3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Od tej daty zmianie ulega sposób patrzenia na cyberbezpieczeństwo w części przedsiębiorstw, jak i podmiotów publicznych. Zmiany są istotne i nie sposób ich sprowadzić do “zadania dla działu IT”. Wymagają one systemowego podejścia i uporządkowanego wdrożenia.
Nowelizacja wprowadza do polskiego systemu prawnego rozwiązania wynikające z dyrektywy NIS 2. Oznacza to istotną różnicę w podejściu do cyberbezpieczeństwa w Polsce, ponieważ nowe przepisy nakładają szersze i bardziej rygorystyczne obowiązki na tysiące podmiotów działających w strategicznych sektorach gospodarki. Organizacje będą musiały przygotować się na nowe standardy zarządzania ryzykiem oraz reagowania na incydenty.
1. Co zmienia nowelizacja?
Nowelizacja wyraźnie porządkuje i zaostrza dotychczasowe podejście do cyberbezpieczeństwa. Obejmuje szerszą grupę podmiotów, dokładniej określa ich obowiązki w zakresie zarządzania bezpieczeństwem informacji i mocniej akcentuje odpowiedzialność kierownictwa za realizację tych zadań.
W poprzednim modelu KSC kojarzył się głównie z operatorami usług kluczowych. Po nowelizacji to podejście jest już nieaktualne. Ustawa obejmuje podmioty kluczowe i podmioty ważne, a więc znacznie szerszą grupę organizacji dużym znaczeniu dla państwa i gospodarki.
Nie chodzi wyłącznie o zmianę terminologii. Za nowymi kategoriami idą konkretne obowiązki: wdrożenie systemu zarządzania bezpieczeństwem informacji, szacowanie ryzyka, zabezpieczenie łańcucha dostaw, przygotowanie planów ciągłości działania, monitorowanie systemów, raportowanie incydentów i prowadzenie odpowiedniej dokumentacji. Ustawodawca oczekuje więc nie deklaracji, lecz realnego i możliwego do wykazania modelu zarządzania bezpieczeństwem.
2. Kogo obejmą nowe przepisy?
W praktyce największy błąd polega dziś na założeniu, że skoro dana firma nie jest „infrastrukturą krytyczną”, to KSC jej nie dotyczy. Tymczasem katalog sektorów objętych ustawą jest szeroki. Mieszczą się w nich m.in. energia, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę, infrastruktura cyfrowa, komunikacja elektroniczna, zarządzanie usługami ICT, przestrzeń kosmiczna oraz część podmiotów publicznych. W sektorach ważnych znajdują się m.in. usługi pocztowe, gospodarka odpadami, chemikalia, żywność, wybrane obszary produkcji, dostawcy usług cyfrowych czy badania naukowe.
Co do zasady podmiotem kluczowym będzie duży przedsiębiorca działający w sektorze kluczowym, zaś podmiotem ważnym średni przedsiębiorca z sektora kluczowego albo średni lub duży przedsiębiorca z sektora ważnego. To jednak tylko ogólna zasada, bo ustawa przewiduje też wyjątki. Niektóre podmioty podlegają regulacji niezależnie od wielkości.
Szczególnej uwagi wymaga branża telekomunikacyjna. Wszyscy przedsiębiorcy komunikacji elektronicznej podlegają nowym przepisom, ale ich status zależy od skali działalności. Duży i średni przedsiębiorca będzie podmiotem kluczowym, a mały lub mikroprzedsiębiorca – podmiotem ważnym. To dobry przykład, że niewielki rozmiar działalności nie musi oznaczać wyłączenia z ustawy.
Ostrożność powinny zachować także grupy kapitałowe. To, że jedna spółka z grupy była wcześniej operatorem usługi kluczowej, nie oznacza automatycznie objęcia regulacją wszystkich pozostałych. Każda organizacja powinna samodzielnie sprawdzić, czy spełnia ustawowe kryteria, przy czym znaczenie ma działalność faktycznie wykonywana, a nie tylko formalny wpis w rejestrze.
Osobno trzeba pamiętać o sektorze finansowym. W niektórych obszarach pierwszeństwo będą miały regulacje DORA, zwłaszcza w zakresie zarządzania ryzykiem ICT i zgłaszania poważnych incydentów. Nie oznacza to jednak całkowitego wyłączenia ustawy o KSC, lecz konieczność prawidłowego ustalenia relacji między tymi regulacjami.
3. Najważniejsze terminy.
Nowe przepisy weszły w życie 3 kwietnia 2026 r. To od tej daty rozpoczął się bieg terminów dostosowawczych.
