Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa – najważniejsze zmiany i obowiązki

calendar 16 marca 2026
clock 9m 11s

Po długim procesie legislacyjnym ustawa o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca do polskiego prawa dyrektywę NIS2, weszła w życie. Nowe przepisy rozszerzają katalog podmiotów objętych regulacją oraz wzmacniają odpowiedzialność zarządów za zarządzanie ryzykiem cybernetycznym.

Przyjęcie znowelizowanej ustawy o KSC oznacza istotną zmianę w podejściu do zarządzania cyberbezpieczeństwem w podmiotach komercyjnych i publicznych. Przestaje ono być postrzegane wyłącznie jako domena działów IT, a staje się elementem strategicznego zarządzania ryzykiem i odpornością organizacji.

W praktyce nowe regulacje wprowadzają nie tylko dodatkowe obowiązki w zakresie ochrony systemów informacyjnych, lecz także wymagają systemowego podejścia do zarządzania cyberbezpieczeństwem, ciągłością działania oraz reagowania na incydenty.

Implementacja dyrektywy NIS2 w Polsce

Implementacja dyrektywy NIS2 w Polsce była jednym z najbardziej oczekiwanych procesów legislacyjnych ostatnich lat. Po długotrwałych pracach legislacyjnych prowadzonych na poziomie rządowym i parlamentarnym oraz po szerokich konsultacjach z przedstawicielami biznesu i środowisk eksperckich, ustawa o Krajowym Systemie Cyberbezpieczeństwa została opublikowana w Dzienniku Ustaw 2 marca 2026 r. i wchodzi w życie 3 kwietnia 2026 r.

Najważniejsze terminy wynikające z ustawy o KSC

Według znowelizowanej ustawy o KSC podmioty powinny sklasyfikować się jako kluczowe lub ważne oraz złożyć wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za daną kategorię podmiotu. W praktyce oznacza to, że dla organizacji spełniających te przesłanki już w dniu wejścia w życie ustawy termin ten upływa 3 października 2026 r. W części przypadków wpis do wykazu następuje jednak z urzędu. Dotyczy to m.in. przedsiębiorców telekomunikacyjnych, dostawców usług zaufania, podmiotów publicznych oraz podmiotów krytycznych. W takiej sytuacji minister doręcza zawiadomienie o wpisie i wzywa do uzupełnienia brakujących danych w terminie 6 miesięcy od dnia doręczenia wezwania.

Na wdrożenie pełnych obowiązków wynikających z UoKSC przewidziano 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy albo ważny. Podmioty spełniające te kryteria w dniu wejścia przepisów mają obowiązek stosować je od 2 kwietnia 2027 r. W tym samym terminie organizacje powinny również rozpocząć korzystanie z systemu S46 wspierającego m.in. zgłaszanie i obsługę incydentów oraz prowadzenie wykazu.

Jednocześnie ustawodawca zdecydował o odroczeniu możliwości nakładania kar pieniężnych – sankcje finansowe będą mogły być po raz pierwszy nakładane po upływie dwóch lat od wejścia w życie ustawy.

Przeczytaj również: Czym jest rozporządzenie DORA i jakie ma znaczenie dla sektora finansowego?

Kto musi wdrożyć wymagania?

Nowe przepisy dzielą organizacje na dwie główne kategorie: podmioty kluczowe oraz podmioty ważne. Do pierwszej grupy zaliczane są organizacje o szczególnym znaczeniu dla funkcjonowania państwa i gospodarki, natomiast druga obejmuje przedsiębiorstwa działające w sektorach istotnych, których działalność również może mieć wpływ na stabilność usług i infrastruktury.

Katalog sektorów objętych wymaganiami został znacząco rozszerzony, obejmując: energetykę, transport, sektor finansowy, ochronę zdrowia, gospodarkę wodno-kanalizacyjną, administrację publiczną i produkcję żywności.

Podmioty kluczowe:

    • energetyka
    • transport
    • bankowość
    • infrastruktura rynków finansowych
    • opieka zdrowotna
    • sektor wody pitnej
    • ścieki
    • infrastruktura cyfrowa
    • zarządzanie usługami ICT
    • administracja publiczna
    • przestrzeń kosmiczna

Podmioty ważne:

    • usługi pocztowe i kurierskie
    • gospodarowanie odpadami
    • produkcja, przetwarzanie i dystrybucja chemikaliów
    • produkcja, przetwarzanie i dystrybucja żywności
    • produkcja (w szerokim znaczeniu)
    • usługi cyfrowe
    • badania naukowe

Nowelizacja UoKSC opiera się na katalogu sektorów znanym z NIS2, ale w części go doprecyzowuje i rozszerza. Pełny katalog sektorów, podsektorów i rodzajów działalności został wskazany w załącznikach do ustawy. O tym, czy dany podmiot jest „kluczowy” czy „ważny”, decyduje nie tylko sam sektor, ale również warunki przewidziane w ustawie, w tym w części przypadków kryteria wielkościowe albo szczególny status podmiotu.

