Jeśli prowadzisz firmę technologiczną, zarządzasz infrastrukturą krytyczną lub pracujesz w sektorze publicznym – ten artykuł jest dla Ciebie. Wyjaśniam, co zmienia nowelizacja ustawy o KSC i jakie konkretne obowiązki nakłada na Twoją organizację.
Jako prawnik specjalizujący się w prawie cyberbezpieczeństwa od ponad 10 lat, na co dzień pomagam firmom wdrażać wymagania wynikające z przepisów krajowego systemu cyberbezpieczeństwa. Pracuję z podmiotami z sektora energetyki, transportu, ochrony zdrowia oraz administracji publicznej. Widzę, jak wiele organizacji ma trudności z interpretacją nowych przepisów – dlatego stworzyłem ten kompleksowy przewodnik.
5 czerwca 2026 roku Ministerstwo Cyfryzacji opublikowało aktualizację zestawu pytań i odpowiedzi dotyczących nowelizacji ustawy o KSC, która wdraża dyrektywę NIS2. Dokument zawiera aż 86 nowych pytań, które wyjaśniają kluczowe wątpliwości. W tym artykule przeanalizuję najważniejsze zmiany, obowiązki i terminy, które musisz znać.
Co to jest krajowy system cyberbezpieczeństwa i dlaczego nowelizacja jest tak ważna?
Krajowy system cyberbezpieczeństwa (KSC) to zbiór przepisów, instytucji i procedur, które mają na celu zapewnienie bezpieczeństwa systemów informacyjnych w kluczowych sektorach gospodarki i administracji publicznej.
Nowelizacja ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026 roku, implementuje do polskiego porządku prawnego dyrektywę NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555).
Dlaczego to takie istotne?
- Skala zagrożeń: W 2025 roku zespoły CSIRT otrzymały zgłoszenia aż 272 941 incydentów. Cyberataki nie są już tylko problemem technicznym – to realne zagrożenie dla bezpieczeństwa państwa, gospodarki i obywateli.
- Rozszerzenie odpowiedzialności: Nowelizacja ustawy znacząco rozszerza katalog podmiotów objętych obowiązkami, wprowadza nowe wymagania w zakresie zarządzania bezpieczeństwem informacji oraz zaostrza sankcje za niewykonanie obowiązków.
Oficjalne źródło prawne: Ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 z późn. zm.)
Kogo dotyczy nowelizacja? Podmioty kluczowe i ważne
Jednym z najważniejszych pytań, które słyszę od klientów, jest: “Czy moja firma podlega pod nową ustawę?”. Odpowiedź zależy od trzech czynników: sektora działalności, wielkości przedsiębiorstwa oraz charakteru świadczonych usług.
Podmioty kluczowe – kto do nich należy?
Podmiotem kluczowym jest co do zasady duży przedsiębiorca (zatrudniający 250 lub więcej pracowników LUB osiągający roczny obrót przekraczający 50 mln EUR / roczną sumę bilansową powyżej 43 mln EUR) działający w jednym z poniższych sektorów:
- Energia – wydobywanie kopalin, energia elektryczna, gaz, energetyka jądrowa, wodór.
- Transport – lotniczy, kolejowy, wodny, drogowy.
- Sektor finansowy – bankowość i infrastruktura rynków finansowych.
- Ochrona zdrowia – udzielanie świadczeń zdrowotnych, produkcja i dystrybucja produktów leczniczych.
- Woda i ścieki – zaopatrzenie w wodę pitną, jej dystrybucja oraz zbiorowe odprowadzanie ścieków.
- Infrastruktura cyfrowa & ICT – komunikacja elektroniczna oraz zarządzanie usługami ICT.
- Przestrzeń kosmiczna oraz Podmioty publiczne.
Ważne! Niektóre podmioty stają się podmiotami kluczowymi niezależnie od swojej wielkości. Dotyczy to:
- Dostawców usług DNS,
- Kwalifikowanych dostawców usług zaufania,
- Podmiotów krytycznych w rozumieniu dyrektywy CER,
- Rejestrów nazw domen najwyższego poziomu (TLD) oraz podmiotów świadczących usługi ich rejestracji.
Podmioty ważne – szerszy katalog
Podmiotem ważnym jest średni przedsiębiorca (zatrudniający mniej niż 250 pracowników i osiągający roczny obrót do 50 mln EUR lub sumę bilansową do 43 mln EUR) prowadzący działalność w sektorach kluczowych lub w nowych, dodatkowych sektorach:
- Usługi pocztowe i kurierskie.
