Wróć do bloga
Holograficzny panel z tarczą cyberbezpieczeństwa i osią czasu APR 2026 – OCT 2026 na biurku w nowoczesnym biurze

Prawo / Regulacje

Nowelizacja ustawy o KSC – co zmienia się od kwietnia 2026 i jak się przygotować?

CTB
Zespół CTB
10 kwietnia 2026 10 min czytania

Dnia 3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), uchwalona 23 stycznia 2026 r. To najważniejsza zmiana w polskim prawie dotyczącym cyberbezpieczeństwa od lat – implementuje unijną dyrektywę NIS2 oraz rozwiązania wynikające z tzw. Toolbox 5G. Nowe przepisy dotyczą tysięcy firm i instytucji publicznych, które do tej pory nie podlegały regulacjom w tym zakresie.

Kluczowa data: Podmioty spełniające kryteria kluczowe lub ważne muszą złożyć wniosek o wpis do wykazu do 3 października 2026 r. Rejestr zostanie otwarty 7 maja 2026 r.

Co się zmienia? Najważniejsze założenia nowelizacji

Dotychczasowa ustawa o KSC z 2018 roku opierała się na dyrektywie NIS1 i obejmowała stosunkowo wąski krąg podmiotów – głównie operatorów usług kluczowych i dostawców usług cyfrowych. Nowelizacja fundamentalnie zmienia ten model:

  • Nowy podział podmiotów – zamiast „operatorów usług kluczowych" i „dostawców usług cyfrowych" wprowadzono kategorie podmiotów kluczowych i podmiotów ważnych
  • Rozszerzenie sektorów – do dotychczasowych sektorów (energia, transport, zdrowie, woda pitna, infrastruktura cyfrowa, bankowość) doszły m.in.: ścieki, zarządzanie usługami ICT, przestrzeń kosmiczna, usługi pocztowe, produkcja i dystrybucja żywności, produkcja przemysłowa, gospodarka odpadami
  • Podmioty publiczne w KSC – urzędy administracji, szkoły, szpitale i inne jednostki publiczne zostały objęte obowiązkami
  • Osobista odpowiedzialność zarządów – kierownictwo podmiotów ponosi bezpośrednią odpowiedzialność za wdrożenie i nadzór nad środkami cyberbezpieczeństwa
  • Mechanizm dostawców wysokiego ryzyka (HRV) – możliwość uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, co wiąże się z obowiązkiem ograniczenia lub wycofania jego technologii

Kogo dotyczy nowelizacja?

Nowelizacja KSC znacząco poszerza krąg podmiotów objętych regulacją. Kwalifikacja opiera się na dwóch kryteriach: sektorze działalności oraz wielkości podmiotu.

Podmioty kluczowe

To przede wszystkim duże przedsiębiorstwa (powyżej 250 pracowników lub obrót > 50 mln EUR) działające w sektorach o wysokim stopniu krytyczności:

  • Energetyka (energia elektryczna, gaz, ropa, ciepłownictwo, wodór)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynków finansowych
  • Ochrona zdrowia
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa i zarządzanie usługami ICT
  • Administracja publiczna
  • Przestrzeń kosmiczna

Podmioty ważne

To najczęściej średnie przedsiębiorstwa (50–250 pracowników) w sektorach kluczowych oraz firmy w sektorach dodatkowych:

  • Usługi pocztowe i kurierskie
  • Gospodarka odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja i dystrybucja żywności
  • Produkcja przemysłowa (wyroby medyczne, komputery, elektronika, maszyny, pojazdy)
  • Dostawcy usług cyfrowych (marketplace, wyszukiwarki, media społecznościowe)
  • Badania naukowe
Uwaga: Niektóre podmioty mogą zostać zakwalifikowane jako kluczowe niezależnie od wielkości – np. dostawcy usług DNS, rejestry nazw domen TLD, podmioty administracji publicznej czy jedyni dostawcy usług krytycznych w danym państwie.

Nowe obowiązki – co trzeba wdrożyć?

