Spis Treści
2
3

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC 2.0) – wdrażająca w Polsce unijną dyrektywę NIS2 -fundamentalnie zmienia podejście do ochrony cyfrowej w Polsce. Zamiast deklaratywnego „posiadania zabezpieczeń” ustawa wymaga ich wdrażania i stosowania w możliwy do weryfikacji sposób – poprzez regularne testy, audyty i raporty.

Poniżej znajdziesz praktyczny przewodnik po nowych przepisach, terminach
i obowiązkach.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – co musisz zrobić od razu

Krajowy system cyberbezpieczeństwa (KSC) to zestaw przepisów prawnych i instytucji, którego podstawą jest ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. KSC ma zapewniać wysoki poziom bezpieczeństwa systemów informacyjnych oraz ciągłość usług kluczowych dla państwa, gospodarki i obywateli. Nowelizacja ustawy, która weszła w życie 3 kwietnia 2026 r., sprawiła, że KSC może objąć nawet 38 tysięcy podmiotów. Niektóre podmioty (np. dotychczasowi operatorzy usług kluczowych i przedsiębiorcy telekomunikacyjny) Minister Cyfryzacji wpisze do Wykazu KSC z urzędu. Podmioty nieobjęte wpisem z urzędu od 7 maja 2026 r. mogą dokonać samorejestracji w Wykazie KSC.

Nowe przepisy obejmują podmioty kluczowe, podmioty ważne, operatorów usług kluczowych, wybrane podmioty publiczne oraz część dostawców usług cyfrowych. KSC wymusza ścisłą współpracę między operatorami usług kluczowych a organami państwowymi.

Od 3 kwietnia 2026 r. kierownik podmiotu (np. zarząd spółki) ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa, co oznacza, że nie można odkładać działań na później.

Co zrobić od razu:

  • Sprawdź profil działalności i właściwy kod PKD – ustal, czy Twoja organizacja spełnia kryteria wielkościowe i sektorowe. Zweryfikuj czy wykonywana działalność znajduje się na liście podmiotów kluczowych lub podmiotów ważnych (Załączniki 1 i 2 do Ustawy o KSC)
  • Zaplanuj złożenie wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych (Wykazu KSC). Samodzielnej rejestracji w Wykazie należy dokonać w terminie 6 miesięcy od spełnienia przesłanek uznania za podmiot ważny lub kluczowy.
  • Przygotuj organizację do wdrożenia środków bezpieczeństwa i wyznacz osoby odpowiedzialne za ich realizację.

 

Sprawdź szczegóły
Sprawdź szczegóły

Najważniejsze terminy KSC 2.0 i harmonogram wdrożenia

Nowelizacja ustawy rozkłada wdrażanie nowych obowiązków na lata 2026–2028. Każda data oznacza konieczność podjęcia konkretnych działań – zarówno formalnych, jak i operacyjnych.

  • 3 kwietnia 2026 – wejście w życie ustawy. Od tego dnia obowiązuje odpowiedzialność zarządu za cyberbezpieczeństwo w organizacji oraz obowiązek raportowania incydentów. KSC określa procedury wykrywania zagrożeń i reagowania na ataki od pierwszego dnia.
  • 7 maja 2026 – możliwość składania wniosków o wpis w wykazie podmiotów kluczowych i podmiotów ważnych.
  • 3 października 2026 – ostateczny termin wpisu do wykazu. Po tej dacie brak wpisu może skutkować kontrolą i sankcjami, jeżeli już 3 kwietnia 2026 r. podmiot spełniał przesłanki wpisu w Wykazie KSC.
  • 3 kwietnia 2027 – termin na wdrożenie środków z zakresu systemu zarządzania bezpieczeństwem informacji (SZBI).
  • 3 kwietnia 2028 – termin pierwszego audytu dla podmiotów kluczowych oraz początek pełnej egzekucji kar administracyjnych.

Zdecydowana większość kar pieniężnych przewidzianych w Ustawie o KSC będzie nakładana po 3 kwietnia 2028 r. Wyjątkiem jest tzw. kara ekstraordynaryjna (art. 73 ust. 5 Ustawy o KSC) – jeżeli podmiot kluczowy lub ważny naruszy przepisy ustawy powodując bezpośrednie i poważne cyberzagrożenie m. in. dla obronności i bezpieczeństwa państwa – właściwy organ może już teraz nałożyć karę w wysokości do 100 milionów zł.

Zakres podmiotowy KSC 2.0 – kto jest kluczowy, kto ważny

Krajowy system cyberbezpieczeństwa opiera się na identyfikacji podmiotów kluczowych i podmiotów ważnych jako podstawie regulacji. Te podmioty podlegają nadzorowi i muszą figurować w Wykazie KSC, przy czym wyróżnia się także status operatora usług kluczowych w rozumieniu wcześniejszych przepisów.