Istotną zmianą jest również uwzględnienie łańcuchów dostaw. Podmioty objęte przepisami muszą zarządzać ryzykiem cybernetycznym także w relacjach z dostawcami i partnerami biznesowymi. W praktyce oznacza to, że firmy spoza zakresu regulacji mogą być zobowiązane do spełniania określonych standardów bezpieczeństwa, aby współpracować z organizacjami objętymi UKSC.

Nowelizacja KSC doprecyzowała także definicję organizacji badawczej oraz zawęziła zakres podmiotów z sektora nauki objętych przepisami.

Jak spełnić wymagania UoKSC i NIS2 – najważniejsze działania dla organizacji

Nowe przepisy wymagają od organizacji wdrożenia systemowego podejścia do zarządzania cyberbezpieczeństwem. W praktyce oznacza to konieczność wprowadzenia szeregu środków organizacyjnych i technicznych, które powinny obejmować m.in.:

    1. Zarządzanie ryzykiem cyberbezpieczeństwa

Organizacje muszą wdrożyć systemowe podejście do identyfikacji i zarządzania ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych.

    1. Zapewnienie ciągłości działania

Niezbędne jest przygotowanie planów ciągłości działania oraz planów odtwarzania po incydencie (BCP/DR), obejmujących m.in. kopie zapasowe oraz procedury zarządzania kryzysowego.

    1. Zarządzanie bezpieczeństwem łańcucha dostaw

Nowe przepisy wymagają również oceny ryzyka związanego z dostawcami usług IT oraz partnerami biznesowymi i wdrożenia odpowiednich mechanizmów kontroli bezpieczeństwa.

    1. Ochrona systemów w całym cyklu ich życia

Organizacje powinny wdrożyć procesy zarządzania podatnościami, aktualizacjami oraz bezpieczeństwem systemów informacyjnych na każdym etapie ich funkcjonowania.

    1. Monitorowanie i reagowanie na incydenty

Konieczne jest wdrożenie mechanizmów monitorowania bezpieczeństwa, logowania zdarzeń oraz procedur wykrywania i reagowania na incydenty.

    1. Wdrożenie odpowiednich środków technicznych

W tym m.in. stosowanie szyfrowania, silnych mechanizmów uwierzytelniania oraz innych środków ochrony systemów informacyjnych.

    1. Zarządzanie incydentami i raportowanie

Organizacje powinny wdrożyć procedury obsługi incydentów oraz ich zgłaszania do właściwych organów i zespołów reagowania na incydenty (CSIRT).

    1. Bezpieczeństwo zasobów ludzkich

Nowe regulacje podkreślają znaczenie budowania świadomości cyberzagrożeń w organizacji oraz prowadzenia regularnych szkoleń z zakresu cyberbezpieczeństwa, w tym dla kadry zarządzającej.

    1. Nadzór zarządczy nad cyberbezpieczeństwem

Ustawa o KSC i dyrektywa NIS2 wzmacniają odpowiedzialność kadry zarządzającej za nadzór nad cyberbezpieczeństwem oraz za zapewnienie zgodności organizacji z wymaganiami regulacyjnymi.

Przeczytaj również: Rozporządzenie Data Act: wszystko, co musisz wiedzieć o nowych przepisach UE

Kary finansowe za nieprzestrzeganie UoKSC

Znowelizowana UKSC wprowadza również istotne mechanizmy odpowiedzialności za naruszenie przepisów. Sankcje mogą dotyczyć zarówno organizacji, jak i osób odpowiedzialnych za zarządzanie cyberbezpieczeństwem.

W przypadku podmiotów kluczowych maksymalna kara finansowa może wynieść do 10 mln euro lub 2% rocznego przychodu, natomiast dla podmiotów ważnych do 7 mln euro lub 1,4% rocznego przychodu – w zależności od tego, która z kwot jest wyższa. W szczególnych przypadkach, gdy naruszenia prowadzą np. do poważnych zagrożeń dla bezpieczeństwa państwa lub poważnych zakłóceń w świadczeniu usług, organ właściwy może nałożyć karę sięgającą nawet 100 mln zł.

Nowe przepisy wprowadzają również osobistą odpowiedzialność kierownictwa podmiotu za nadzór nad cyberbezpieczeństwem. W określonych przypadkach kara pieniężna dla osoby zarządzającej może wynieść nawet do 300% jej wynagrodzenia.

Nie tylko kary pieniężne – inne środki nadzorcze

Nowelizacja ustawy o KSC przewiduje nie tylko kary finansowe, ale również szeroki katalog środków nadzorczych. Ich zakres zależy od tego, czy mamy do czynienia z podmiotem kluczowym czy ważnym.

W pierwszej kolejności organ nadzorczy może wydać decyzje zobowiązujące do wykonania obowiązków ustawowych, w szczególności nakazy dotyczące obsługi incydentu, zaniechania naruszeń, zapewnienia zgodności, poinformowania odbiorców usług, wdrożenia zaleceń audytowych oraz publikacji informacji o naruszeniach lub incydencie. W przypadku podmiotów kluczowych możliwe jest również czasowe wyznaczenie urzędnika monitorującego.