Nowelizacja nakłada szereg konkretnych obowiązków, których niespełnienie grozi sankcjami finansowymi:

System zarządzania bezpieczeństwem informacji

Każdy podmiot kluczowy i ważny musi wdrożyć system zarządzania bezpieczeństwem informacji w oparciu o ocenę ryzyka. Obejmuje to:

  • Politykę analizy ryzyka i bezpieczeństwa systemów informacyjnych
  • Procedury obsługi incydentów
  • Plan ciągłości działania i zarządzania kryzysowego
  • Bezpieczeństwo łańcucha dostaw
  • Bezpieczeństwo w nabywaniu, rozwijaniu i utrzymywaniu sieci i systemów IT
  • Polityki i procedury oceny skuteczności środków zarządzania ryzykiem
  • Stosowanie kryptografii i szyfrowania
  • Kontrolę dostępu i zarządzanie zasobami
  • Uwierzytelnianie wieloskładnikowe (MFA)
  • Regularne szkolenia pracowników z zakresu cyberbezpieczeństwa

Zgłaszanie incydentów do CSIRT

Incydenty poważne muszą być zgłaszane do właściwego zespołu CSIRT w ściśle określonych terminach:

Etap Termin Zakres
Wczesne ostrzeżenie 24 godziny Wstępna informacja o incydencie, podejrzenie przyczyny
Zgłoszenie incydentu 72 godziny Aktualizacja ostrzeżenia, wstępna ocena skutków i wskaźniki naruszenia
Raport końcowy 1 miesiąc Szczegółowy opis incydentu, przyczyny, podjęte działania, skutki transgraniczne

Zgłoszenia kierowane są do właściwego CSIRT – CSIRT NASK (dla podmiotów cywilnych), CSIRT GOV (dla administracji) lub CSIRT MON (dla sektora obronnego). Operacyjnie raportowanie odbywa się poprzez system S46.

Kluczowe terminy – kalendarz wdrożenia

Data Wydarzenie
3 kwietnia 2026 Wejście w życie nowelizacji
7 maja 2026 Otwarcie rejestru dla podmiotów kluczowych i ważnych
3 października 2026 Termin na złożenie wniosku o wpis do wykazu
2028 Pełne wdrożenie wszystkich obowiązków technicznych i organizacyjnych

Kary finansowe i odpowiedzialność zarządu

Nowelizacja wprowadza dwupoziomowy system kar, zależny od klasyfikacji podmiotu:

Rodzaj podmiotu Maksymalna kara
Podmiot kluczowy Do 10 mln EUR lub 2% rocznego obrotu (zależnie co wyższe)
Podmiot ważny Do 7 mln EUR lub 1,4% rocznego obrotu (zależnie co wyższe)
Członek zarządu / kierownik Grzywna do 600% miesięcznego wynagrodzenia za rażące zaniedbania
Odpowiedzialność osobista: To fundamentalna zmiana. Zarząd nie może delegować odpowiedzialności „w dół" – kierownik podmiotu jest bezpośrednio odpowiedzialny za zapewnienie zasobów, organizacji i nadzoru nad wdrożeniem środków cyberbezpieczeństwa.

Dostawcy wysokiego ryzyka (HRV)

Nowelizacja wprowadza mechanizm uznawania dostawców sprzętu i oprogramowania za dostawców wysokiego ryzyka (HRV). Jest to implementacja unijnego Toolbox 5G, ale zakres nie ogranicza się wyłącznie do sieci 5G.

Jeżeli dostawca zostanie uznany za HRV, podmioty kluczowe i ważne będą zobowiązane do:

  • Nieinstalowania nowych produktów lub usług tego dostawcy
  • Wycofania istniejących rozwiązań w określonym terminie (do 7 lat od decyzji)
  • Opracowania planu migracji do alternatywnych dostawców

Decyzja o uznaniu dostawcy za HRV podejmowana jest przez Kolegium ds. Cyberbezpieczeństwa na podstawie oceny ryzyka uwzględniającej m.in. powiązania z państwami trzecimi, strukturę właścicielską i podatność na wpływy pozaekonomiczne.

