zaktualizowane o konkretne zapisy, które pozwolą m. in. na przeprowadzenie audytu, kaskadowego raportowania incydentów oraz weryfikacji personelu, a także nakładać pewne restrykcje dla podwykonawców.
Co to oznacza w praktyce?
Przedsiębiorcy muszą pilnie zrewidować nie tylko swoje umowy, ale również standardowe regulaminy świadczenia usług, polityki prywatności i wewnętrzne procedury. Jeśli tego nie zrobią, mogą stracić kontrakty z kontrahentami, którzy są prawnie zmuszeni do zaprzestania prowadzenia współpracy z partnerami i dostawcami, którzy nie dają gwarancji w zakresie cyberbezpieczeństwa.
Zatem warto już teraz przeprowadzić audyt własnej działalności oraz wykorzystywanej dokumentacji. Należy również wyjść z inicjatywą do kontrahentów w kwestii aneksowania umów. Zapewnienie zgodności to nie tylko unikanie kar, ale przede wszystkim przewaga konkurencyjna na rynku w stosunku do podmiotów, które nie zdążą wdrożyć u siebie nowych obowiązków i procedur wynikających z NIS-2 lub UKSC.