Kolejną istotną datą był 13 kwietnia 2026 r., kiedy uruchomiono wykaz podmiotów kluczowych i ważnych. To formalny rejestr organizacji objętych ustawą. W okresie od 13 kwietnia do 6 maja 2026 r. Minister Cyfryzacji dokonuje wpisów z urzędu wobec wybranych kategorii podmiotów, m.in. dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych i części podmiotów publicznych.
Od 7 maja do 3 października 2026 r. trwa samorejestracja tych podmiotów, które nie zostały wpisane z urzędu. To jeden z najważniejszych terminów praktycznych. Bez prawidłowego ustalenia statusu i dokonania wpisu trudno przejść do dalszych etapów wdrożenia.
12 czerwca 2026 r. uruchomiono możliwość korzystania z systemu S46 dla nowych podmiotów. Natomiast do 3 kwietnia 2027 r. organizacje, które już w dniu wejścia w życie ustawy spełniały kryteria podmiotu kluczowego albo ważnego, muszą rozpocząć korzystanie z S46 i wdrożyć obowiązki wynikające z ustawy.
W tym miejscu warto wyjaśnić, że S46 to system teleinformatyczny, który wspiera zgłaszanie i obsługę incydentów, wymianę informacji i współpracę pomiędzy uczestnikami krajowego systemu cyberbezpieczeństwa. Wspiera również szacowanie ryzyka na poziomie krajowym i ostrzeganie o zagrożeniach cyberbezpieczeństwa.
Następna ważna data to 3 kwietnia 2028 r. Do tego dnia nowo objęte podmioty kluczowe muszą przeprowadzić pierwszy audyt bezpieczeństwa systemu informacyjnego wykorzystywanego przy świadczeniu usługi. To także moment, od którego mogą być nakładane administracyjne kary pieniężne. Ustawodawca dał więc czas na dostosowanie, ale nie jest to czas nieograniczony.
4. Co trzeba wdrożyć w organizacji?
Sednem nowych obowiązków jest SZBI, czyli system zarządzania bezpieczeństwem informacji. Ustawa wymaga, aby podmiot kluczowy albo ważny wdrożył taki system dla tych systemów informacyjnych, które są wykorzystywane w procesach wpływających na świadczenie usługi.
Organizacja powinna najpierw ustalić, jakie procesy są rzeczywiście istotne dla jej działalności, a dopiero potem przypisać do nich konkretne systemy, zasoby i zależności. Nie chodzi wyłącznie o „główne systemy IT”, ale o wszystkie elementy, których awaria, podatność lub niedostępność mogą realnie zakłócić świadczenie usługi.
Zakres SZBI jest szeroki. Obejmuje m.in. szacowanie ryzyka, dobór środków technicznych i organizacyjnych, bezpieczeństwo przy nabywaniu i rozwijaniu systemów, bezpieczeństwo fizyczne, ochronę zasobów ludzkich, bezpieczeństwo łańcucha dostaw, ciągłość działania, monitoring, ocenę skuteczności zabezpieczeń, edukację personelu, cyberhigienę, kryptografię, zarządzanie aktywami i kontrolę dostępu.
Równie ważna jak same zabezpieczenia jest dokumentacja. Ustawa wymaga nie tylko wdrożenia odpowiednich rozwiązań, ale też ich opisania, utrzymywania i aktualizowania. Organizacja ma być w stanie wykazać, jakie polityki stosuje, kto odpowiada za poszczególne zadania, jak ocenia ryzyko i jak nadzoruje bezpieczeństwo. W praktyce właśnie na tym etapie często wychodzi, czy wdrożenie jest realne, czy jedynie deklaratywne.
5. Kto odpowiada za wykonanie obowiązków?
Jedna z najważniejszych zmian dotyczy odpowiedzialności kierownictwa. Ustawa wprost wskazuje, że za wykonywanie obowiązków z zakresu cyberbezpieczeństwa odpowiada kierownik podmiotu kluczowego albo ważnego. Nie wystarczy więc powierzyć zadania działowi IT, inspektorowi bezpieczeństwa czy zewnętrznemu dostawcy usług.
Kierownik ma podejmować decyzje dotyczące przygotowania, wdrażania, stosowania i nadzoru nad SZBI, zapewnić odpowiednie środki finansowe, przydzielać zadania oraz nadzorować ich wykonanie. Odpowiedzialność ma więc charakter realny i zarządczy.
Nowelizacja wprowadza również obowiązek szkoleniowy. Kierownik podmiotu oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, mają raz w roku przechodzić szkolenie i dokumentować udział. To wyraźny sygnał, że ustawodawca oczekuje faktycznej wiedzy i aktywnego nadzoru ze strony kierownictwa, a nie wyłącznie formalnego podpisu pod procedurami.