- Gospodarowanie odpadami.
- Produkcja, wytwarzanie i dystrybucja chemikaliów.
- Produkcja, przetwarzanie i dystrybucja żywności.
- Produkcja wyrobów medycznych, komputerów, urządzeń elektrycznych i pojazdów.
- Dostawcy usług cyfrowych oraz jednostki prowadzące badania naukowe.
- Podmioty publiczne (nieobjęte kategorią podmiotów kluczowych).
Przykład z praktyki: W mojej praktyce spotkałem się z sytuacją, w której średniej wielkości firma produkująca wyroby medyczne nie była świadoma, że podlega pod ustawę o KSC. Dopiero analiza kodów PKD oraz wielkości zatrudnienia wykazała, że spełnia kryteria podmiotu ważnego. Brak rejestracji mógłby w tym przypadku skutkować nałożeniem surowej kary pieniężnej.
To Tool, który pomoże Ci zweryfikować status: Kwalifikator MŚP przygotowany przez PARP.
Kluczowe terminy – harmonogram wdrożenia
Nowelizacja ustawy wprowadza sztywne terminy, których należy bezwzględnie przestrzegać, aby uniknąć kar finansowych.
| Data graniczna | Obowiązek | Szczegóły |
| 3 października 2026 r. | Wpis do Wykazu KSC | Obowiązkowe zgłoszenie dla podmiotów spełniających kryteria na dzień wejścia w życie ustawy. |
| 3 kwietnia 2027 r. | Wdrożenie SZBI i system S46 | Podłączenie do platformy S46, pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji. |
| 3 kwietnia 2028 r. | Pierwszy audyt bezpieczeństwa | Obowiązek dotyczy wyłącznie podmiotów kluczowych. |
3 października 2026 r. – Wpis do Wykazu KSC
Podmioty mają 6 miesięcy od wejścia w życie nowelizacji na dokonanie wpisu.
- Jak się zarejestrować? Wniosek składa się elektronicznie przez system S46. Wymagane jest uwierzytelnienie przez Profil Zaufany, e-dowód lub podpis kwalifikowany.
- Wpis z urzędu: Podmioty publiczne, przedsiębiorcy telekomunikacyjni, dostawcy usług zaufania oraz dotychczasowi operatorzy usług kluczowych zostaną wpisani z urzędu przez Ministra Cyfryzacji (będą mieli 6 miesięcy na uzupełnienie danych od momentu wezwania).
3 kwietnia 2027 r. – Podłączenie do systemu S46 i wdrożenie obowiązków
Do tej daty każda organizacja musi:
- Podłączyć się do scentralizowanej platformy S46 do zgłaszania incydentów. (Dostęp dla nowych podmiotów będzie uruchamiany od 12 czerwca 2026 r.).
- Wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI).
- Wyznaczyć osoby kontaktowe i wdrożyć procedury zgłaszania incydentów do właściwych zespołów CSIRT.
3 kwietnia 2028 r. – Pierwszy obowiązkowy audyt
Dotyczy podmiotów kluczowych (które nie były wcześniej operatorami usług kluczowych). Kolejne audyty należy przeprowadzać co najmniej raz na 3 lata. Audyt może przeprowadzić akredytowana jednostka oceniająca zgodność lub co najmniej dwóch audytorów z certyfikatami (np. CISA, CISSP, CISM).
Jakie obowiązki nakłada ustawa? Szczegółowa analiza
1. System Zarządzania Bezpieczeństwem Informacji (SZBI)
To fundament całej ustawy. SZBI nie może być projektem “papierowym” – musi realnie funkcjonować w organizacji i obejmować:
A. Systematyczne szacowanie ryzyka
Podmiot musi regularnie identyfikować zagrożenia, analizować prawdopodobieństwo wystąpienia incydentów, oceniać ich skutki dla ciągłości usług oraz skrupulatnie dokumentować cały proces.
B. Środki techniczne i organizacyjne
Ustawa wymaga wdrożenia adekwatnych i proporcjonalnych zabezpieczeń, takich jak:
- Polityki bezpieczeństwa: Polityka szacowania ryzyka, bezpieczeństwa systemów oraz procedury tematyczne (np. zarządzanie hasłami, bezpieczeństwo urządzeń mobilnych).
- Bezpieczeństwo w cyklu życia systemów: Zarządzanie konfiguracją i zmianą, testowanie systemów przed wdrożeniem oraz ocena ryzyka przy zakupie produktów ICT.
