Autor: Judyta Kasperkiewicz

Rejestracja domeny a charakter prawny uprawnień

W polskim porządku prawnym domena internetowa nie jest prawem własności w rozumieniu kodeksu cywilnego. Ma charakter dobra niematerialnego o wartości majątkowej, a prawa do niej wynikają z umowy rejestracyjnej zawartej z rejestratorem (np. NASK, OVH, GoDaddy). Uprawnienia przysługują wyłącznie abonentowi, czyli osobie (fizycznej lub prawnej) wskazanej jako rejestrująca domenę – jej dane widnieją w bazach WHOIS lub panelu rejestratora i przesądzają o tym, kto jest stroną umowy oraz kto ma faktyczne prawo zarządzania domeną.

Orzecznictwo (np. wyrok SA w Warszawie z 21 lutego 2001 r., I ACa 1245/00) potwierdza, że domena tworzy stosunek obligacyjny między abonentem a rejestratorem – nie jest prawem rzeczowym i nie podlega zasadom własności w ścisłym znaczeniu.

Domena zarejestrowana na osobę fizyczną – konsekwencje praktyczne

Jeżeli domena została zarejestrowana na osobę fizyczną (np. pracownika, wspólnika, partnera życiowego), to ona – a nie firma ani faktyczny użytkownik – jest stroną umowy rejestracyjnej i wyłącznym dysponentem domeny. Nie ma znaczenia, kto faktycznie opłacał domenę czy korzystał z niej w działalności gospodarczej.

Konsekwencje:

• Osoba wskazana jako abonent może odmówić przekazania domeny.
• Może nią dowolnie dysponować (przekierować, sprzedać, zablokować, wyłączyć).
• Może zablokować dostęp do usług powiązanych (poczta firmowa, strona internetowa).

Brak formalnego uregulowania tych kwestii (np. w umowie o pracę, umowie spółki czy odrębnym porozumieniu) sprawia, że dochodzenie praw do domeny przez faktycznego użytkownika jest skomplikowane i wymaga odwołania się do innych podstaw prawnych.

Dochodzenie praw mimo braku rejestracji na siebie

W niektórych sytuacjach możliwe jest dochodzenie praw do domeny, nawet jeśli formalnie zarejestrowana jest na inną osobę. Wymaga to jednak wykazania pierwotnego prawa do oznaczenia, np.:

• Domeny stanowiącej oznaczenie przedsiębiorstwa (nazwa firmy w rozumieniu art. 43² k.c.).
• Domeny zawierającej zarejestrowany znak towarowy (prawo z Prawa własności przemysłowej).
• Domeny, której użycie narusza dobra osobiste (art. 23–24 k.c.) lub stanowi czyn nieuczciwej konkurencji (art. 10 ustawy o zwalczaniu nieuczciwej konkurencji).

Ścieżki dochodzenia praw:

• Postępowanie cywilne – roszczenia o zaniechanie, odszkodowanie, usunięcie skutków naruszeń.
• Postępowanie arbitrażowe – przed Sądem Polubownym ds. Domen Internetowych przy PIIT (dla domen .pl) lub przed WIPO (procedura UDRP dla domen globalnych, np. .com, .org).

Samo „faktyczne posługiwanie się domeną” czy „opłacanie abonamentu” nie daje żadnego tytułu prawnego – decydująca jest rejestracja oraz ewentualne umowy cywilne regulujące przeniesienie uprawnień.

Likwidacja firmy a prawa do domeny

Sytuacja zależy od tego, na kogo formalnie zarejestrowano domenę:

a) Domena zarejestrowana na spółkę (np. sp. z o.o.)

• Prawa do domeny wchodzą do masy likwidacyjnej spółki i są zarządzane przez likwidatora (art. 282 i nast. k.s.h.).
• Mogą zostać sprzedane, przeniesione na wspólników albo wygasnąć po upływie okresu rejestracji, jeśli nikt nie przedłuży domeny.

b) Domena zarejestrowana na osobę fizyczną prowadzącą działalność (JDG)

• Brak odrębnej osobowości prawnej oznacza, że domena jest przypisana do osoby fizycznej. Po zamknięciu firmy nadal pozostaje jej prywatnym uprawnieniem – nie „przepada” ani nie podlega podziałowi.

c) Domena zarejestrowana na osobę fizyczną niezwiązaną formalnie z firmą

• Nawet jeśli domena była wykorzystywana przez firmę (np. jako strona internetowa), to brak rejestracji na firmę powoduje, że osoba fizyczna zachowuje pełnię praw po zakończeniu współpracy.

