Nowelizacja KSC 2026 — co musisz wiedzieć po 3 kwietnia

Trzy dni temu zmieniły się reguły gry

Trzeciego kwietnia 2026 roku Polska dołączyła do grona państw członkowskich, które wreszcie — z ponad rocznym opóźnieniem — przetransponowały dyrektywę NIS-2 do prawa krajowego. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, podpisana przez Prezydenta w lutym i opublikowana w Dzienniku Ustaw 2 marca, nie jest kolejnym aktem prawnym, który można odłożyć na półkę obok segregatora z politykami bezpieczeństwa. To zmiana systemowa — i to taka, która wymaga działania, nie lektury.

Dla tysięcy polskich przedsiębiorstw i instytucji publicznych zaczął się odliczanie. Sześć miesięcy na rejestrację w wykazie podmiotów. Dwanaście miesięcy na wdrożenie wymagań. A kary za bezczynność — liczone w milionach euro. Warto zatem przyjrzeć się temu, co dokładnie się zmieniło i co z tego wynika dla tych, których ta ustawa dotyczy.

Kogo obejmuje znowelizowana ustawa o KSC

Dotychczasowy krajowy system cyberbezpieczeństwa obejmował stosunkowo wąski krąg podmiotów — operatorów usług kluczowych wyznaczanych decyzją administracyjną oraz dostawców usług cyfrowych. Nowelizacja odwraca tę logikę. Zamiast czekać na decyzję organu, podmiot sam musi ocenić, czy spełnia kryteria uznania za podmiot kluczowy lub ważny — i w ustawowym terminie dokonać samoidentyfikacji.

Kryteria są dwojakiego rodzaju. Po pierwsze, sektorowe — ustawa wskazuje osiemnaście sektorów gospodarki, od energetyki przez transport, zdrowie, wodę pitną i ścieki, po infrastrukturę cyfrową, administrację publiczną i przestrzeń kosmiczną. Po drugie, progowe — w sektorach prywatnych decyduje wielkość przedsiębiorstwa mierzona liczbą pracowników (co najmniej pięćdziesiąt osób) lub obrotem rocznym (co najmniej dziesięć milionów euro).

Dla sektora publicznego — jednostek samorządu terytorialnego, ich jednostek podległych i spółek komunalnych — kryteria progowe nie mają zastosowania. Tu decyduje charakter działalności: przedsiębiorstwo wodociągowe obsługujące gminę liczącą trzy tysiące mieszkańców podlega tym samym przepisom co metropolitalny koncern wodociągowy. Różnica tkwi jedynie w skali obowiązków, nie w ich istnieniu.

Kalendarz obowiązków — sześć dat, które warto zapisać

Nowelizacja KSC wprowadza precyzyjny harmonogram wdrożenia. Pominięcie któregokolwiek z terminów może oznaczać nie tylko karę finansową, ale również wpis do wykazu z urzędu — ze wszystkimi konsekwencjami, jakie się z tym wiążą.

Pierwsza data już minęła: 3 kwietnia 2026 roku — dzień wejścia w życie ustawy. Od tego momentu biegną wszystkie terminy.

Druga: 12 czerwca 2026 roku — uruchomienie systemu S46, czyli elektronicznej platformy, za pośrednictwem której podmioty będą składać wnioski o wpis do wykazu, raportować incydenty i komunikować się z organami właściwymi. System będzie dostępny pod adresem wykaz-ksc.gov.pl.

Trzecia: 3 października 2026 roku — ostateczny termin na złożenie wniosku o wpis do wykazu podmiotów kluczowych lub ważnych. Sześć miesięcy od wejścia w życie ustawy — to nie jest dużo czasu, jeśli uwzględnić konieczność wcześniejszej samoidentyfikacji, inwentaryzacji systemów i przygotowania wymaganej dokumentacji.

Czwarta: 3 kwietnia 2027 roku — termin na pełne wdrożenie wymagań ustawowych. Dwanaście miesięcy na zbudowanie lub dostosowanie systemu zarządzania bezpieczeństwem informacji, przeprowadzenie analizy ryzyka, wdrożenie środków technicznych i organizacyjnych, przeszkolenie personelu i ustanowienie procedur raportowania incydentów.

Piąta: 3 kwietnia 2028 roku — od tego dnia organy właściwe mogą nakładać kary administracyjne w pełnym wymiarze. Dwuletni okres przejściowy nie oznacza jednak, że do tego czasu można bezkarnie ignorować przepisy — organ ma prawo wszcząć postępowanie wcześniej, jeśli stwierdzi rażące zaniedbania.

