- 🛡Programy dla firm i urzędów↓
- 🖥️Sprzęt IT dla urzędów i firm↓
- 🛠️Usługi IT↓
- 🏭Dostawcy technologii
- 📝Poradniki
- ❓FAQ↓ 👤O nas↓
- ☎ ✉ Kontakt
-
- ⏱Bezpłatne testy
Ustawa o KSC 2026 — co musi zmienić Twoja firma, żeby być zgodna z NIS2 w Polsce
3 kwietnia 2026 roku weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. Polska — z półtorarocznym opóźnieniem wobec unijnego terminu — wdrożyła dyrektywę NIS2. Od tego dnia pytanie nie brzmi już: kiedy wejdzie ustawa? Brzmi: czy Twoja firma wie, że jej dotyczy i co musi zrobić w pierwszej kolejności?
Wiele firm wciąż błędnie zakłada, że KSC to temat wyłącznie dla elektrowni, szpitali i banków. Tymczasem katalog podmiotów objętych regulacją znacząco się rozszerzył — i obejmuje teraz setki polskich przedsiębiorstw MŚP, które nigdy wcześniej nie miały formalnych obowiązków cyberbezpieczeństwa. W tym artykule wyjaśniamy krok po kroku, kogo dotyczy ustawa, co konkretnie musisz wdrożyć i w jakim terminie.
KSC, NIS2, UKSC — co kryje się pod tymi skrótami
Dyrektywa NIS2 to unijna regulacja z 2022 roku, która zastąpiła poprzednią dyrektywę NIS z 2016 roku. Jako dyrektywa nie obowiązuje bezpośrednio — wymaga wdrożenia do krajowego prawa przez każde państwo członkowskie. W Polsce tym wdrożeniem jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, zwana potocznie KSC 2.0 lub UKSC, która weszła w życie 3 kwietnia 2026 roku (Dz.U. 2026 poz. 252).
Praktyczna różnica względem poprzednich przepisów jest duża: stary model dzielił firmy na operatorów usług kluczowych i dostawców usług cyfrowych, a status ten przyznawany był decyzją administracyjną. Nowy model wprowadza podziała na podmioty kluczowe i podmioty ważne, a przynależność wynika z mocy prawa — nie z decyzji urzędu. Oznacza to, że firma sama musi ocenić, czy jej dotyczy ustawa, i odpowiednio wcześnie podjąć działania.
Kogo dotyczy ustawa — jak sprawdzić swój status
Kryterium podstawowe: ustawa obejmuje podmioty działające w określonych sektorach, które spełniają progi wielkości. W uproszczeniu: podmiot kluczowy to firma z sektora krytycznego zatrudniająca co najmniej 250 osób lub osiągająca obrót co najmniej 50 mln EUR. Podmiot ważny to firma z rozszerzonego katalogu sektorów zatrudniająca co najmniej 50 osób lub osiągająca obrót co najmniej 10 mln EUR.
Sektory objęte ustawą — podmiot kluczowy: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, usługi ICT zarządzane (MSSP), przestrzeń kosmiczna. Sektory objęte ustawą — podmiot ważny: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja żywności, produkcja (urządzenia medyczne, sprzęt elektroniczny, maszyny, pojazdy), dostawcy usług cyfrowych (wyszukiwarki, platformy handlowe, sieci społecznościowe), badania naukowe.
Ważny wyjątek dla firm IT: dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa, czyli MSSP, podlegają ustawie już od progu małego przedsiębiorcy — od około 10 pracowników i 2 mln EUR obrotu. To istotnie niższy próg niż ogólna zasada. Jeśli Twoja firma świadczy usługi bezpieczeństwa IT innym organizacjom, sprawdź ten status priorytetowo.
Nie jesteś pewien, czy Cię dotyczy? Ministerstwo Cyfryzacji udostępniło na stronie cyber.gov.pl ankietę samooceny, która prowadzi przez weryfikację sektor po sektorze. Możemy też pomóc Ci to ocenić w ramach audytu wstępnego — analiza statusu KSC to jeden z pierwszych kroków, które wykonujemy.
Co konkretnie musisz wdrożyć — 6 głównych obowiązków
1. System zarządzania bezpieczeństwem informacji (SZBI): Wdrożenie udokumentowanego systemu zarządzania ryzykiem IT, polityk bezpieczeństwa, procedur obsługi incydentów i planów ciągłości działania. Nie musisz posiadać certyfikatu ISO 27001 — ale musisz działać zgodnie z jego logiką.
2. Zarządzanie ryzykiem w łańcuchu dostaw: Aktywna weryfikacja dostawców IT i podwykonawców mających dostęp do Twoich systemów. Obowiązek ten opisujemy szczegółowo w artykule o atakach na łańcuch dostaw. Audyt dostawców to usługa, która pomaga wypełnić ten wymóg.