Rekomendacje praktyczne – jak uniknąć sporów o domenę

• Rejestruj domeny na właściwy podmiot – firmę (jeśli posiada osobowość prawną) lub właściciela JDG, a nie pracowników, wspólników czy agencje marketingowe.
• Zabezpiecz przeniesienie praw do domeny – jeśli rejestruje ją osoba trzecia, zawrzyj umowę cesji lub upoważnienie do zarządzania domeną.
• Wprowadź klauzule w umowach z pracownikami i kontrahentami – regulujące obowiązek przekazania domeny w razie zakończenia współpracy.
• Dokumentuj rejestracje i płatności – faktury, potwierdzenia WHOIS, umowy – ułatwia to dowodzenie praw w sporach.
• Monitoruj terminy odnowień – utrata domeny przez brak opłaty otwiera drogę do jej przejęcia przez inne podmioty.
• Rozważ rejestrację znaku towarowego – dodatkowa ochrona prawna ułatwia spory o domenę i eliminuje ryzyko „cybersquattingu”.

Podsumowanie

W sporach o domeny internetowe kluczowe znaczenie ma formalna rejestracja, a nie faktyczne korzystanie czy finansowanie. Abonent wskazany w umowie rejestracyjnej ma wyłączne prawo zarządzania domeną – jej przeniesienie wymaga jego zgody albo wykazania naruszenia praw do oznaczenia (np. znak towarowy, nazwa przedsiębiorstwa).

Brak prawidłowego uregulowania własności domeny może prowadzić do utraty kontroli nad kluczowym elementem wizerunku i komunikacji firmy. Prewencja – poprzez prawidłowe rejestrowanie domen, zawieranie umów i monitorowanie uprawnień – jest najskuteczniejszą formą ochrony.

Stan prawny na dzień: 21 sierpnia 2025 roku

Charakter prawny domeny internetowej

Domena internetowa (nazwa domenowa) w polskim porządku prawnym nie stanowi prawa własności w rozumieniu art. 140 kodeksu cywilnego. Ma charakter dobra niematerialnego o wartości majątkowej, do którego przysługują uprawnienia wynikające z umowy rejestracyjnej zawieranej z rejestratorem lub operatorem krajowego bądź globalnego systemu nazw domenowych (DNS).

Rejestracja domeny tworzy stosunek obligacyjny pomiędzy abonentem a rejestratorem – uprawnia do wyłącznego korzystania z określonej nazwy domenowej przez okres obowiązywania umowy (zwykle odnawialnej). Orzecznictwo sądowe podkreśla charakter względny prawa do domeny. W praktyce podmiot rejestrujący domenę jest określany jako abonent domeny.

Przykłady orzeczeń

Wyrok Sądu Apelacyjnego w Katowicach (13 czerwca 2006, I ACa 272/06)

Sąd stwierdził, że domena internetowa „nie stanowi per se przedmiotu prawa podmiotowego” i że mówienie o „własności domeny” jest chybione. Prawo własności art. 140 kc odnosi się tylko do rzeczy, których domeny nie są. Rejestracja domeny nie tworzy prawa własności, lecz jedynie stan techniczny i umowny umożliwiający korzystanie z niej w określonym czasie.

Orzecznictwo sądów powszechnych i uchwała SN (2007, III CZP 109/07)

Zgodnie z uchwałą Sądu Najwyższego z 22 listopada 2007 (III CZP 109/07) wskazuje się, że umowa o rejestrację i utrzymanie domeny jest umową o świadczenie usług, a więc tworzy stosunek obligacyjny, a nie prawo rzeczowe.

Zakres uprawnień przysługujących abonentowi

Abonentowi domeny przysługują uprawnienia o charakterze majątkowym, w szczególności:

• Prawo do korzystania z domeny – w tym kierowania ruchu na własny serwis internetowy, serwery pocztowe lub hosting danych.
• Prawo do przeniesienia praw do domeny na inny podmiot – co w praktyce oznacza cesję wierzytelności wynikającej z umowy rejestracyjnej, podlegającą akceptacji rejestratora.
• Prawo do zrzeczenia się domeny – rezygnacja z dalszego korzystania i usunięcie domeny z rejestru.
• Prawo do umożliwienia korzystania osobom trzecim (np. w modelu sublicencji lub współdzielenia), o ile nie jest to sprzeczne z regulaminem operatora.

Zakres tych uprawnień jest ograniczony nie tylko przepisami powszechnie obowiązującego prawa, ale również regulaminami rejestratorów (np. NASK dla domen .pl).

Granice swobody korzystania z domeny

Swoboda korzystania z domeny jest szeroka, lecz nie ma charakteru absolutnego. Ograniczenia wynikają zarówno z prawa publicznego, jak i prywatnego:

Prawo własności intelektualnej

Domeny nie mogą naruszać cudzych praw ochronnych na znaki towarowe, praw autorskich ani nazw handlowych. Rejestracja domeny zawierającej cudzy znak towarowy może zostać uznana za czyn nieuczciwej konkurencji (art. 10 ustawy o zwalczaniu nieuczciwej konkurencji) lub naruszenie prawa ochronnego na znak towarowy (art. 296 Prawa własności przemysłowej).

Prawo cywilne

Niedopuszczalne jest wykorzystywanie domeny w sposób naruszający dobra osobiste osób trzecich, takie jak nazwisko, pseudonim, renoma czy prawo do prywatności (art. 23–24 k.c.).