Szósta: audyty bezpieczeństwa — podmiot kluczowy jest zobowiązany do przeprowadzenia pierwszego audytu bezpieczeństwa w terminie dwunastu miesięcy od wpisu do wykazu, a następnie co dwa lata.

Co dokładnie trzeba wdrożyć — dziesięć filarów bezpieczeństwa

Ustawa nakłada na podmioty kluczowe i ważne obowiązek wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, które obejmują co najmniej dziesięć obszarów. Nie jest to lista fakultatywna — każdy z tych elementów musi znaleźć odzwierciedlenie w dokumentacji i praktyce organizacji.

Pierwszym filarem jest analiza ryzyka i polityka bezpieczeństwa systemów informacyjnych. Nie chodzi o jednorazowy dokument wyprodukowany na potrzeby audytu, lecz o żywy proces — regularnie aktualizowany, uwzględniający zmieniające się zagrożenia i nowe aktywa.

Drugim — obsługa incydentów, obejmująca procedury wykrywania, reagowania, analizowania i odzyskiwania sprawności po zdarzeniach naruszających bezpieczeństwo. Nowelizacja KSC wprowadza trójstopniowy schemat raportowania incydentów poważnych: powiadomienie wstępne w ciągu dwudziestu czterech godzin, raport pośredni w ciągu siedemdziesięciu dwóch godzin, raport końcowy w ciągu miesiąca.

Trzecim jest ciągłość działania — zarządzanie kopiami zapasowymi, plany przywracania normalnego działania po awarii, zarządzanie kryzysowe. Dla przedsiębiorstw wod-kan czy energetycznych, gdzie przerwa w dostawie usługi ma bezpośredni wpływ na zdrowie i życie ludzi, to nie jest abstrakcyjne wymaganie.

Czwartym — bezpieczeństwo łańcucha dostaw, w tym bezpieczeństwo relacji z bezpośrednimi dostawcami i usługodawcami. W praktyce oznacza to audyt dostawców, klauzule bezpieczeństwa w umowach i monitorowanie ryzyk wynikających z zależności od podmiotów trzecich.

Kolejne filary obejmują: bezpieczeństwo w nabywaniu, rozwijaniu i utrzymywaniu sieci i systemów informacyjnych; polityki i procedury oceny skuteczności środków zarządzania ryzykiem; podstawowe praktyki cyberhigieny i szkolenia; polityki stosowania kryptografii i szyfrowania; bezpieczeństwo zasobów ludzkich, kontrolę dostępu i zarządzanie aktywami; oraz stosowanie uwierzytelniania wieloskładnikowego.

Odpowiedzialność kierownictwa — osobista, nie delegowalna

To być może najważniejsza zmiana, jaką wprowadza znowelizowana ustawa o KSC. Odpowiedzialność za cyberbezpieczeństwo spoczywa bezpośrednio na organie zarządzającym podmiotu — zarządzie spółki, wójcie, burmistrzu, prezesie. Nie na informatyku, nie na pełnomocniku ds. bezpieczeństwa informacji, nie na zewnętrznym konsultancie.

Kierownictwo ma obowiązek zatwierdzać środki zarządzania ryzykiem, nadzorować ich wdrażanie i ponosić odpowiedzialność za ewentualne zaniedbania. Co więcej, członkowie organu zarządzającego muszą odbywać szkolenia z zakresu cyberbezpieczeństwa — nie jednorazowo, lecz regularnie. To nie jest formalność. Organ właściwy może sprawdzić, czy szkolenie odbyło się, jaki miało zakres i czy jego treść była adekwatna do profilu ryzyka organizacji.

W kontekście samorządów oznacza to, że wójt gminy, który podpisuje zarządzenie o polityce bezpieczeństwa informacji, ale nigdy nie uczestniczył w szkoleniu i nie rozumie, czego ten dokument dotyczy — naraża się na osobistą odpowiedzialność administracyjną.

Kary — konkretne kwoty, realne konsekwencje

Nowelizacja KSC wprowadza system kar administracyjnych wzorowany na mechanizmie znanym z RODO. Dla podmiotów kluczowych kara może wynieść do dziesięciu milionów euro lub dwóch procent łącznego rocznego światowego obrotu — w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych — do siedmiu milionów euro lub półtora procenta obrotu.

Kary nie dotyczą wyłącznie naruszeń bezpieczeństwa. Mogą zostać nałożone również za niezłożenie wniosku o wpis do wykazu, niezgłoszenie incydentu w wymaganym terminie, brak wdrożenia wymaganych środków zarządzania ryzykiem lub niewykonanie zaleceń organu właściwego.

