Nowe przepisy o Krajowym Systemie Cyberbezpieczeństwa stanowią duże wyzwanie dla przedsiębiorców wskazanych jako podmioty ważne lub kluczowe. Jak wygląda harmonogram wejścia w życie nowych obowiązków?
W przypadku nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa należy odnotować istotną zmianę: nie mówimy już wyłącznie o projekcie. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw została ogłoszona w Dzienniku Ustaw 2 marca 2026 r., a zgodnie z jej art. 49 weszła w życie po upływie miesiąca od dnia ogłoszenia, czyli 3 kwietnia 2026 r.
Nowelizacja wdraża do polskiego porządku prawnego dyrektywę NIS2 i znacząco rozszerza krąg podmiotów objętych obowiązkami cyberbezpieczeństwa. Dotychczasowy model oparty m.in. na operatorach usług kluczowych zostaje zastąpiony szerszym systemem obejmującym podmioty kluczowe i podmioty ważne. Dla przedsiębiorców oznacza to konieczność przeprowadzenia samoidentyfikacji, czyli ustalenia, czy prowadzona działalność mieści się w sektorach, podsektorach i kategoriach wskazanych w ustawie oraz jej załącznikach. Ministerstwo Cyfryzacji wskazuje wprost, że proces samoidentyfikacji jest przeprowadzany samodzielnie przez dany podmiot.
Harmonogram wdrożenia
Pierwszym praktycznym terminem w harmonogramie był 13 kwietnia 2026 r. — od tej daty Minister Cyfryzacji rozpoczął wpisywanie z urzędu do Wykazu KSC dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmiotów publicznych. Nie wszystkie podmioty zostaną jednak wpisane automatycznie. Od 7 maja 2026 r. uruchomiono możliwość samorejestracji w Wykazie KSC dla podmiotów, które nie są objęte wpisem z urzędu.
Kluczowym terminem dla podmiotów, które w dniu wejścia w życie ustawy spełniały przesłanki uznania ich za podmiot kluczowy albo ważny, jest termin złożenia wniosku o wpis do wykazu. Sama ustawa odsyła w tym zakresie do harmonogramu ogłaszanego przez ministra właściwego do spraw informatyzacji, a Ministerstwo Cyfryzacji publikuje najważniejsze daty dla podmiotów objętych nowymi regulacjami. Co do zasady podmiot kluczowy lub ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania go za taki podmiot.
Kolejnym zasadniczym etapem jest wdrożenie obowiązków organizacyjnych i technicznych. Podmioty, które w dniu wejścia w życie ustawy spełniały przesłanki uznania za podmiot kluczowy albo ważny, mają 12 miesięcy od dnia wejścia ustawy w życie na realizację obowiązków określonych w rozdziale 3 ustawy. W praktyce oznacza to termin do 3 kwietnia 2027 r. na pełne wdrożenie m.in. systemu zarządzania bezpieczeństwem informacji, zasad zarządzania ryzykiem, procedur reagowania na incydenty, środków ciągłości działania, cyberhigieny, kontroli dostępu, zarządzania aktywami oraz bezpieczeństwa łańcucha dostaw.
Nowelizacja przewiduje również odrębny termin audytowy. Podmioty kluczowe, które spełniały przesłanki objęcia ustawą w dniu jej wejścia w życie, mają przeprowadzić pierwszy obowiązkowy audyt w terminie 24 miesięcy od dnia wejścia w życie ustawy, a więc zasadniczo do 3 kwietnia 2028 r.
Kary pieniężne — ważne zastrzeżenie
Warto zwrócić uwagę także na termin dotyczący kar pieniężnych. Ustawa przewiduje, że określone kary pieniężne będą mogły zostać po raz pierwszy nałożone dopiero po upływie 2 lat od dnia wejścia ustawy w życie. Nie należy jednak traktować tego jako dwuletniego zwolnienia z obowiązków. Terminy na rejestrację, wdrożenie systemu zarządzania bezpieczeństwem informacji i wykonanie pozostałych obowiązków biegną niezależnie od odroczonej możliwości nakładania części sankcji.
Praktyczny harmonogram przygotowań
Dla przedsiębiorstw praktyczny harmonogram przygotowań powinien wyglądać następująco: najpierw samoidentyfikacja i ustalenie, czy organizacja jest podmiotem kluczowym albo ważnym; następnie wpis do Wykazu KSC lub weryfikacja wpisu dokonanego z urzędu; później audyt luk względem nowych wymogów; następnie wdrożenie dokumentacji, procedur i środków technicznych; a na końcu przygotowanie organizacji do audytu i kontroli organu właściwego.
Największym błędem byłoby sprowadzenie nowelizacji KSC wyłącznie do obowiązku formalnego wpisu do wykazu. Wpis jest dopiero początkiem procesu. Realne znaczenie dla przedsiębiorstwa będą miały procedury zarządzania ryzykiem, obsługi incydentów, ciągłości działania, bezpieczeństwa dostawców ICT, dokumentowania decyzji zarządczych oraz wykazania, że zastosowane środki są adekwatne do skali działalności i ryzyk.
Kancelaria wspiera przedsiębiorców w samoidentyfikacji pod kątem KSC/NIS2, ocenie statusu podmiotu kluczowego lub ważnego, przygotowaniu do wpisu do Wykazu KSC, audycie luk regulacyjnych, opracowaniu dokumentacji cyberbezpieczeństwa oraz wdrożeniu procedur wymaganych przez nowe przepisy. Podmioty zainteresowane bezpiecznym przejściem przez harmonogram wdrożenia nowelizacji KSC zapraszamy do kontaktu.