Prawo karne

Rejestracja domeny w celu oszustwa, phishingu, szantażu czy podszywania się pod inną osobę (np. bank, instytucję publiczną) może skutkować odpowiedzialnością karną, np. z art. 190a § 2 k.k.

Regulaminy rejestratorów

Rejestratorzy przewidują zakazy wykorzystywania domen do działalności nielegalnej, w tym sprzedaży towarów podrobionych, hostingu treści zabronionych (np. pornografii dziecięcej), a także praktyk typu domain squattingczy typosquatting.

Spory i procedury ochronne

Spory o prawa do domen internetowych mogą być rozstrzygane przed sądami powszechnymi lub w postępowaniu arbitrażowym – np. przed Sądem Polubownym ds. Domen Internetowych przy PIIT (dla domen .pl) lub w trybie UDRP przed WIPO (dla domen globalnych, np. .com, .org).

Postępowania te koncentrują się na ocenie praw do nazwy (np. znaku towarowego, nazwy przedsiębiorstwa) oraz przesłanek złej wiary przy rejestracji i używaniu domeny.

Podsumowanie

Dla przedsiębiorców zalecane jest proaktywne monitorowanie rejestracji domen związanych z ich marką oraz zawieranie w umowach klauzul dotyczących przeniesienia praw do domen.

Abonent domeny internetowej nie jest jej właścicielem w sensie prawa rzeczowego, lecz korzysta z uprawnienia obligacyjnego zapewniającego wyłączność używania domeny przez okres obowiązywania umowy rejestracyjnej.

Swoboda korzystania jest znacząca, ale ograniczona przepisami o ochronie dóbr osobistych, znaków towarowych, zwalczaniu nieuczciwej konkurencji oraz przepisami karnymi.

Nadużycie prawa do domeny może skutkować:

• roszczeniami cywilnymi (o zaniechanie, usunięcie skutków naruszeń, odszkodowanie),
• utratą domeny w postępowaniu arbitrażowym,
• odpowiedzialnością karną w przypadku działań przestępczych.

Dla przedsiębiorców zalecane jest proaktywne monitorowanie rejestracji domen związanych z ich marką oraz zawieranie w umowach klauzul dotyczących przeniesienia praw do domen.

Stan prawny na dzień: 19 sierpnia 2025 roku

W dobie zagrożeń asymetrycznych – ataków cybernetycznych, presji informacyjnej, destabilizacji logistycznej i napięć geopolitycznych – każda firma, niezależnie od skali działalności, powinna posiadać co najmniej podstawowy plan odporności na wypadek zakłóceń systemowych. Szczególnego znaczenia nabiera to w kontekście tzw. wojny hybrydowej – zjawiska niedookreślonego normatywnie, lecz obecnego w doktrynie prawa bezpieczeństwa i w strategiach obronnych państw.

Skutki działań hybrydowych mogą wyprzedzać lub zastępować tradycyjne (kinetyczne) środki walki, uderzając w sektor prywatny jako istotne ogniwo infrastruktury społeczno-gospodarczej.

Podstawy prawne reagowania przez przedsiębiorców

1. Ustawa z dnia 11 marca 2022 r. o obronie Ojczyzny
   – przewiduje możliwość nałożenia na przedsiębiorców obowiązków świadczeń rzeczowych i osobistych (art. 628–682), a także udziału w planach operacyjnych i mobilizacyjnych.
2. Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
   – zakłada współodpowiedzialność sektora prywatnego za zapewnienie ciągłości działania infrastruktury krytycznej i łańcuchów dostaw.
3. Akty wykonawcze MON oraz decyzje wojewodów
   – mogą nakładać na przedsiębiorców obowiązki związane z zabezpieczeniem zasobów, świadczeniem usług lub udziałem w działaniach koordynowanych przez administrację publiczną.
4. RODO, Kodeks pracy, ustawy branżowe
   – wyznaczają granice przetwarzania danych osobowych, ochrony informacji oraz obowiązków względem pracowników – nawet w warunkach kryzysowych.

Plan 72h – minimum operacyjnej odporności dla małych i średnich przedsiębiorstw (MŚP)

Dzień 1: Procedury i zarządzanie ryzykiem

• Wyznacz osobę odpowiedzialną za bezpieczeństwo kryzysowe (koordynator lub pełnomocnik ds. zarządzania kryzysowego).
• Zweryfikuj umowy z dostawcami pod kątem klauzul awaryjnych (force majeure, SLA, odpowiedzialność za przerwy w świadczeniu usług).
• Zidentyfikuj zasoby krytyczne: dane, systemy, urządzenia, kluczowych pracowników.
• Opracuj listę priorytetów działań w pierwszych 24 godzinach (np. dostęp do serwerów, kont bankowych, komunikacji głosowej).

Dzień 2: Komunikacja i organizacja operacyjna

• Przygotuj awaryjny plan komunikacji wewnętrznej:
  • numery telefonów do kadry kierowniczej,
  • alternatywne kanały komunikacji (SMS, Signal, WhatsApp),
  • szablony komunikatów dla pracowników i klientów.
• Określ zasady funkcjonowania firmy w trybie ograniczonego dostępu do sieci:
  • kto pracuje zdalnie, kto stacjonarnie,
  • które procesy są zawieszane, a które kontynuowane.
• Zweryfikuj dostępność danych kadrowych, dostępów i haseł krytycznych.

