Skoczów, ul. Stalmacha 43b
33 853 14 90798 855 761
biuro@zdebski.pl

Nowe obowiązki w zakresie cyberbezpieczeństwa – czy ustawa o KSC dotyczy Twojej firmy?

10.05.2026

Szanowni Państwo, 3 kwietnia weszły w życie niezwykle istotne przepisy nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Wdrażają one w Polsce wymagania unijnej tzw. dyrektywy NIS2, która nakłada na przedsiębiorców zupełnie nowe obowiązki w zakresie zarządzania ryzykiem, zgłaszania incydentów oraz organizacji bezpieczeństwa IT.

Kogo dotyczą nowe przepisy?
Ustawa obejmuje szeroki katalog przedsiębiorstw z wielu sektorów gospodarki. Obowiązki z zakresu cyberbezpieczeństwa mogą dotyczyć Państwa firmy, jeśli:
  • Spełnia bezpośrednio warunki ustawy: Należy sprawdzić, czy z uwagi na wielkość i profil działalności firma jest „podmiotem kluczowym” lub „podmiotem ważnym”. Sektory objęte przepisami to nie tylko energetyka, finanse czy infrastruktura cyfrowa, ale także produkcja, gospodarka odpadami, usługi pocztowe oraz dystrybucja żywności i chemikaliów.
  • Jest ogniwem w łańcuchu dostaw: To najważniejszy punkt dla sektora MŚP. Nawet jeśli Państwa firma nie podlega bezpośrednio pod ustawę o KSC, może zostać pociągnięta do obowiązków jako dostawca lub klient podmiotu objętego ustawą. Duzi gracze będą bowiem wymagać od swoich partnerów spełnienia określonych standardów bezpieczeństwa.

 

Jakie są kluczowe obowiązki podmiotów? Za realizację obowiązków przewidzianych ustawą odpowiada kierownik podmiotu. Główne zadania to m.in.:
  1. Zgłoszenie firmy do wykazu podmiotów kluczowych i ważnych.
  2. Wdrożenie w ciągu 12 miesięcy systemu zarządzania bezpieczeństwem informacji (SZBI), w tym procedur zarządzania ryzykiem i incydentami.
  3. Terminowe zgłaszanie incydentów cyberbezpieczeństwa po uprzednim podłączeniu do państwowego systemu S46.
  4. Monitorowanie bezpieczeństwa łańcucha dostaw ICT.
  5. Przeprowadzenie audytu zgodności z przepisami w ciągu 24 miesięcy od spełnienia przesłanek ustawy.

 

Kalendarium wdrożeń – na te daty trzeba uważać!
Wprowadzanie zmian odbywa się etapami. Do najważniejszych dat należą:
  • 7 maja – 3 października 2026 r.: Czas na tzw. samorejestrację elektroniczną w wykazie podmiotów kluczowych i ważnych (dla firm niewpisanych z urzędu).
  • 12 czerwca 2026 r.: Uruchomienie możliwości korzystania z systemu S46 dla nowych podmiotów w celu m.in. raportowania incydentów.
  • 3 kwietnia 2028 r.: Ostateczny termin na przeprowadzenie pierwszego audytu bezpieczeństwa dla nowych podmiotów kluczowych. Tego samego dnia zaczną również obowiązywać bardzo dotkliwe kary pieniężne za nieprzestrzeganie przepisów, poprzedzane ostrzeżeniami organów.
Ponieważ regulacje te są skomplikowane i mogą wpłynąć na relacje z Państwa kluczowymi kontrahentami, zalecamy jak najszybszą weryfikację tego, czy nowelizacja obejmuje Państwa biznes. Nasi specjaliści pozostają do dyspozycji i chętnie pomogą przygotować się na nadchodzące zmiany.