Cyberataki na infrastrukturę energetyczną - jaka jest rola prawnika?

Infrastruktura energetyczna należy do tzw. infrastruktury krytycznej, a jej zabezpieczenie przed cyberatakami jest przedmiotem coraz bardziej rozbudowanych regulacji - zarówno krajowych, jak i unijnych. Prawnik wspierający firmę z sektora energetycznego pomaga przede wszystkim zapewnić zgodność z przepisami o cyberbezpieczeństwie i ochronie danych oraz prowadzi przez prawne następstwa incydentu. Poniżej opisujemy ramy prawne i typowe zadania prawnika. Artykuł ma charakter informacyjny i nie stanowi porady prawnej - przepisy w tym obszarze szybko się zmieniają, a kwalifikacja konkretnej firmy i jej obowiązków wymaga indywidualnej analizy.

Infrastruktura krytyczna i energetyka - kontekst prawny

Pojęcie infrastruktury krytycznej definiuje ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Obejmuje ona m.in. systemy zaopatrzenia w energię, surowce energetyczne i paliwa, a także sieci teleinformatyczne i łączności. Jednolity wykaz obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej przygotowuje Dyrektor Rządowego Centrum Bezpieczeństwa (RCB) we współpracy z właściwymi ministrami. Na właścicielach oraz posiadaczach obiektów infrastruktury krytycznej ciążą obowiązki ochronne, w tym przygotowanie i wdrożenie planów ochrony. Warstwa dotycząca cyberbezpieczeństwa - czyli ochrony systemów informatycznych obsługujących m.in. energetykę - regulowana jest natomiast odrębnie, w ustawie o krajowym systemie cyberbezpieczeństwa, którą opisujemy poniżej.

Ramy prawne cyberbezpieczeństwa w energetyce

W Polsce podstawowym aktem jest ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (ustawa o KSC), która w pierwotnym brzmieniu wdrożyła unijną dyrektywę NIS. W 2026 r. ustawę istotnie znowelizowano w celu wdrożenia dyrektywy NIS 2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555). Według publicznie dostępnych informacji nowelizacja została podpisana przez Prezydenta w lutym 2026 r., ogłoszona w Dzienniku Ustaw na początku marca 2026 r. i weszła w życie na początku kwietnia 2026 r., z dłuższymi (najczęściej 12-miesięcznymi) okresami dostosowawczymi na wdrożenie poszczególnych obowiązków. Nowelizacja zastąpiła wcześniejszy podział na operatorów usług kluczowych i dostawców usług cyfrowych nowym podziałem na podmioty kluczowe i podmioty ważne oraz znacząco rozszerzyła katalog firm objętych obowiązkami. Sektor energetyczny (w tym energia elektryczna, ciepło, ropa i paliwa, gaz, energia jądrowa, wodór) jest wprost wymieniony wśród sektorów o szczególnym znaczeniu. Z uwagi na trwające okresy przejściowe i akty wykonawcze dokładny zakres obowiązków oraz status danej firmy warto każdorazowo zweryfikować w aktualnych źródłach i, w razie wątpliwości, z prawnikiem.

Obowiązki zgłaszania incydentów i ochrona danych

Znowelizowana ustawa o KSC nakłada na podmioty kluczowe i ważne obowiązki w zakresie zarządzania ryzykiem oraz zgłaszania incydentów poważnych do właściwego zespołu CSIRT poziomu krajowego (CSIRT NASK, CSIRT GOV lub CSIRT MON), docelowo za pośrednictwem systemu teleinformatycznego (S46). Dla incydentu poważnego przewidziano etapowe terminy: wczesne ostrzeżenie - niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia; właściwe zgłoszenie incydentu - nie później niż w ciągu 72 godzin; oraz sprawozdanie końcowe - co do zasady w ciągu miesiąca. Niezależnie od tego, jeśli cyberatak wiąże się z naruszeniem ochrony danych osobowych, zastosowanie znajduje RODO (rozporządzenie (UE) 2016/679). Administrator danych ma obowiązek zgłosić naruszenie organowi nadzorczemu (w Polsce - Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), a w razie wysokiego ryzyka naruszenia praw lub wolności osób - zawiadomić również te osoby (art. 34 RODO). Ścieżka 'cyberbezpieczeństwa' (CSIRT) i ścieżka 'ochrony danych' (UODO) są od siebie niezależne i mogą biec równolegle. Prawnik pomaga skoordynować oba tory zgłoszeń, tak aby firma dochowała wszystkich terminów i nie pominęła żadnego z obowiązków.

Rola prawnika po incydencie

Po cyberataku prawnik wspiera firmę na kilku płaszczyznach: ocenia możliwą odpowiedzialność cywilną i administracyjną, analizuje umowy z dostawcami IT pod kątem podziału ryzyka i odpowiedzialności, koordynuje zgłoszenia do organów (CSIRT, Prezes UODO) oraz pomaga w komunikacji z osobami poszkodowanymi i kontrahentami. Doradza również w zakresie roszczeń - zarówno tych kierowanych przeciwko firmie, jak i ewentualnych roszczeń firmy wobec sprawców czy nierzetelnych dostawców usług. Pomaga także zabezpieczyć dowody na potrzeby ewentualnego postępowania (cywilnego, karnego lub administracyjnego). Dobrze przygotowany plan reagowania na incydenty, opracowany wspólnie przez prawnika i specjalistów IT jeszcze przed zdarzeniem, pozwala działać szybciej i ograniczyć szkody finansowe oraz wizerunkowe.

Jak przygotować firmę zawczasu

Najwięcej można zyskać przed incydentem. W praktyce warto: zweryfikować, czy firma jest podmiotem kluczowym lub ważnym w rozumieniu znowelizowanej ustawy o KSC i jakie wiążą się z tym obowiązki; wdrożyć i udokumentować środki zarządzania ryzykiem; przygotować procedurę reagowania na incydenty z jasno przypisanymi rolami i kanałami zgłoszeń (CSIRT, UODO); przejrzeć umowy z dostawcami IT i chmurowymi pod kątem bezpieczeństwa, powiadamiania o incydentach i odpowiedzialności; oraz prowadzić rejestr incydentów i naruszeń. Taki audyt prawno-organizacyjny pozwala zawczasu wykryć luki i uniknąć sytuacji, w której obowiązki są ustalane dopiero w trakcie trwającego ataku. Konkretny zakres działań zależy od profilu firmy i powinien zostać dobrany indywidualnie.