Dzień 3: Ochrona danych i informacji

• Wykonaj kopię bezpieczeństwa danych (na nośniku offline, dysku szyfrowanym, w repozytorium lokalnym).
• Zabezpiecz dane logowania i hasła – przygotuj zaszyfrowaną wersję papierową i zdeponuj ją w miejscu chronionym.
• Zabezpiecz urządzenia mobilne firmowe (MFA, VPN, zdalne czyszczenie danych).
• Upewnij się, że kluczowe dokumenty (rejestry, pełnomocnictwa, umowy) są dostępne również w wersji fizycznej lub notarialnie poświadczonej.

Lista kontrolna – minimum dla przedsiębiorcy (MŚP)

1. Wyznaczenie osoby odpowiedzialnej za zarządzanie kryzysowe.
2. Lista zasobów krytycznych (dane, sprzęt, personel).
3. Alternatywne kanały komunikacji.
4. Kopia danych offline i bezpieczne przechowywanie haseł.
5. Szablon komunikatu kryzysowego dla pracowników i kontrahentów.
6. Plan awaryjny trybu pracy (organizacja ograniczona).
7. Identyfikacja klauzul ryzyka w umowach (force majeure, odpowiedzialność).
8. Dostępność kluczowych dokumentów w formie fizycznej.

Podsumowanie

W warunkach współczesnych zagrożeń nie istnieje już neutralność sektora prywatnego. Nawet najmniejszy podmiot może stać się celem – lub ofiarą pośrednią – działań hybrydowych.

Odpowiedzialność przedsiębiorcy nie ogranicza się wyłącznie do ochrony interesu gospodarczego. Obejmuje ona także odpowiedzialność organizacyjną i publicznoprawną – w tym obowiązek dochowania należytej staranności w zapewnieniu ciągłości działania i ochrony zasobów.

Wdrożenie i przetestowanie planu 72h nie jest luksusem – to racjonalny i minimalny wymóg odporności prawnej, operacyjnej i reputacyjnej w zmiennym środowisku bezpieczeństwa.

Stan prawny na dzień: 14 sierpnia 2025 roku

Współczesne regulacje prawne dotyczące bezpieczeństwa państwa coraz wyraźniej wskazują na włączenie sektora prywatnego w system bezpieczeństwa – nie tylko w czasie wojny, lecz także w warunkach kryzysów hybrydowych, w tym zagrożeń cybernetycznych. Kluczowe znaczenie ma tu status przedsiębiorcy jako operatora infrastruktury krytycznej lub podmiotu strategicznego dla bezpieczeństwa państwa.

Podstawa prawna włączenia przedsiębiorcy w system obronny państwa

Ustawa z dnia 11 marca 2022 r. o obronie Ojczyzny

Rozdziały 13–15 oraz art. 628–682 przewidują możliwość nałożenia na przedsiębiorców obowiązków świadczeń rzeczowych i osobistych, a także realizacji planów operacyjnych w ramach przygotowań obronnych państwa. Decyzje administracyjne mogą nakładać obowiązki przekazania zasobów, utrzymania gotowości lub współpracy z administracją i Siłami Zbrojnymi RP.

Ustawa o zarządzaniu kryzysowym i Krajowy Program Ochrony Infrastruktury Krytycznej

Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. z 2023 r. poz. 122) umożliwia kwalifikację przedsiębiorstwa jako operatora infrastruktury krytycznej. Status ten wiąże się z obowiązkami w zakresie ochrony fizycznej, cyberbezpieczeństwa i zapewnienia ciągłości działania. Brak realizacji obowiązków ochrony infrastruktury krytycznej może skutkować odpowiedzialnością administracyjną i cywilną za powstałe szkody.

Akty wykonawcze i plany mobilizacyjne

Na podstawie rozporządzeń i decyzji Ministra Obrony Narodowej oraz wojewodów przedsiębiorstwa mogą zostać włączone do planów mobilizacyjnych państwa. W praktyce oznacza to konieczność zapewnienia zasobów, usług, personelu lub infrastruktury na potrzeby obronne.

Które przedsiębiorstwa mogą być objęte obowiązkami obronnymi?

Podmioty działające w sektorach:

• telekomunikacji i łączności,
• energetyki,
• transportu i logistyki,
• technologii informatycznych i usług chmurowych,
• ochrony zdrowia,
• budownictwa i infrastruktury technicznej,

– mogą zostać uznane za kluczowe z punktu widzenia bezpieczeństwa państwa i włączone w system obrony.