KSC obejmuje sektory kluczowe, takie jak energetyka, transport, bankowość i ochrona zdrowia, a także zaopatrzenie w wodę pitną, infrastrukturę cyfrową, administrację publiczną i usługi cyfrowe. W sektorze podmiotów ważnych znajdują się m.in. usługi pocztowe, branża chemiczna, produkcja żywności oraz gospodarowanie odpadami.

Podmioty muszą spełniać również kryteria wielkościowe – co do zasady chodzi o średnie przedsiębiorstwa (od 50 do 249 pracowników i roczny obrót do 50 mln EUR) i duże przedsiębiorstwa (od 250 pracowników i roczny obrót powyżej 50 mln EUR), z uwzględnieniem przedsiębiorstw powiązanych. Mikro i małe przedsiębiorstwa są co do zasady wyłączone, ale istnieją wyjątki dla wybranych usług cyfrowych i infrastrukturalnych – niektóre podmioty są uznawane za kluczowe niezależnie od wielkości Wielkość podmiotu to jedno z kryteriów – równie ważny jest sektor oraz rola w łańcuchu dostaw.

Większość podmiotów sama odpowiada za samoidentyfikację – musi samodzielnie ocenić, czy spełnia kryteria ustawy.

Specjalista analizujący wymagania KSC 2.0 dotyczące cyberbezpieczeństwa i zgodności z NIS2

Wykaz podmiotów kluczowych i ważnych – samoidentyfikacja i wpis

Wykaz KSC obejmuje podmioty kluczowe i podmioty ważne i jest centralnym narzędziem krajowego systemu cyberbezpieczeństwa. Wpis do wykazu umożliwia korzystanie z Systemu S46 do raportowania incydentów i wymiany informacji z zespołami CSIRT.

Jak przebiega proces rejestracji:

  • Organizacja sama ocenia, czy spełnia kryteria ustawy – sektor, wielkość, rodzaj świadczonych usług. Wpis do wykazu KSC wymaga tej samodzielnej oceny.
  • Obowiązek samorejestracji dotyczy podmiotów prywatnych. Wpis z urzędu obejmuje podmioty publiczne i telekomunikacyjne – są one wpisywane przez ministerstwo na podstawie danych z rejestrów.
  • Okno samorejestracji trwa od 7 maja do 3 października 2026 r. Jeżeli podmiot spełni kryteria wpisu po 3 października 2026 r. to dalej można złożyć wniosek o wpis do Wykazu KSC.
  • Wnioski do wykazu składa kierownik podmiotu lub upoważniona osoba, natomiast podpis składa kierownik podmiotu, członek zarządu lub osoba z pełnomocnictwem.
  • Logowanie do Systemu S46 odbywa się przez węzeł krajowy: profil zaufany, e-dowód, bankowość elektroniczną lub kwalifikowany certyfikat (kwalifikowany podpis).
  • Do wniosku dołącza się m.in. informacje o sektorze, adresy IP oraz dane osób kontaktowych ds. cyberbezpieczeństwa.

Po złożeniu wniosku podmiot uzyskuje dostęp do S46 i może realizować obowiązek raportowania incydentów bezpieczeństwa komputerowego.

Dowiedz się więcej
Umów przegląd bezpieczeństwa swoich systemów
w kontekście KSC 2.0

Nowy model obowiązków w KSC 2.0 – mierzalne cyberbezpieczeństwo

KSC wprowadza obowiązki dotyczące zabezpieczania infrastruktury IT i zarządzania ryzykiem w sposób weryfikowalny. Zmiana filozofii wobec poprzednich regulacji jest zasadnicza: nie wystarczy posiadać plany – trzeba wykazać, że działają w praktyce.

Obowiązki podmiotów kluczowych i ważnych obejmują m.in.:

  • Testowane odtwarzanie kopii zapasowych – regularne ćwiczenia i raporty z testów zamiast deklaracji „mamy backupy”.
  • Zarządzanie podatnościami – ciągłe skanowanie oprogramowania, priorytetyzacja i usuwanie luk w oparciu o udokumentowany proces.
  • Weryfikację dostawców i bezpieczeństwa łańcucha dostaw – analizę umów, audyt relacji z dostawcami i ocenę zgodności z wymaganiami bezpieczeństwa.
  • Cykliczne audyty bezpieczeństwa i audyty SZBI.
  • Obowiązek zgłaszania incydentów do właściwego CSIRT przez System S46.

Osobista odpowiedzialność zarządu oznacza, że kierownik podmiotu odpowiada za nadzór, zapewnienie zasobów i dokumentowanie decyzji. Kary osobiste dla kierowników podmiotów prywatnych mogą sięgać do 300% miesięcznego wynagrodzenia, a same oświadczenia zespołów IT nie wystarczą – ustawa preferuje niezależne potwierdzenie przez zewnętrznych ekspertów i audytorów.

