Od 3 kwietnia 2026 r. obowiązuje nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zmiany wynikają z unijnej dyrektywy NIS2 i dotyczą szerokiego kręgu podmiotów – od dużych przedsiębiorstw po urzędy gmin i szkoły publiczne. Objętych regulacją sektorów jest wiele: energetyka, ochrona zdrowia, transport, bankowość, ale też produkcja żywności czy badania naukowe.
Dlaczego teraz? Liczby mówią same za siebie. Według danych Ministerstwa Cyfryzacji, w 2025 r. zespoły reagowania na incydenty komputerowe (CSIRT) otrzymały zgłoszenia aż 272 941 incydentów. Cyberataki stały się codziennością – i to właśnie im ma skuteczniej przeciwdziałać znowelizowana ustawa.
Co i kiedy trzeba zrobić – prosty harmonogram
Ustawa nie wymaga, żeby wszystko działo się od razu. Wprowadza rozłożony w czasie harmonogram obowiązków.
- Pierwszym krokiem jest sprawdzenie, czy dana firma lub instytucja w ogóle podlega nowym przepisom. Jeśli tak – do 3 października 2026 r. trzeba złożyć wniosek o wpisanie do oficjalnego wykazu podmiotów objętych ustawą. Wniosek składa się elektronicznie przez rządowy system S46.
- Kolejny termin to 3 kwietnia 2027 r. Do tej daty trzeba wdrożyć system zarządzania bezpieczeństwem informacji (w skrócie SZBI) oraz podłączyć się do systemu S46, za pośrednictwem którego zgłasza się m.in. poważne incydenty cybernetyczne.
- Najdalszy termin – 3 kwietnia 2028 r. – dotyczy tzw. podmiotów kluczowych, czyli tych uznanych za najbardziej istotne dla funkcjonowania państwa. Do tego dnia muszą one przeprowadzić pierwszy obowiązkowy audyt bezpieczeństwa swoich systemów informatycznych. Kolejne audyty będą wymagane co najmniej raz na trzy lata.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski tak uzasadnia przyjęte podejście: „Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa. Dzięki temu możemy stopniowo i skutecznie wzmacniać bezpieczeństwo cyfrowe kraju. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia.”
Warto dodać, że kary finansowe za naruszenia przepisów zaczną być nakładane dopiero po 3 kwietnia 2028 r. Ustawa daje więc podmiotom dwa pełne lata na przygotowanie się do zmian, zanim pojawią się realne konsekwencje. Wyjątkiem jest tzw. kara ekstraordynaryjna – stosowana tylko w przypadku naruszeń bezpośrednio zagrażających bezpieczeństwu państwa lub zdrowiu ludzi – która może sięgnąć 100 mln zł.
Kogo dotyczy ustawa
Ustawa dzieli objęte nią podmioty na dwie kategorie: kluczowe i ważne. Różnią się one przede wszystkim tym, jak ścisły nadzór sprawują nad nimi właściwe organy państwowe – podmioty kluczowe kontrolowane są na bieżąco, podmioty ważne – głównie po fakcie, gdy pojawi się problem. Natomiast codzienne obowiązki w zakresie bezpieczeństwa są dla obu grup identyczne.
W uproszczeniu: podmiotem kluczowym jest co do zasady duże przedsiębiorstwo działające w sektorach uznanych za strategiczne dla państwa. Podmiotem ważnym – przedsiębiorstwo średniej wielkości z tych samych lub pokrewnych sektorów. Istnieje jednak szereg wyjątków od tej reguły – niektóre podmioty są kluczowe niezależnie od swojej wielkości, m.in. operatorzy serwerów DNS, operatorzy obiektów energetyki jądrowej czy podmioty uznane za krytyczne w rozumieniu unijnej dyrektywy CER.