„Zmilitaryzowanie” przedsiębiorcy

Pojęcie „zmilitaryzowania” oznacza potocznie sytuację, w której przedsiębiorca staje się częścią systemu obronnego poprzez:

• obowiązek udostępnienia zasobów (maszyn, pojazdów, systemów),
• realizację zadań obronnych na rzecz wojska lub administracji publicznej,
• czasowe przekazanie kierownictwa operacyjnego pod strukturę wojskową lub resortową,
• podporządkowanie się decyzjom administracyjnym o natychmiastowej wykonalności.

Świadczenia rzeczowe i osobiste

Zgodnie z ustawą o obronie Ojczyzny:

• Świadczenia rzeczowe – czasowe przekazanie zasobów przedsiębiorstwa (np. serwerowni, pojazdów, zapasów) na podstawie decyzji administracyjnej.
• Świadczenia osobiste – obowiązek wyznaczenia pracowników do wykonywania zadań wspierających działania obronne (np. technicy, informatycy, kierowcy).

Decyzje te mogą być zaskarżone do sądu administracyjnego, lecz – zgodnie z art. 682 – odwołanie nie wstrzymuje ich wykonania.

Aspekty kontraktowe i compliance – jak się przygotować?

Klauzule kontraktowe (force majeure / bezpieczeństwa państwa)

Warto wprowadzać w umowach postanowienia przewidujące ingerencję państwa w sytuacjach nadzwyczajnych, np.:

„Strony uznają, że obowiązki nałożone na podstawie ustawy o obronie Ojczyzny stanowią okoliczność nadzwyczajną wyłączającą odpowiedzialność kontraktową Strony zobowiązanej”.

Zarządzanie zgodnością (compliance)

Należałoby opracować plan przedsiębiorstwa, obejmujący:

• inwentaryzację zasobów,
• ocenę ryzyka mobilizacyjnego,
• gotowość do realizacji decyzji publicznoprawnych.

Umowy z podwykonawcami i dostawcami

Umowy z podwykonawcami i dostawcami powinny przewidywać możliwość natychmiastowej relokacji zasobów lub personelu w razie nałożenia obowiązków obronnych.

Praktyka międzynarodowa

• Ukraina (2022–2024): wykorzystanie infrastruktury prywatnych firm telekomunikacyjnych i logistycznych w działaniach obronnych.
• Litwa i Estonia: obowiązek operatorów chmurowych do relokacji danych na serwery NATO.
• Francja i Niemcy: klauzule obronne w kontraktach publicznych i cywilnych (po COVID-19 i w kontekście wojny w Ukrainie).

Podsumowanie

W świetle obowiązujących przepisów przedsiębiorca nie jest już wyłącznie uczestnikiem obrotu gospodarczego, lecz potencjalnym elementem systemu obronnego państwa.

Świadomość obowiązków, przygotowanie kontraktowe oraz gotowość organizacyjna stają się kluczowym elementem odporności prawnej przedsiębiorstwa – niezależnie od branży.

Stan prawny na dzień: 12 sierpnia 2025 roku

W warunkach globalnej niestabilności geopolitycznej, nasilających się cyberataków i dezinformacji, cyberbezpieczeństwo staje się strategicznym obszarem odpowiedzialności przedsiębiorcy. Praktyka ostatnich lat pokazuje, że nawet podmioty, które nie postrzegają siebie jako potencjalnych celów ataków – zwłaszcza z sektora MŚP – stanowią podatne ogniwo w działaniach o charakterze systemowym, także w ramach wojen informacyjnych i hybrydowych.

W tym kontekście coraz mniej zasadne staje się pytanie: czy moja firma zostanie zaatakowana? Znacznie trafniejsze brzmi: kiedy to nastąpi i czy będziemy na to przygotowani?

Obowiązki wynikające z ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2023 r. poz. 913 z późn. zm.) wprowadza ramy prawne obejmujące m.in.:

• operatorów usług kluczowych (OUK),
• dostawców usług cyfrowych,
• jednostki administracji publicznej oraz inne podmioty przetwarzające dane wrażliwe lub świadczące usługi istotne dla funkcjonowania społeczeństwa i gospodarki.

Przedsiębiorca może zostać uznany za operatora usług kluczowych, jeśli spełnia kryteria sektorowe (np. energetyka, transport, zdrowie, finanse, infrastruktura cyfrowa) i jeśli incydent dotyczący jego działalności mógłby znacząco zakłócić świadczenie tych usług.

Obowiązki operatora usług kluczowych obejmują m.in.:

1. Cykliczną analizę ryzyka i wdrażanie adekwatnych środków technicznych i organizacyjnych.
2. Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo.
3. Prowadzenie dokumentacji polityki bezpieczeństwa systemów informatycznych.
4. Niezwłoczne zgłaszanie incydentów poważnych do krajowych zespołów CSIRT (NASK, MON lub GOV).

NIS2 – nowe standardy i rozszerzenie zakresu odpowiedzialności

Dyrektywa (UE) 2022/2555 – NIS2, którą Polska jest zobowiązana implementować, znacząco poszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Po wejściu w życie przepisów wdrażających NIS2 (projekt ustawy krajowej jest w toku prac legislacyjnych), regulacje będą dotyczyć także średnich przedsiębiorstw z branż takich jak:

• usługi cyfrowe,
• produkcja urządzeń medycznych i ICT,
• logistyka i transport,
• przetwórstwo żywności,
• gospodarka wodna i odpady,
• zarządzanie przestrzenią publiczną.

