Dokument prawny

Disclaimer - zakres odpowiedzialności

Czym jest, a czym nie jest SZBIhub - narzędzie, nie porada prawna ani gwarancja zgodności. Załącznik 3 do Regulaminu.

Wersja 0.9.1-draftTODO-LEGAL-REVIEWOstatnia zmiana: 12 lipca 2026

Status tego dokumentu

Poniżej znajduje się pełna treść dokumentu w wersji roboczej 0.9.1-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy paragrafów nie jest to jeszcze wiążąca treść dla użytkownika: dopiero człowiek, po przeglądzie kancelarii, zatwierdza wersję obowiązującą. Miejsca oznaczoneTODO-CONTENT to otwarte pytania i decyzje, które nie zostały jeszcze rozstrzygnięte - nie wypełniamy ich domysłem. Oznaczenie [docelowo: ...] wskazuje funkcję lub środek opisany jako stan docelowy - z zadaniem-właścicielem w backlogu - który nie jest jeszcze zbudowany; taka adnotacja nie jest częścią tekstu normatywnego.

1. Czym jest SZBIhub

  1. SZBIhub to narzędzie informatyczne: generator dokumentacji, rejestry i ewidencje wspierające budowę i utrzymanie systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2024 poz. 1077, ze zm.; dalej: “ustawa o KSC”), w brzmieniu uwzględniającym ustawę z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252).
  2. Szablony dokumentów, opisy wymogów, pytania kwalifikacyjne, kursy i baza wiedzy (dalej łącznie: “Treści Merytoryczne”) zostały opracowane na podstawie powszechnie obowiązujących przepisów oraz uznanych norm i praktyk zarządzania bezpieczeństwem informacji. Tam, gdzie treść odwołuje się do przepisu, podajemy referencję umożliwiającą samodzielną weryfikację; tam, gdzie treść jest praktyką lub naszą propozycją domyślną, oznaczamy to wprost.
  3. Dokumenty wygenerowane z Platformy powstają z połączenia: szablonu, danych wprowadzonych przez użytkownika oraz dokonanych przez niego wyborów. Jakość i adekwatność wyniku zależy od jakości tych danych i wyborów.

2. Czym SZBIhub nie jest

  1. Nie jest poradą prawną. Nie świadczymy pomocy prawnej; nie jesteśmy kancelarią. Treści Merytoryczne mają charakter ogólny: nie uwzględniają pełnej, indywidualnej sytuacji konkretnego podmiotu i nie zastępują oceny prawnika ani specjalisty ds. bezpieczeństwa w sprawach wymagających interpretacji.
  2. Nie jest gwarancją zgodności. Wygenerowanie dokumentacji nie oznacza, że podmiot jest zgodny z ustawą o KSC. Zgodność wymaga faktycznego wdrożenia: przyjęcia dokumentów przez kierownictwo, przypisania odpowiedzialności, realizacji opisanych procesów, prowadzenia rejestrów i reagowania na incydenty. Dokument, którego organizacja nie stosuje, nie tworzy zgodności.
  3. Nie jest certyfikacją ani potwierdzeniem urzędowym. Ani my, ani partner udostępniający Państwu narzędzie nie działamy z upoważnienia organów; raporty i certyfikaty generowane przez Platformę (np. zaświadczenia o ukończeniu szkolenia) dokumentują zdarzenia w Platformie, a nie stanowisko organu.
  4. Nie przewidujemy wyniku kontroli. Nie gwarantujemy pozytywnego wyniku kontroli, audytu ani postępowania nadzorczego. Organ ocenia całość stanu faktycznego podmiotu, nie tylko dokumentację.
  5. Nie wykonujemy obowiązków za podmiot. Platforma nie składa wniosków, zgłoszeń ani deklaracji do organów (w tym: nie rejestruje podmiotów w wykazie prowadzonym na podstawie ustawy o KSC i nie zgłasza incydentów do CSIRT). Platforma dostarcza instrukcje, przypomnienia i materiały - czynności wykonuje podmiot lub jego partner zgodnie z własną umową.