3. Raportowanie incydentów: Poważne incydenty cyberbezpieczeństwa muszą być zgłaszane do właściwego CSIRT lub organu sektorowego w określonych terminach. Wstępne powiadomienie: 24 godziny od wykrycia. Szczegółowe zgłoszenie: 72 godziny.
4. Środki techniczne i organizacyjne: Obowiązkowe wdrożenie uwierzytelniania wieloskładnikowego MFA, szyfrowania danych, zarządzania dostępem i szkoleń dla pracowników. Platformy szkoleniowe z cyberbezpieczeństwa i rozwiązania klasy EDR bezpośrednio wspierają spełnienie tych wymogów.
5. Ciągłość działania i plany odtwarzania: Wdrożenie BCP i DRP oraz regularne ich testowanie. Backup danych z możliwością odtworzenia w zdefiniowanym czasie. Rozwiązania backupowe z oferty ti.com.pl pozwalają spełnić wymaganie dotyczące kopii zapasowych i odtwarzania.
6. Odpowiedzialność zarządu: Nowelizacja KSC wprowadza odpowiedzialność osobistą kierownika podmiotu za realizację obowiązków cyberbezpieczeństwa. Cyberbezpieczeństwo przestaje być domeną wyłącznie działu IT — zarząd musi być zaangażowany, poinformowany i rozliczany.
Harmonogram działań — co robić i kiedy
| Termin | Obowiązek | Dla kogo |
|---|---|---|
| 3 kwietnia 2026 | Wejście w życie ustawy KSC — start biegu terminów | Wszyscy |
| 7 maja 2026 | Uruchomienie procedury samoidentyfikacji w Wykazie KSC | Wszyscy potencjalnie objęci |
| 3 października 2026 | Termin rejestracji w Wykazie KSC (wniosek elektroniczny) | Podmioty kluczowe i ważne |
| 3 kwietnia 2027 | Wdrożenie systemu zarządzania ryzykiem i środków technicznych | Podmioty kluczowe i ważne |
| 3 kwietnia 2028 | Pierwszy obowiązkowy audyt zewnętrzny cyberbezpieczeństwa | Podmioty kluczowe |
| Co 3 lata | Kolejne audyty zewnętrzne | Podmioty kluczowe |
Jakie kary grożą za brak zgodności
Sankcje w nowelizacji KSC są znacząco surowsze niż w poprzedniej ustawie. Administracyjne kary pieniężne: do 10 mln EUR lub 2 procent całkowitego rocznego obrotu dla podmiotów kluczowych; do 7 mln EUR lub 1,4 procent obrotu dla podmiotów ważnych. Dodatkowo: kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia w wykonaniu nakazu organu nadzoru. Potencjalny zakaz pełnienia funkcji kierowniczych dla członków zarządu w przypadku rażących naruszeń.
Dobra wiadomość: na większość kar administracyjnych obowiązuje moratorium do 3 kwietnia 2028 roku. To oznacza, że masz czas na przygotowanie — ale nie na stanie w miejscu. Organ nadzorczy już teraz może przeprowadzać kontrole, a brak działań wdrożeniowych zostanie odnotowany.
Od czego zacząć — plan na pierwsze 30 dni
Tydzień 1 — Ocena statusu: Wypełnij ankietę samooceny na cyber.gov.pl. Ustal, czy Twoja firma spełnia kryteria podmiotu kluczowego lub ważnego w którymkolwiek sektorze.
Tydzień 2 — Audyt luk (Gap Analysis): Oceń, jak duża jest przepaść między obecnym stanem bezpieczeństwa a wymogami ustawy. To fundament planu wdrożenia. Audyt wstępny może zostać przeprowadzony w ciągu kilku dni roboczych.
Tydzień 3–4 — Plan wdrożenia i priorytety: Na podstawie wyników audytu stwórz plan działań z terminami i właścicielami. Quick wins — jak MFA, segmentacja sieci, polityka haseł — wdrażaj natychmiast. Większe projekty zaplanuj w perspektywie 6–12 miesięcy.
Podsumowanie
Nowelizacja KSC to nie jednorazowy projekt — to zmiana sposobu, w jaki firma zarządza cyberbezpieczeństwem na co dzień. Firmy, które potraktują KSC wyłącznie jako projekt zgodności, szybko odkryją, że dokumentacja bez realnych zabezpieczeń nie przejdzie audytu. Firmy, które traktują zgodność jako szansę na faktyczne wzmocnienie bezpieczeństwa, zyskają podwójnie: spełnią wymogi prawne i zbudują realną odporność na cyberataki.
Potrzebujesz pomocy w ocenie statusu i przygotowaniu planu wdrożenia KSC? Skontaktuj się z nami — przeprowadzimy audyt luk, wesprzemy rejestrację i pomożemy spełnić wszystkie wymagane środki techniczne i organizacyjne.