NIS2 przewiduje:

• rozszerzone wymogi dotyczące bezpieczeństwa,
• obowiązek raportowania incydentów w krótkich terminach,
• znaczące sankcje finansowe oraz możliwość pociągnięcia do odpowiedzialności osób z kierownictwa w przypadku rażących zaniedbań.

Implementacja NIS2 wymusi na wielu firmach stworzenie od podstaw struktur cyberbezpieczeństwa – zarówno technologicznych, jak i proceduralnych.

Audyt bezpieczeństwa i dokumentacja incydentów

Prawidłowe wdrożenie wymagań KSC i nadchodzących regulacji NIS2 powinno rozpocząć się od audytu ryzyk technologicznych i organizacyjnych, obejmującego m.in.:

• zapory sieciowe i ochronę przed złośliwym oprogramowaniem,
• kontrolę dostępu i politykę haseł,
• procedury backupu danych i testy ich odtwarzania,
• poziom kompetencji pracowników w zakresie cyberhigieny.

Podstawowym wymogiem jest opracowanie Polityki Bezpieczeństwa IT oraz Planu Reagowania na Incydenty (Incident Response Plan). Brak takich dokumentów w przypadku incydentu (np. ransomware, phishing, DDoS) może być uznany za przejaw niedbalstwa przedsiębiorcy.

Ponadto każdy incydent poważny musi być – zgodnie z KSC – niezwłocznie zgłoszony do właściwego CSIRT. Zaniechanie tego obowiązku rodzi konsekwencje administracyjne i może pogłębiać odpowiedzialność cywilną lub finansową.

Odpowiedzialność i ryzyka dla przedsiębiorców

Skutki cyberataku wykraczają poza sferę techniczną i mogą obejmować:

• naruszenie ochrony danych osobowych (RODO) – ryzyko sankcji administracyjnych nakładanych przez Prezesa UODO,
• utratę reputacji i zaufania klientów – zwłaszcza przy nieprofesjonalnym zarządzaniu kryzysem informacyjnym,
• paraliż operacyjny – przerwanie dostaw, wstrzymanie produkcji, blokadę systemów obsługi klienta i dokumentacji.

Dlatego wdrożenie Planu Ciągłości Działania (Business Continuity Plan – BCP) i procedur zarządzania incydentami należy traktować nie jako koszt, lecz jako inwestycję w odporność prawną i operacyjną. Kluczowym elementem są też szkolenia pracowników – to właśnie błędy ludzkie są najczęstszą przyczyną skutecznych ataków.

Lista kontrolna dla przedsiębiorcy

Minimalne działania, które powinien podjąć każdy przedsiębiorca, niezależnie od branży:

1. Przeprowadzenie audytu cyberbezpieczeństwa – samodzielnie lub przy wsparciu ekspertów zewnętrznych.
2. Określenie obowiązków i odpowiedzialności kierownictwa w zakresie cyberbezpieczeństwa.
3. Aktualizacja dokumentacji IT i wprowadzenie polityki bezpieczeństwa (m.in. haseł, kontroli dostępu, backupów).
4. Opracowanie procedury zarządzania incydentami oraz kanałów komunikacji z CSIRT.
5. Wdrożenie BCP i scenariuszy reagowania na cyberataki.
6. Szkolenia pracowników w zakresie podstawowych zasad cyberhigieny.
7. Monitorowanie postępów prac legislacyjnych dotyczących implementacji NIS2.

Podsumowanie

W realiach wojen informacyjnych i hybrydowych brak przygotowania równa się zaniedbaniu, a w przypadku przedsiębiorcy – ryzyku prawnemu, finansowemu i reputacyjnemu. Ustawa o KSC oraz nadchodzące przepisy wdrażające NIS2 zmieniają model podejścia do cyberbezpieczeństwa: z rekomendacyjnego na obowiązkowy i sankcyjny.

Każda firma – niezależnie od skali działalności – powinna dziś zadać pytanie:
Czy jesteśmy przygotowani na incydent, który może mieć konsekwencje prawne, operacyjne i finansowe?

Stan prawny na dzień: 7 sierpnia 2025 roku

W warunkach zagrożenia o charakterze militarnym, hybrydowym lub kryzysowym rośnie ryzyko rozpowszechniania treści niezweryfikowanych, manipulacyjnych lub całkowicie nieprawdziwych. Zjawisko to – potocznie określane jako fake news – posiada również wymiar prawny, który może skutkować odpowiedzialnością cywilną lub karną.

Obywatel funkcjonujący w przestrzeni informacyjnej obarczonej chaosem ma zatem nie tylko prawo, ale wręcz obowiązek zachowania szczególnej staranności przy odbiorze, przetwarzaniu i dalszym przekazywaniu komunikatów.