- Bezpieczeństwo fizyczne: Kontrola dostępu do serwerowni, ochrona przed zalaniem, pożarem i kradzieżą.
- Ciągłość działania (Business Continuity): Plany ciągłości działania (BCP), plany awaryjne (ISCP) oraz plany odtworzenia po katastrofie (DRP).
- Monitorowanie i kryptografia: Ciągła analiza logów, wykrywanie anomalii w ruchu sieciowym, szyfrowanie danych wrażliwych oraz wymóg stosowania uwierzytelniania wieloskładnikowego (MFA) przy logowaniu zdalnym i kontach administratorów.
C. Zarządzanie incydentami i edukacja
- Wdrożenie procedur wykrywania, klasyfikacji (poważne, krytyczne) oraz szybkiego reagowania na incydenty.
- Obowiązkowe szkolenia z zakresu cyberbezpieczeństwa i cyberhigieny prowadzone co najmniej raz w roku dla wszystkich pracowników, personelu SZBI oraz kierownika podmiotu.
2. Restrykcyjne zgłaszanie incydentów do CSIRT
Wprowadzono trzyetapowy, sztywny harmonogram raportowania incydentów poważnych:
- Wykrycie incydentu
- 24 GODZINY ──► Wczesne ostrzeżenie (podstawowe dane, moment wykrycia)
- 72 GODZINY ──► Zgłoszenie inctydentu poważnego (skala, wpływ, przyczyny)
- 1 MIESIĄC ──► Sprawozdanie końcowe (szczegółowy opis, działania naprawcze)
- Gdzie zgłaszać? Przez system S46 do właściwego CSIRT poziomu krajowego (CSIRT GOV prowadzony przez ABW, CSIRT MON lub CSIRT NASK) bądź do dedykowanego CSIRT sektorowego.
- Wyjątek: Małe samorządowe jednostki budżetowe (jako podmioty ważne) zgłaszają wyłącznie sam incydent poważny – bez wczesnego ostrzeżenia i sprawozdania końcowego.
3. Wyznaczenie osób kontaktowych
Każdy podmiot musi wyznaczyć co najmniej dwie osoby (mikro i mali przedsiębiorcy – jedną osobę) dostępne do współpracy z KSC. Muszą to być osoby zatrudnione w podmiocie (np. pracownicy działu IT), przy czym ustawa nie wymaga od nich specjalistycznych certyfikatów technicznych.
4. Nowość: Weryfikacja niekaralności personelu
Osoby realizujące zadania z zakresu SZBI i obsługi incydentów nie mogą być skazane za przestępstwa przeciwko ochronie informacji (art. 265-269b Kodeksu karnego, m.in. sabotaż komputerowy, nielegalne uzyskanie informacji czy ujawnienie informacji niejawnych).
- Kierownik podmiotu ma obowiązek zweryfikować pracownika na podstawie zaświadczenia o niekaralności z Krajowego Rejestru Karnego (KRK).
- Zwolnione z tego obowiązku są osoby posiadające ważne poświadczenie bezpieczeństwa osobowego o klauzuli “poufne” lub wyższej.
5. Bezpieczeństwo łańcucha dostaw
Nowelizacja zmusza do pełnej kontroli nad podwykonawcami. Organizacja musi prowadzić rejestr dostawców ICT, oceniać ryzyko z nimi związane (w tym brać pod uwagę rekomendacje Grupy Współpracy NIS) oraz bezwzględnie wprowadzać zapisy o cyberbezpieczeństwie i poufności do umów z dostawcami.
6. Specjalne ułatwienia dla podmiotów publicznych
Mniejsze podmioty publiczne (np. szkoły, małe urzędy gmin), będące podmiotami ważnymi, realizują uproszczone obowiązki z Załącznika nr 4 do ustawy (m.in. podstawowy antywirus, kopie zapasowe, inwentaryzacja zasobów). Ustawa pozwala im na wspólną obsługę – kilka jednostek może powierzyć realizację zadań jednemu podmiotowi obsługującemu (np. centrum usług wspólnych gminy).
Co się stanie, jeśli nie wykonam obowiązków? Sankcje i konsekwencje
Sankcje finansowe wprowadzone nowelizacją są drastyczne. Jako prawnik ostrzegam: ryzyko finansowe i reputacyjne jest w tym przypadku bezprecedensowe.