Warto podkreślić: dwuletni okres przejściowy dotyczący pełnego wymiaru kar nie oznacza dwuletniego okresu bezkarności. Organ właściwy może prowadzić czynności kontrolne od dnia wejścia ustawy w życie — a stwierdzone zaniedbania mogą stanowić podstawę do nałożenia sankcji po upływie okresu przejściowego, z mocą wsteczną obejmującą ustalenia poczynione wcześniej.

Czego nie zrobi za Ciebie system S46

System S46 — elektroniczna platforma do obsługi krajowego systemu cyberbezpieczeństwa — jest narzędziem, nie rozwiązaniem. Pozwoli złożyć wniosek o wpis do wykazu, raportować incydenty i komunikować się z organami. Nie przeprowadzi jednak za organizację analizy ryzyka, nie napisze polityk bezpieczeństwa, nie przeszkoli pracowników i nie wdroży środków technicznych.

Organizacje, które czekają na uruchomienie systemu S46 z założeniem, że „wtedy się tym zajmą", tracą cenny czas. Rejestracja to ostatni krok procesu, nie pierwszy. Zanim podmiot będzie mógł złożyć wniosek, musi wiedzieć, do której kategorii należy (kluczowy czy ważny), zidentyfikować swoje systemy informacyjne, oszacować ryzyko i przynajmniej rozpocząć budowanie systemu zarządzania bezpieczeństwem.

Co zrobić teraz — pięć kroków na najbliższe sześć miesięcy

Dla organizacji, które dotychczas nie podlegały przepisom o krajowym systemie cyberbezpieczeństwa, ale teraz zostały objęte zakresem znowelizowanej ustawy, proponujemy następującą sekwencję działań.

Krok pierwszy: samoidentyfikacja. Sprawdzenie, czy organizacja spełnia kryteria podmiotu kluczowego lub ważnego — na podstawie sektora działalności i progów wielkościowych. Nie warto tego odkładać — błędna kwalifikacja (lub jej brak) może kosztować więcej niż sam proces wdrożenia.

Krok drugi: inwentaryzacja aktywów i systemów informacyjnych. Trudno chronić coś, czego się nie zna. Pełny rejestr systemów, urządzeń, oprogramowania i powiązań z dostawcami zewnętrznymi stanowi fundament dalszych prac.

Krok trzeci: analiza ryzyka. Metodyczna ocena zagrożeń, podatności i potencjalnych skutków — prowadzona w sposób powtarzalny, udokumentowany i powiązany z kontekstem działalności organizacji.

Krok czwarty: budowanie dokumentacji SZBI. Polityki, procedury, instrukcje — dopasowane do specyfiki organizacji, nie skopiowane z szablonu. Dokumentacja, która nie odzwierciedla rzeczywistości, jest gorsza niż jej brak — bo daje fałszywe poczucie bezpieczeństwa.

Krok piąty: rejestracja w systemie S46. Po uruchomieniu platformy (12 czerwca 2026 roku) — złożenie wniosku o wpis do wykazu, uzupełnionego o wymagane informacje o organizacji i jej systemach.

Jak Fib.Code wspiera wdrożenie KSC 2.0

Fib.Code od lat pracuje z podmiotami, które teraz po raz pierwszy mierzą się z obowiązkami wynikającymi z krajowego systemu cyberbezpieczeństwa. Znamy specyfikę samorządów, przedsiębiorstw wodociągowych, ciepłowni i spółek komunalnych — wiemy, że budżet na cyberbezpieczeństwo w gminie liczącej pięć tysięcy mieszkańców wygląda inaczej niż w spółce giełdowej, i potrafimy w ramach tego budżetu dostarczyć rozwiązanie, które spełnia wymogi ustawy.

Nasze wsparcie obejmuje pełen cykl: od samoidentyfikacji i oceny luk (gap analysis), przez budowanie dokumentacji SZBI, analizę ryzyka i wdrożenie środków technicznych, po przygotowanie do rejestracji w systemie S46 i bieżącą obsługę w roli pełnomocnika ds. bezpieczeństwa informacji.

O tym, jak wybrać partnera zewnętrznego do pełnienia tej funkcji — i na co zwrócić uwagę, żeby współpraca przyniosła realną wartość — pisaliśmy w artykule poświęconym outsourcingowi pełnomocnika ds. bezpieczeństwa informacji.

Sześć miesięcy brzmi jak dużo. Ale kto pracował z samorządami, ten wie, że procedura zakupowa potrafi zająć trzy. Czas zacząć.

Umów bezpłatną konsultację: l.grabowski@fibcode.com | www.fibcode.com