Szczególnie istotne jest to, że ustawa obejmuje również sektor publiczny. Każdy urząd gminy staje się podmiotem objętym ustawą – te zatrudniające co najmniej 50 pracowników na pełny etat (stan na 1 stycznia danego roku) będą traktowane jako kluczowe, pozostałe – jako ważne. Podmioty publiczne nie muszą same składać wniosków o wpis – zrobi to za nie minister właściwy do spraw informatyzacji, na podstawie danych z rejestrów publicznych. Ustawa sięga też do szkół i przedszkoli, które jako jednostki budżetowe formalnie podlegają jej przepisom, choć objęto je uproszczonymi wymaganiami.
Sektory objęte ustawą jako kluczowe to m.in.
- energetyka (w tym wodór i energetyka jądrowa),
- wszystkie gałęzie transportu,
- bankowość, ochrona zdrowia,
- zaopatrzenie w wodę pitną,
- infrastruktura cyfrowa i telekomunikacja,
- zarządzanie usługami IT,
- przestrzeń kosmiczna oraz
- podmioty publiczne.
Do sektorów ważnych zaliczono z kolei usługi pocztowe, gospodarkę odpadami, produkcję chemikaliów i żywności, szeroką produkcję przemysłową, dostawców usług cyfrowych i badania naukowe.
Na czym polegają nowe obowiązki
Podstawowym wymogiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji – czyli zestawu procedur, polityk i rozwiązań technicznych, które mają chronić systemy informatyczne przed cyberatakami i minimalizować skutki ewentualnych incydentów. W praktyce oznacza to m.in.
- regularne ocenianie ryzyka,
- kontrolę dostępu do danych,
- tworzenie kopii zapasowych,
- aktualizowanie oprogramowania,
- szkolenie pracowników z podstaw cyberbezpieczeństwa oraz
- przygotowanie planów działania na wypadek awarii lub ataku.
Ustawa wyraźnie wskazuje, że za wdrożenie tych wszystkich rozwiązań odpowiada osobiście kierownik podmiotu – członek zarządu lub dyrektor jednostki. To on musi zadbać o odpowiedni budżet na cyberbezpieczeństwo, przejść coroczne szkolenie z tego zakresu i zweryfikować, czy osoby realizujące zadania związane z bezpieczeństwem systemów nie były karane za przestępstwa przeciwko ochronie informacji.
Gdy dojdzie do poważnego cyberincydentu, obowiązuje ścisły reżim czasowy. W ciągu 24 godzin od jego wykrycia należy wysłać wczesne ostrzeżenie do właściwego zespołu CSIRT, a w ciągu 72 godzin – pełne zgłoszenie incydentu. Incydenty zgłasza się przez system S46.
Jak się przygotować
Ministerstwo Cyfryzacji nie pozostawia podmiotów bez wsparcia. Na stronie cyber.gov.pl opublikowany został obszerny zestaw pytań i odpowiedzi dotyczących stosowania ustawy. W kolejnych tygodniach resort planuje publikację cyklu komunikatów omawiających poszczególne obowiązki, a także mapowanie dostępnych standardów i norm na konkretne wymogi ustawy. Ministerstwo prowadzi też bezpłatne szkolenia dla podmiotów objętych KSC – harmonogram dostępny jest na stronie gov.pl/web/baza-wiedzy/harmonogramszkolen.
Pierwszym praktycznym krokiem powinno być ustalenie, czy i w jakiej kategorii dana organizacja podlega nowym przepisom. W tym celu warto skorzystać z Kwalifikatora MŚP Polskiej Agencji Rozwoju Przedsiębiorczości (kwalifikator.parp.gov.pl), który pomaga określić wielkość przedsiębiorstwa z uwzględnieniem podmiotów powiązanych i partnerskich – a ta z kolei decyduje o tym, czy dany podmiot jest kluczowy, ważny, czy w ogóle nie podlega ustawie.
Źródła
- Komunikat Biura Komunikacji Ministerstwa Cyfryzacji z 2 kwietnia 2026 r. (gov.pl)
- Ministerstwo Cyfryzacji, „Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa po nowelizacji – Pytania i odpowiedzi”, cyber.gov.pl (2026)
© Kliknij i sprawdź naszą ofertę licencji na wykorzystanie tekstu