Mapowanie wymogów KSC 2.0 na działania i usługi bezpieczeństwa

W praktyce wiele wymogów ustawy można przełożyć na konkretne, powtarzalne działania.

Przykładowe mapowanie wymogów na działania: 

Wymóg KSC 2.0 Działanie / usługa
Testowe odtwarzanie kopii Regularne testy odtwarzania, scenariusze awaryjne, raporty z wyników
Zarządzanie podatnościami Cykliczne skanowanie, proces obsługi podatności, weryfikacja usunięcia luk
Weryfikacja dostawców Testy penetracyjne, przegląd umów, ocena zgodności (np. w oparciu o ASVS)
Audyt okresowy Audyty bezpieczeństwa, przegląd SZBI, przygotowanie i aktualizacja dokumentacji

KSC 2.0 generuje powtarzalne zapotrzebowanie – coroczne audyty, kwartalne skany i ciągłe zarządzanie bezpieczeństwem – zamiast jednorazowych projektów. Wymagania obejmują również łańcuch dostaw, więc część firm, które nie są bezpośrednio wpisane do wykazu, może być pośrednio zobowiązana do spełniania określonych standardów. Przygotowanie organizacji w obszarze cyberbezpieczeństwa oznacza dziś budowanie trwałych procesów, a nie tylko tworzenie dokumentów „na półkę”.

Cyberbezpieczeństwo w organizacji – nowe obowiązki wynikające z ustawy KSC 2.0

Incydenty, audyty i kary w krajowym systemie cyberbezpieczeństwa

KSC 2.0 opiera się na cyklu: wykryj → zgłoś → zareaguj → rozlicz. Zespoły reagowania (CSIRT MON, CSIRT NASK i CSIRT GOV) odpowiadają za monitorowanie zagrożeń i koordynowanie obsługi incydentów, a ustawa przewiduje wymianę informacji między podmiotami krajowymi i strukturami europejskimi.

Obowiązki w zakresie incydentów:

  • Niezwłoczne zgłaszanie poważnych incydentów przez System S46 (wstępne ostrzeżenie w 24 godziny, pełne zgłoszenie w 72 godziny, sprawozdanie końcowe w ciągu 30 dni).
  • Współpraca z właściwym CSIRT i realizacja zaleceń pokontrolnych.
  • Prowadzenie wewnętrznego rejestru incydentów oraz wyciąganie z nich wniosków.

Audyty:

  • Pierwszy audyt SZBI dla podmiotów kluczowych od 3.04.2028 r.
  • Podmioty kluczowe mają obowiązek zapewnić cykliczne audyty (co najmniej raz na trzy lata) jako warunek utrzymania zgodności.
  • Obowiązek wdrażania zaleceń poaudytowych i dokumentowania postępów.

Kary administracyjne:

  • Pełna egzekucja kar pieniężnych od 3.04.2028 r. – do 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych (nie mniej niż 20 000 zł) oraz
    do 7 mln EUR lub 1,4% rocznego obrotu dla podmiotów ważnych (nie mniej
    niż 15 000 zł).
  • Odpowiedzialność zarządu i obowiązek raportowania incydentów obowiązują od dnia wejścia w życie ustawy.
  • Za brak wpisu do wykazu, brak audytu lub niezgłoszenie incydentu grożą zarówno kary dla podmiotu, jak i osobiste kary dla kierownik.

Na koniec warto podkreślić, że KSC 2.0 nie jest tylko kolejną regulacją do „odhaczenia”, ale realnym testem dojrzałości cyfrowej organizacji. W praktyce oddziela firmy, które traktują cyberbezpieczeństwo jako formalność, od tych, które budują je jako stały element zarządzania ryzykiem i odporności biznesu.

Dobrze przeprowadzone wdrożenie – od samoidentyfikacji, przez wpis do wykazu, po procesowe podejście do testów, audytów i raportowania incydentów – może stać się przewagą konkurencyjną, a nie tylko kosztem zgodności. To także szansa, aby uporządkować obszary, które do tej pory „działały jakoś”, ale nie były ani weryfikowane, ani formalnie nadzorowane przez zarząd.

Organizacje, które zaczną działać wcześnie, zyskają czas na spokojne dopracowanie procesów, przetestowanie narzędzi i zbudowanie kompetencji zespołu, zamiast reagować w pośpiechu pod presją kontroli czy incydentu. W świecie, w którym każdy biznes jest w pewnym stopniu cyfrowy, cyberbezpieczeństwo jest fundamentem zaufania klientów, partnerów i instytucji publicznych.