Dezinformacja w świetle prawa

Pojęcie fake news nie zostało zdefiniowane w aktach prawa powszechnie obowiązującego. Niemniej treści nieprawdziwe lub zmanipulowane mogą prowadzić do naruszenia przepisów wielu gałęzi prawa, w szczególności:

Prawo karne

• art. 224a Kodeksu karnego (k.k.) – wywołanie fałszywego alarmu;
• art. 212 k.k. – zniesławienie;
• art. 190a k.k. – uporczywe nękanie (stalking) z wykorzystaniem środków komunikacji elektronicznej.

Prawo cywilne

• art. 23–24 Kodeksu cywilnego (k.c.) – naruszenie dóbr osobistych poprzez rozpowszechnianie informacji nieprawdziwych lub bezprawnych.

Prawo administracyjne

• odpowiedzialność za publikację informacji mogących zakłócić działanie organów publicznych, służb lub systemów zarządzania kryzysowego (np. art. 19 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, Dz.U. z 2023 r. poz. 122).

Społeczne i instytucjonalne skutki dezinformacji

Rozpowszechnianie nieprawdziwych informacji w warunkach podwyższonego ryzyka może prowadzić do:

• zakłócenia działania instytucji publicznych,
• utraty zaufania do organów państwa lub partnerów międzynarodowych,
• pogłębienia paniki społecznej i wywołania zachowań irracjonalnych, szkodliwych lub nielegalnych,
• strat finansowych, organizacyjnych i reputacyjnych o charakterze wtórnym.

Jak filtrować informacje w warunkach chaosu informacyjnego?

W stanie zakłóconego obiegu informacyjnego kluczowe znaczenie ma zasada zwiększonej staranności informacyjnej, obejmująca:

1. Weryfikację źródła informacji
   – Wiarygodność komunikatów należy odnosić wyłącznie do instytucji uprawnionych do ich publikacji (organy konstytucyjne, administracja rządowa i samorządowa, Siły Zbrojne RP, instytucje UE).
2. Sprawdzenie formy przekazu
   – Informacje prawnie wiążące powinny przyjmować formę komunikatów urzędowych, decyzji, zarządzeń lub aktów wykonawczych.
3. Krytyczną ocenę treści
   – Dezinformacja często wykorzystuje emocje, manipulację oraz wewnętrzne sprzeczności – ich identyfikacja wymaga świadomego dystansu i wstrzymania reakcji.
4. Ograniczenie dalszego rozpowszechniania niesprawdzonych informacji
   – Obywatel ponosi odpowiedzialność nie tylko za własne działania, ale także za skutki wynikłe z przekazywania treści mogących prowadzić do szkody lub paniki.

Dezinformacja jako narzędzie działań hybrydowych

Dezinformacja coraz częściej stanowi element informacyjnych operacji wrogich państw (IO), prowadzonych z naruszeniem zasad prawa międzynarodowego. Choć termin „agresja informacyjna” nie jest terminem normatywnym, doktryna odnosi go do art. 2 ust. 4 Karty Narodów Zjednoczonych, ustanawiającego zakaz użycia siły w stosunkach międzynarodowych.

Praktyka ostatnich lat wskazuje m.in. na działania Federacji Rosyjskiej i Chińskiej Republiki Ludowej jako przykłady realnych, a nie hipotetycznych, zagrożeń.

Odpowiedzialność platform cyfrowych – luka regulacyjna w Polsce

W Polsce obowiązki przeciwdziałania dezinformacji przez platformy internetowe wynikają z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 – Digital Services Act (DSA). Jednak na poziomie krajowym brakuje mechanizmów dotyczących treści szkodliwych społecznie, które nie stanowią przestępstwa.

W innych państwach (np. Francja, Niemcy) istnieją regulacje przewidujące sankcje za nieusuwanie nieprawdziwych treści w określonym terminie – rozwiązania te mogą stanowić wzorzec dla polskiego ustawodawcy.

Przykłady dezinformacji w kontekście konfliktów zbrojnych

• fałszywe komunikaty o skażeniu wody w Polsce,
• masowe rozpowszechnianie informacji o „mobilizacji wojskowej” w 2022 roku.

Podsumowanie

W obliczu dezinformacji obywatel powinien przyjąć postawę świadomego uczestnika obiegu informacyjnego, a nie biernego odbiorcy treści. Prawo nie wymaga od niego wiedzy specjalistycznej, lecz nakłada obowiązek zachowania elementarnego rozsądku i ostrożności, zwłaszcza w sytuacjach nadzwyczajnych.

Zdolność do identyfikacji i powstrzymywania fałszywych treści jest dziś nie tylko przejawem odpowiedzialności społecznej, ale również istotnym elementem odporności prawnej i systemowej państwa.

Stan prawny na dzień: 5 sierpnia 2025 roku

Przetrwanie informacyjne jako element odporności cywilnej

W warunkach zagrożenia bezpieczeństwa państwa – zarówno o charakterze militarnym, jak i hybrydowym – jednym z kluczowych obszarów odporności cywilnej staje się tzw. przetrwanie informacyjne. Pojęcie to, choć nienormowane ustawowo, odnosi się do zdolności obywatela do ochrony własnych danych osobowych, tożsamości cyfrowej oraz dokumentów o znaczeniu prawnym (prywatnych i zawodowych), niezależnie od dostępności systemów teleinformatycznych i infrastruktury państwowej.