W drugiej kolejności, wobec podmiotów kluczowych, które nie zastosują się do tych decyzji, możliwe jest zastosowanie dalej idących środków. Obejmują one m.in. wstrzymanie lub ograniczenie zakresu koncesji bądź zezwolenia na wykonywanie usług, całkowite lub częściowe wstrzymanie działalności oraz czasowy zakaz pełnienia funkcji zarządczych przez kierownictwo.

Wobec podmiotu ważnego ustawa nie przewiduje tego drugiego, bardziej dolegliwego poziomu środków nadzorczych. Tych dalej idących środków nadzorczych nie stosuje się również do podmiotów publicznych.

Jak przygotować organizację do KSC – 5 kluczowych kroków

Dostosowanie organizacji do wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa wdrażającej NIS2 wymaga systemowego podejścia. W praktyce proces przygotowania można podzielić na kilka kluczowych etapów.

    1. Sprawdzenie, czy organizacja podlega przepisom

Pierwszym krokiem powinna być analiza, czy dana organizacja spełnia kryteria podmiotu kluczowego lub ważnego. Kluczowe znaczenie ma sektor działalności, wielkość przedsiębiorstwa oraz znaczenie dla funkcjonowania gospodarki lub infrastruktury krytycznej.

    1. Ocena obecnego poziomu cyberbezpieczeństwa

Kolejnym etapem jest przeprowadzenie analizy zgodności z wymaganiami UKSC (tzw. gap analysis). Pozwala ona zidentyfikować obszary wymagające zmian w zakresie procesów, procedur oraz stosowanych rozwiązań technicznych.

    1. Wdrożenie systemowego zarządzania cyberbezpieczeństwem

Organizacje powinny wdrożyć kompleksowy system zarządzania bezpieczeństwem informacji oraz zarządzania ryzykiem cybernetycznym, obejmujący m.in. monitoring incydentów, zarządzanie podatnościami oraz bezpieczeństwo łańcucha dostaw.

    1. Przygotowanie procedur reagowania na incydenty

Nowe przepisy wymagają wdrożenia procedur obsługi incydentów oraz ich zgłaszania do właściwych organów i zespołów reagowania na incydenty. W praktyce oznacza to konieczność przygotowania scenariuszy reagowania kryzysowego oraz planów odtwarzania działalności po incydencie.

    1. Zaangażowanie zarządu i budowanie świadomości

Znowelizowana ustawa o KSC wyraźnie podkreśla rolę kadry zarządzającej w nadzorze nad cyberbezpieczeństwem. Dlatego ważnym elementem przygotowań jest również budowanie świadomości zagrożeń oraz regularne szkolenia dla pracowników i menedżerów.

Od regulacji do realnego bezpieczeństwa

Implementacja wymagań wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa i dyrektywy NIS2 to dla wielu organizacji ważny moment porządkowania podejścia do cyberbezpieczeństwa. Choć regulacje określają konkretne obowiązki, ich znaczenie wykracza poza sam aspekt zgodności z przepisami. W praktyce stanowią impuls do budowania bardziej dojrzałego i systemowego podejścia do zarządzania ryzykiem w środowisku cyfrowym. W Resilia wspieramy firmy w przygotowaniu do nowych wymagań – od audytu zgodności i analizy luk, po opracowanie planu wdrożenia oraz implementację rozwiązań zwiększających poziom cyberbezpieczeństwa.

Jeśli chcesz przygotować swoją organizację do wymagań UoKSC / NIS2, wypełnij formularz na dole strony lub napisz do nas na adres: [email protected]

Przeczytaj więcej o naszych rozwiązaniach w zakresie wdrażania UoKSC i NIS2.

Dowiedź się więcej

Podobne wpisy
Nowe szkolenia certyfikowane PECB w formie self-study
calendar 10 sierpnia 2022
clock 1m 2s

Zapraszamy do zapoznania się z rozszerzoną ofertą szkoleń certyfikowanych PECB. Nowe szkolenia dostępne są w formie self-study, czyli samodzielnej nauki. Nowe szkolenia mają na celu […]
Zapisz się na webinar 2 grudnia: „Cyberatak nie dzieje się przypadkiem – kto i gdzie popełnia błędy?”
calendar 7 listopada 2025
clock 1m 53s

W świecie, w którym pojedynczy błąd użytkownika lub niewłaściwa decyzja IT może sprowadzić na firmę lawinę problemów istotne jest jedno: szybka, skoordynowana i zgodna z prawem […]
Nieruchomości Komercyjne w Polsce a cyberbezpieczeństwo – raport innogy
calendar 24 września 2020
clock 1m 0s

Usługi IT są kluczowym elementem zapewniającym funkcjonowanie branży magazynowo-logistycznej. O tym, jaką rolę będą odgrywały kwestie cyberbezpieczeństwa w tym sektorze, opowiedzieliśmy w raporcie innogy […]

NIS2 Expert Session

ZAMÓW KONSULTACJE

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!