Jak się przygotować? Plan działania

Wdrożenie wymogów nowelizacji KSC to proces, który wymaga systematycznego podejścia. Oto rekomendowane kroki:

  1. Dokonaj klasyfikacji – sprawdź, czy Twoja organizacja spełnia kryteria podmiotu kluczowego lub ważnego. Uwzględnij sektor działalności, wielkość firmy i rodzaj świadczonych usług
  2. Przeprowadź audyt zerowy (GAP analysis) – oceń aktualny stan cyberbezpieczeństwa w organizacji i zidentyfikuj luki w stosunku do wymagań ustawy
  3. Wdróż system zarządzania bezpieczeństwem – na bazie wyników audytu opracuj i wdróż polityki, procedury i środki techniczne. Rozważ certyfikację ISO/IEC 27001 jako ramy odniesienia
  4. Przygotuj procedury zgłaszania incydentów – ustal kto, komu i jak zgłasza incydenty. Skonfiguruj łączność z właściwym CSIRT przez system S46
  5. Zadbaj o łańcuch dostaw – zidentyfikuj kluczowych dostawców IT, oceń ich poziom bezpieczeństwa i włącz wymagania cyberbezpieczeństwa do umów
  6. Przeszkol zarząd i pracowników – kierownictwo musi rozumieć swoje obowiązki i odpowiedzialność. Pracownicy potrzebują regularnych szkoleń z rozpoznawania zagrożeń
  7. Złóż wniosek o wpis – od 7 maja 2026 zarejestruj organizację w wykazie podmiotów kluczowych lub ważnych (termin: 3 października 2026)

Najczęściej zadawane pytania

Czy nowelizacja dotyczy małych firm?
Co do zasady – nie. Regulacja dotyczy przede wszystkim średnich i dużych przedsiębiorstw (powyżej 50 pracowników). Wyjątkiem są jednak dostawcy usług DNS, rejestry domen TLD, dostawcy usług zaufania i podmioty, które są jedynymi dostawcami usług krytycznych – ci podlegają przepisom niezależnie od wielkości.
Jaka jest różnica między podmiotem kluczowym a ważnym?
Różnica dotyczy głównie wielkości firmy, poziomu nadzoru i wysokości kar. Podmioty kluczowe (duże firmy w sektorach krytycznych) podlegają ściślejszemu nadzorowi i wyższym karom (do 10 mln EUR / 2% obrotu). Podmioty ważne (średnie firmy) mają nieco łagodniejszy reżim (do 7 mln EUR / 1,4% obrotu), ale zakres obowiązków jest zbliżony.
Co grozi za brak rejestracji w terminie?
Brak złożenia wniosku o wpis do wykazu w terminie do 3 października 2026 r. stanowi naruszenie ustawy i może skutkować nałożeniem kar administracyjnych. Organy nadzorcze mogą również nakazać podjęcie działań naprawczych w określonym terminie.
Czy ustawa wymaga konkretnej certyfikacji (np. ISO 27001)?
Ustawa nie wymaga wprost certyfikacji ISO/IEC 27001, ale wdrożenie systemu zarządzania bezpieczeństwem informacji według tej normy jest rekomendowane i stanowi uznany sposób wykazania zgodności z wymaganiami ustawy. Organy nadzorcze mogą brać pod uwagę posiadanie certyfikacji przy ocenie adekwatności wdrożonych środków.
Jak nowelizacja KSC ma się do dyrektywy NIS2?
Nowelizacja KSC jest polską implementacją dyrektywy NIS2. Oznacza to, że wymagania NIS2 zostały przetransponowane do polskiego prawa z uwzględnieniem specyfiki krajowej – np. struktury CSIRT, roli Kolegium ds. Cyberbezpieczeństwa czy mechanizmu dostawców wysokiego ryzyka. Jeśli Twoja organizacja przygotowywała się do NIS2, większość wymagań będzie Ci znana.
KSC NIS2 Cyberbezpieczeństwo Prawo Compliance CSIRT Audyt

Przeczytaj również

Regulacje

Dyrektywa NIS2 – co każda firma musi wiedzieć?

Normy i Certyfikacje

ISO 27001 krok po kroku

Audyty IT

Audyt bezpieczeństwa IT w MŚP