Tożsamość cyfrowa i dokumenty elektroniczne – ramy prawne

Współczesne instytucje prawne, takie jak:

• e-dowód osobisty (ustawa z dnia 6 sierpnia 2010 r. o dowodach osobistych),
• profil zaufany (ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne),
• dokumenty elektroniczne wykorzystywane w bankowości i administracji publicznej,

są ściśle powiązane z infrastrukturą teleinformatyczną i wymagają dostępu do danych w czasie rzeczywistym. W sytuacji awarii infrastruktury krytycznej, cyberataku lub przymusowej migracji obywatel może utracić możliwość korzystania z podstawowych funkcji: identyfikacji, uwierzytelniania i autoryzacji.

Zabezpieczenia notarialne i redundancja danych

1. Notarialne poświadczenie dokumentów elektronicznych

Na gruncie ustawy – Prawo o notariacie istnieje możliwość:

• notarialnego poświadczenia kopii dokumentów elektronicznych,
• sporządzenia wypisów, odpisów lub wyciągów dokumentów mających znaczenie prawne (np. pełnomocnictw, dyspozycji bankowych, upoważnień opiekuńczych).

Działanie to pozwala na wytworzenie fizycznych nośników danych, przydatnych w przypadku braku dostępu do systemów cyfrowych.

2. Redundancja papierowa

Choć brak jest definicji ustawowej, termin ten odnosi się do praktyki tworzenia równoległego, fizycznego zbioru kluczowych informacji i dokumentów, obejmującego m.in.:

• skany dokumentów tożsamości,
• zaszyfrowane hasła do kont bankowych i chmurowych,
• dane kontaktowe do osób bliskich, pełnomocników prawnych, placówek dyplomatycznych.

Przechowywanie takiego zestawu wymaga zabezpieczenia zgodnie z przepisami RODO (Rozporządzenie 2016/679) oraz – w razie potrzeby – przepisami o ochronie informacji niejawnych.

Minimalne standardy odporności informacyjnej obywatela

Doświadczenia państw dotkniętych kryzysami (Estonia, Ukraina) wskazują, że obywatel powinien przyjąć co najmniej następujące standardy:

• posiadanie fizycznego dokumentu tożsamości (paszport, tradycyjny dowód osobisty, kopia aktu urodzenia),
• cykliczne archiwizowanie danych na szyfrowanym nośniku offline,
• ustanowienie pełnomocnictwa w formie aktu notarialnego (obejmującego zarządzanie majątkiem i reprezentację przed organami administracji),
• przygotowanie i przetestowanie osobistego planu komunikacyjnego na wypadek braku łączności.

Brak dostępu do rejestru PESEL, bankowości elektronicznej czy ksiąg wieczystych może prowadzić do poważnych trudności w:

• wykazaniu tożsamości i obywatelstwa,
• potwierdzeniu relacji rodzinnych,
• dostępie do środków finansowych,
• udokumentowaniu praw majątkowych.

Tego rodzaju bariery skutkują faktycznym ograniczeniem możliwości korzystania z praw podmiotowych, zwłaszcza w relacjach międzynarodowych, gdzie dokumenty elektroniczne nie zawsze są uznawane przez państwa przyjmujące.

Rekomendacje operacyjne

W celu zwiększenia odporności informacyjnej zaleca się:

1. Sporządzenie zestawu kluczowych dokumentów w formie fizycznej i elektronicznej, obejmującego m.in.:
   • dokumenty tożsamości (dowód osobisty, paszport, akt urodzenia),
   • akty stanu cywilnego (małżeństwo, dzieci),
   • tytuły własności, umowy, upoważnienia, decyzje administracyjne.
2. Ustanowienie pełnomocnika (z prawem do reprezentacji w urzędach, dostępu do rachunków bankowych, zarządzania majątkiem).
3. Stworzenie listy osób i instytucji mogących świadczyć pomoc prawną, medyczną lub organizacyjną.
4. Zabezpieczenie w razie ewakuacji:
   • danych identyfikacyjnych i kontaktowych,
   • numerów kont oraz haseł w formie zaszyfrowanej,
   • polis ubezpieczeniowych, recept elektronicznych i pełnomocnictw.

Podsumowanie

W erze pełnej cyfryzacji administracji i finansów realne staje się zagrożenie bycia tzw. „cyfrowym uchodźcą” – osobą pozbawioną dostępu do własnych danych i tożsamości wskutek awarii lub cyberataku. Prawo zapewnia dziś instrumenty pozwalające budować indywidualną odporność informacyjną, jednak to na obywatelu spoczywa obowiązek ich wdrożenia – zanim staną się jedynym punktem oparcia.

Stan prawny na dzień: 31 lipca 2025 r.