Kary pieniężne dla organizacji
- Podmioty kluczowe: Do 10 mln EUR lub 2% globalnego rocznego obrotu (stosuje się kwotę wyższą, minimalna kara to 20 000 PLN).
- Podmioty ważne: Do 7 mln EUR lub 1,4% globalnego rocznego obrotu (minimalna kara to 15 000 PLN).
Osobista odpowiedzialność kierowników
Finansowo odpowiada również sam kierownik podmiotu (członek zarządu, dyrektor jednostki) za niedopełnienie obowiązków wdrażania SZBI lub audytów:
- W podmiotach publicznych: do 100% miesięcznego wynagrodzenia.
- W podmiotach prywatnych: do 300% miesięcznego wynagrodzenia.
Ważne – okres karencji: Standardowe kary pieniężne za brak wdrożenia obowiązków będą nakładane dopiero po 2 latach od wejścia w życie przepisów, czyli od 3 kwietnia 2028 roku.
Od tej zasady istnieje jednak wyjątek – kara ekstraordynaryjna (do 100 mln PLN), która może zostać nałożona natychmiast, jeżeli zaniechanie podmiotu wywoła bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa lub zdrowia i życia ludzi.
System S46 – jak działa i jak się zarejestrować?
System S46 Cyber Hub to centralna platforma informatyczna Krajowego Systemu Cyberbezpieczeństwa, stworzona przez NASK-PIB. Służy jako “jedno okienko” do zgłaszania incydentów, wymiany informacji o podatnościach oraz dystrybucji ostrzeżeń.
Jak uzyskać dostęp krok po kroku:
- Wejdź na oficjalną stronę: gov.pl/web/system-s46/uzyskaj-dostep.
- Pobierz, wypełnij i podpisz elektronicznie oświadczenie o dołączeniu do systemu.
- Logowanie i uwierzytelnienie odbywa się za pomocą mObywatela, Profilu Zaufanego, e-Dowodu lub certyfikatu kwalifikowanego.
Wymagania techniczne: Do bezpiecznego korzystania wymagana jest zaktualizowana przeglądarka oparta na silniku Chromium, aktywne oprogramowanie antywirusowe oraz łącze o przepustowości min. 10 Mb/s.
Często zadawane pytania (FAQ)
1. Czy muszę zarejestrować się w wykazie KSC, jeśli nie jestem pewien, czy podlegam pod ustawę?
Jeśli analiza kodów PKD, struktury zatrudnienia i załączników do ustawy wykaże prawdopodobieństwo podlegania pod przepisy, należy dokonać rejestracji. Brak zgłoszenia w terminie w przypadku podmiotu faktycznie objętego ustawą grozi nałożeniem kary. Organ może również dokonać wpisu z urzędu.
2. Czy mogę działać przez pełnomocnika przy rejestracji w wykazie KSC?
Tak. Do wniosku należy dołączyć elektroniczne pełnomocnictwo podpisane cyfrowo. Pełnomocnictwo nie jest wymagane, jeśli reprezentant jest bezpośrednio ujawniony w CEIDG lub jako prokurent w KRS. Pamiętaj o uiszczeniu opłaty skarbowej od pełnomocnictwa.
3. Czy muszę tworzyć zupełnie nową dokumentację SZBI, jeśli posiadam ISO 27001?
Nie. Możesz z powodzeniem wykorzystać i zaadaptować istniejącą dokumentację ISO 27001, mapując ją na wymagania ustawy o KSC. Pamiętaj jednak, że system musi być “żywy” – urzędnicy podczas kontroli będą weryfikować realne stosowanie procedur, a nie tylko obecność segregatorów na półce.
4. Czy małe firmy też podlegają pod ustawę?
Co do zasady mikro i małe firmy są wyłączone z racji progów wielkościowych. Istnieją jednak wyjątki sektorowe – dostawcy usług DNS, rejestry TLD czy kwalifikowani dostawcy usług zaufania podlegają pod KSC niezależnie od wielkości zatrudnienia i obrotów.
5. Jak długo należy przechowywać zaświadczenia o niekaralności pracowników?
Dokumenty te przechowuje się w aktach osobowych pracownika lub dokumentacji kontraktowej przez okres zatrudnienia (bądź trwania umowy) oraz okres przedawnienia ewentualnych roszczeń. Ze względu na art. 10 RODO należy wdrożyć ścisłą kontrolę dostępu do tych danych, a po upływie okresu retencji – zniszczyć je protokolarnie.