3. Kto za co odpowiada

  1. Podmiot (organizacja) odpowiada za: prawdziwość i kompletność danych wprowadzonych do Platformy, dostosowanie dokumentacji do swojej rzeczywistości, przyjęcie i stosowanie dokumentacji, wykonanie obowiązków ustawowych (rejestracyjnych, zgłoszeniowych, szkoleniowych) w terminach, które go dotyczą.
  2. Partner (firma IT) odpowiada wobec podmiotu za usługi, które świadczy na jego rzecz na podstawie własnej umowy z podmiotem (wdrożenie, opieka, doradztwo operacyjne). Partner nie jest naszym przedstawicielem; my nie jesteśmy stroną umowy partner-podmiot.
  3. My (Supremeware Ltd) odpowiadamy za działanie Platformy zgodnie z umową o świadczenie usługi (Regulamin) - w granicach tam opisanych.
  4. Ten podział nie uchyla odpowiedzialności, której zgodnie z prawem nie można wyłączyć lub ograniczyć.

4. Aktualność treści

  1. Stan prawny, na którym oparto Treści Merytoryczne, oraz datę ostatniej weryfikacji publikujemy na stronie internetowej (pasek stanu prawnego oraz rejestr zmian prawnych) i w metryce każdego dokumentu wygenerowanego; prezentacja także w interfejsie Platformy [docelowo: GTM-REQ-8 - widok stanu prawnego w aplikacji w budowie].
  2. Monitorujemy źródła urzędowe (Dziennik Ustaw, prace legislacyjne, komunikaty właściwych instytucji) i aktualizujemy Treści Merytoryczne z należytą starannością. Pomiędzy zmianą prawa a aktualizacją treści może jednak upłynąć czas; nie gwarantujemy, że każda treść w każdej chwili odzwierciedla wszystkie zmiany.
  3. Dokument wygenerowany zachowuje w metryce informację o wersji szablonu i dacie generacji. Za przegląd dokumentacji po zmianach prawa odpowiada podmiot (Platforma sygnalizuje dostępne aktualizacje).

5. Treści wspierane przez AI

Część treści pomocniczych (np. odpowiedzi wsparcia, propozycje redakcyjne) może być przygotowywana z użyciem narzędzi sztucznej inteligencji. Treści Merytoryczne publikowane w Platformie przechodzą przegląd człowieka przed publikacją; odpowiedzi wsparcia oznaczamy, gdy zostały przygotowane automatycznie [docelowo: OP-3.1 - system wsparcia z AI w budowie; do jego uruchomienia wszystkie odpowiedzi przygotowuje człowiek]. Zasada z pkt 2.1 (to nie jest porada prawna) obowiązuje niezależnie od sposobu przygotowania treści.

6. Kiedy skonsultować się z prawnikiem

Zalecamy konsultację z radcą prawnym lub adwokatem w szczególności, gdy: wynik kwalifikacji podmiotu jest niejednoznaczny lub sporny; podmiot otrzymał wezwanie, decyzję lub zawiadomienie o kontroli; doszło do incydentu o możliwych skutkach prawnych; dokumentacja ma być użyta w sporze; podmiot działa w reżimach szczególnych nakładających dodatkowe obowiązki.


TODO-CONTENT: ten dokument transplantuje wyłącznie “Część I - wersja pełna” źródła (docs/legal/06-disclaimer-tresci.md). Dwie pozostałe wersje pozostają poza zakresem tej strony i tego zadania: “Część II - wersja-stopka” (tekst obowiązkowy w stopce każdego dokumentu generowanego przez silnik dokumentów - app-nis2, poza repo www) oraz “Część III - wersja mini” (skrócony disclaimer dla narzędzi klienckich - kalkulator kwalifikacji, generator .ics - patrz /narzedzia). Transplant tych dwóch wersji do odpowiednio silnika dokumentów i stron narzędzi jest osobnym zadaniem.

Źródła i odwołania

  • SZBIhub wspiera wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z ustawą o krajowym systemie cyberbezpieczeństwa, w brzmieniu uwzględniającym nowelizację z 23 stycznia 2026 r.
    ref

    Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2024 poz. 1077, ze zm.), zmieniona ustawą z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252)

    całość ustawy w brzmieniu nowelizującym

    Zobacz źródło →TODO-LEGAL-REVIEW