6. Incydenty trzeba zgłaszać szybko.
Co do zasady podmiot kluczowy albo ważny przekazuje wczesne ostrzeżenie o incydencie poważnym w ciągu 24 godzin od jego wykrycia, a samo zgłoszenie incydentu w ciągu 72 godzin. Ustawa przewiduje jednak wyjątki, w szczególności dla podmiotu ważnego będącego podmiotem publicznym.
To oznacza, że organizacja musi mieć nie tylko narzędzia techniczne do wykrywania zagrożeń, ale również gotowy proces decyzyjny. Komu zgłaszać incydent? Kto ocenia jego wagę? Kto odpowiada za zgłoszenie? Kto komunikuje się z właściwym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT)? Bez odpowiedzi na te pytania nawet sprawny zespół techniczny może nie zdążyć z realizacją obowiązków ustawowych.
Ustawa przewiduje też możliwość wykonywania zadań z zakresu cyberbezpieczeństwa przez wewnętrzne struktury albo przy wsparciu zewnętrznego dostawcy usług zarządzanych. To praktyczne rozwiązanie, zwłaszcza dla tych organizacji, które nie mają rozbudowanych własnych kompetencji. Outsourcing nie zwalnia jednak z odpowiedzialności za prawidłowe wykonanie obowiązków.
7. Wykaz KSC i system S46 – formalność czy fundament?
Wykaz podmiotów kluczowych i ważnych oraz system S46 to nie są dodatki administracyjne. To fundament praktycznego funkcjonowania całego systemu. Wykaz służy identyfikacji podmiotów objętych ustawą, a S46 ma być podstawowym narzędziem komunikacji i realizacji części obowiązków ustawowych, w tym raportowania incydentów.
Po wpisie do wykazu organizacja musi uporządkować kwestie kontaktowe, wskazać administratora konta i przygotować się do pracy w systemie. Ustawa przewiduje także obowiązek wyznaczenia osób do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa. W przypadku większych podmiotów co do zasady powinny to być dwie osoby, choć dla mikro i małych przedsiębiorców wystarczy jedna.
To właśnie dlatego wpis do wykazu nie powinien być traktowany jako czysta formalność. Jest on początkiem całego procesu dostosowawczego.
8. Audyty i kary jeszcze nie dziś.
Podmiot kluczowy musi przeprowadzać audyt bezpieczeństwa systemu informacyjnego co najmniej raz na 3 lata. Dla nowo objętych podmiotów kluczowych pierwszy taki audyt powinien zostać przeprowadzony w ciągu 24 miesięcy, a więc do 3 kwietnia 2028 r. Dotychczasowi operatorzy usług kluczowych zachowują swój dotychczasowy cykl audytowy.
Wiele organizacji uspokaja fakt, że kary pieniężne będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie ustawy. To prawda, ale nie powinno usypiać czujności. Dwa lata to w realiach wdrożenia regulacyjnego wcale nie jest dużo, zwłaszcza gdy trzeba uporządkować procesy, dokumentację, kompetencje i odpowiedzialność.
Największym błędem byłoby potraktowanie okresu przejściowego jako zachęty do odkładania działań. W praktyce to właśnie teraz jest najlepszy moment, aby spokojnie ustalić status organizacji, zaplanować wdrożenie i uniknąć działania pod presją czasu.
9. Co organizacja powinna zrobić już teraz?
Pierwszy krok to ustalenie, czy organizacja jest podmiotem kluczowym albo ważnym. Bez tej samoidentyfikacji nie da się sensownie zaplanować dalszych działań.
Drugi krok to przygotowanie do wpisu do wykazu oraz korzystania z systemu S46. Trzeba uporządkować dane, wskazać osoby kontaktowe i ustalić, kto będzie odpowiadał za zgłoszenia incydentów oraz komunikację z organami.
Trzeci krok to wdrożenie lub uporządkowanie SZBI. Na tym etapie trzeba już przełożyć przepisy na realne procesy: zidentyfikować systemy krytyczne dla usługi, oszacować ryzyka, przygotować dokumentację, procedury i plan działań na wypadek incydentów.
Wyzwaniem na najbliższe miesiące nie będzie wyłącznie surowość regulacji, lecz również odkładanie przystosowania się do niej w czasie. Im później organizacje rozpoczną przygotowania, tym trudniej będzie im sprawnie dostosować się do nowych wymagań.
10. Zakończenie.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa zmienia sposób myślenia o odpowiedzialności za ciągłość działania w świecie cyfrowym. W nowym modelu liczy się nie tylko to, czy organizacja ma zabezpieczenia, ale czy potrafi wykazać, że zarządza ryzykiem, reaguje na incydenty, utrzymuje dokumentację, zna swoich dostawców i nie tylko.
Autorka: Wiktoria Rogowska