6. Czy muszę posiadać własne Security Operations Center (SOC)?
Ustawa nie nakłada obowiązku budowania własnego SOC. Zadania z zakresu monitorowania i cyberbezpieczeństwa można realizować za pomocą wewnętrznych struktur, ale dopuszczalny jest również pełen outsourcing do zewnętrznego dostawcy usług zarządzanych (Managed MSSP / SOC).
7. Kiedy urzędy gmin stają się podmiotami kluczowymi, a kiedy ważnymi?
Urząd gminy staje się podmiotem kluczowym, jeśli na dzień 1 stycznia danego roku zatrudnia na podstawie umowy o pracę co najmniej 50 osób w przeliczeniu na pełne etaty. Mniejsze urzędy zyskują status podmiotów ważnych. Wszystkie gminy są wpisywane do wykazu z urzędu.
8. Kiedy dokładnie muszę przeprowadzić pierwszy audyt?
Dla nowych podmiotów kluczowych termin na pierwszy audyt mija 3 kwietnia 2028 roku (24 miesiące od wejścia w życie przepisów). Dotychczasowi operatorzy usług kluczowych (OUK) zachowują swój stary cykl audytowy (np. jeśli robili audyt w maju 2024, kolejny muszą zamknąć do maja 2027 r.).
Podsumowanie – co powinieneś zrobić teraz?
Wdrożenie nowych przepisów KSC/NIS2 to proces długofalowy. Oto rekomendowana ścieżka działania na najbliższe miesiące:
Krok 1: Działania natychmiastowe (Czerwiec – Wrzesień 2026)
- Przeprowadź dokładny audyt struktury firmy, kodów PKD i przychodów pod kątem kryteriów KSC.
- Przygotuj dane strukturalne (IP, domeny, systemy) i złóż wniosek o wpis do Wykazu KSC do 3 października 2026 r.
Krok 2: Działania krótkoterminowe (Październik 2026 – Marzec 2027)
- Uzyskaj pełen dostęp do platformy S46.
- Rozpocznij mapowanie luk i wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym procedur szacowania ryzyka i planów ciągłości działania.
Krok 3: Finalizacja i testy (Kwiecień – Grudzień 2027)
- Zamknij wdrożenie SZBI (termin ostateczny to 3 kwietnia 2027 r.).
- Przeprowadź obowiązkowe, roczne szkolenia personelu, zweryfikuj niekaralność zespołu IT i zrewiduj umowy z dostawcami usług technologicznych.
Potrzebujesz wsparcia w dostosowaniu firmy do KSC?
Terminy wyznaczone przez Ministerstwo Cyfryzacji są wymagające, a kary finansowe za niedopełnienie obowiązków – dotkliwe. Nie warto odkładać analizy zgodności na ostatnią chwilę.
Skontaktuj się z nami, jeśli:
- Chcesz jednoznacznie ustalić, czy Twoja organizacja jest podmiotem kluczowym lub ważnym.
- Potrzebujesz profesjonalnego audytu zgodności z nową ustawą o KSC.
- Szukasz wsparcia w przygotowaniu “żywej” dokumentacji SZBI i procedur zarządzania incydentami.
- Chcesz bezpiecznie i sprawnie przejść przez proces rejestracji w systemie S46.
Pomagamy firmom i instytucjom publicznym w spełnianiu wymogów cyberbezpieczeństwa od 2015 roku. Nasz zespół skutecznie łączy ekspercką wiedzę prawniczą z wieloletnim doświadczeniem technicznym w IT.
📧 Napisz do nas: kontakt@cyberpolex.pl
📞 Zadzwoń: (+48) 665 805 912
Źródła i linki zewnętrzne:
- Ustawa o krajowym systemie cyberbezpieczeństwa – Internetowy System Aktów Prawnych (ISAP)
- Dyrektywa NIS2 (UE) 2022/2555 w bazie EUR-Lex
- Oficjalny portal informacyjny o Systemie S46
- Oficjalna baza pytań i odpowiedzi (Q&A) Ministerstwa Cyfryzacji – Aktualizacja czerwiec 2026
- Narzędzie weryfikacyjne PARP – Kwalifikator MŚP
Artykuł odzwierciedla stan prawny na dzień 11 czerwca 2026 roku. Przepisy w obszarze nowych technologii i cyberbezpieczeństwa ewoluują dynamicznie, dlatego zalecamy regularną weryfikację komunikatów na oficjalnych stronach rządowych.