Dla zarządów banków, podmiotów infrastruktury rynków finansowych, a w pewnym zakresie także innych podmiotów finansowych pojawia się podstawowe pytanie: do jakiego stopnia muszę stosować KSC, a do jakiego DORA? Odpowiedzi udziela art. 8i znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j., zmiana Dz.U. 2026 poz. 252) — przepis, który wyłącza dla sektora bankowości i infrastruktury rynków finansowych większość obowiązków systemu zarządzania bezpieczeństwem i incydentów, zastępując je odpowiednikami z rozporządzenia (UE) 2022/2554 (DORA). Ten wpis tłumaczy, jak działa lex specialis art. 8i KSC i co realnie zostaje z KSC dla podmiotu finansowego.

Punkt wyjścia — art. 4 dyrektywy NIS2 i zasada lex specialis

Sama dyrektywa NIS2 (2022/2555) w art. 4 wprowadza zasadę, że jeżeli akt sektorowy UE wymaga środków co najmniej równoważnych obowiązkom z NIS2, stosuje się ten akt sektorowy zamiast NIS2. To klasyczna zasada lex specialis derogat legi generali — w europejskim systemie cyberbezpieczeństwa rozporządzenie DORA (sektorowe, dla finansów) pełni właśnie rolę aktu sektorowego, który wyprzedza przepisy ogólne NIS2 w zakresie podmiotów finansowych.

Polski ustawodawca odzwierciedlił tę zasadę w art. 8i KSC — przepisie, który dla podmiotów kluczowych lub ważnych z sektora bankowości i infrastruktury rynków finansowych wyłącza większość obowiązków KSC, pozostawiając w mocy tylko niektóre.

Definicja sektora — załącznik nr 1 do KSC

Aby zrozumieć zasięg art. 8i KSC, trzeba wiedzieć, kogo obejmuje sektor bankowości i infrastruktury rynków finansowych w rozumieniu załącznika nr 1 do ustawy. Sektor obejmuje:

  • Bankowość: instytucje kredytowe (art. 4 ust. 1 pkt 17 Prawa bankowego), banki krajowe (art. 4 ust. 1 pkt 1 Prawa bankowego), oddziały banków zagranicznych (art. 4 ust. 1 pkt 20 Prawa bankowego), spółdzielcze kasy oszczędnościowo-kredytowe (ustawa o SKOK);
  • Infrastruktura rynków finansowych: podmioty prowadzące rynek regulowany (art. 14 ust. 1 ustawy o obrocie instrumentami finansowymi), kontrahentów centralnych — CCP (art. 3 pkt 49 tej ustawy), podmioty rozliczające (art. 48 ust. 7), podmioty prowadzące ASO (art. 3 pkt 2) i OTF (art. 3 pkt 10b), administratorów kluczowych wskaźników referencyjnych (rozporządzenie BMR), izby rozliczeniowe i izby rozrachunkowe (art. 67 Prawa bankowego), dostawców usług udostępniania informacji skonsolidowanych (art. 3 pkt 21a ustawy o obrocie).

To stosunkowo wąska lista. Z punktu widzenia praktyki rynkowej instytucje płatnicze (KIP, MIP, BUP), dostawcy usług dostępu do informacji o rachunku (AISP), instytucje pieniądza elektronicznego, dostawcy usług kryptoaktywów oraz emitenci tokenów (CASP/MiCA) — nie są wprost wymienieni w sektorze bankowości i infrastruktury rynków finansowych. To kontrowersyjny aspekt polskiej implementacji NIS2, do którego wracamy w dalszej części tekstu.

Co dokładnie wyłącza art. 8i ust. 1 KSC

Art. 8i ust. 1 KSC ma konstrukcję wyłączeniową: do podmiotów kluczowych lub ważnych z sektora bankowości i infrastruktury rynków finansowych nie stosuje się przepisów ustawy dotyczących systemu zarządzania bezpieczeństwem informacji lub zgłaszania poważnych incydentów, z wyjątkiem wymienionych w nim przepisów.

Lista przepisów utrzymujących moc dla sektora bankowości i infrastruktury rynków finansowych — art. 8i ust. 1 KSC — obejmuje:

  • art. 3a (działania podmiotu KSC w ramach obsługi incydentów);
  • art. 5 ust. 1–3 (klasyfikacja podmiotu kluczowego/ważnego);
  • art. 7–7m (rejestracja w wykazie i powiązane);
  • art. 8 ust. 1 pkt 1 (systematyczne szacowanie ryzyka) i art. 8 ust. 1 pkt 2 lit. j (cyberhigiena — bardzo ważne!);
  • art. 8h (wymiana informacji o cyberzagrożeniach);
  • art. 9 (osoby kontaktowe i informowanie użytkowników);
  • art. 11 ust. 1 pkt 5 i 6 (współdziałanie z CSIRT, usuwanie podatności);
  • art. 13 (dobrowolne przekazywanie informacji do CSIRT);
  • art. 16 (terminy);
  • art. 26a ust. 2–4 (zgłoszenie podatności);
  • art. 32 (analiza zagrożeń i koordynacja obsługi);
  • art. 33 ust. 5, 7 i 8 (rekomendacje i sankcje za ich nieuwzględnienie);
  • art. 36a, 36b (ocena bezpieczeństwa systemów informacyjnych);
  • art. 37 (udostępnianie informacji o podatnościach);
  • art. 43 (przekazywanie informacji na żądanie organu);
  • art. 45 ust. 3 (zadania ministra);
  • art. 46 ust. 1 pkt 1, 2, 4–7 i ust. 4–6 (system S46);
  • art. 67a, 67c, 67d (dostawca wysokiego ryzyka);
  • art. 67g–67i (polecenie zabezpieczające).

Art. 8i ust. 2 KSC dodaje, że do tego sektora stosuje się odpowiednio także art. 8c–8f (odpowiedzialność i obowiązki kierownika, szkolenia, KRK), art. 12 ust. 7 (uzupełnianie zgłoszeń) oraz art. 31 ust. 1 (sposób dokonywania zgłoszeń).

Co znika z KSC dla sektora bankowości i infrastruktury rynków finansowych

Z perspektywy operacyjnej najważniejsze jest to, czego art. 8i ust. 1 KSC nie wymienia w katalogu wyjątków — czyli te przepisy KSC, które dla sektora bankowości i infrastruktury rynków finansowych przestają obowiązywać:

  • art. 8 ust. 1 pkt 2 lit. a–i, k–n (13 z 14 obszarów technicznych systemu zarządzania bezpieczeństwem) — pokryte przez DORA art. 6–14 i ramy zarządzania ryzykiem;
  • art. 8 ust. 1 pkt 3, 4 i 5 (zbieranie informacji o cyberzagrożeniach, zarządzanie incydentami, środki zapobiegające);
  • art. 10 (dokumentacja systemu zarządzania bezpieczeństwem) — zastępuje DORA art. 6, art. 9 i framework dokumentacyjny;
  • art. 11 ust. 1 pkt 1–4c (obsługa, klasyfikacja i zgłaszanie incydentów) — zastępuje DORA art. 17–20;
  • art. 12, 12a, 12b (treść zgłoszeń i sprawozdań) — zastępuje DORA;
  • art. 14 (struktury cybersec) — pokrywa DORA art. 6 ust. 4 (funkcja zarządzania ryzykiem ICT);
  • art. 15 (audyt co 3 lata) — zastępuje DORA art. 24–27 (program testowania operacyjnej odporności cyfrowej, w tym TLPT z art. 26).

Innymi słowy — sercem operacyjnym KSC (system z art. 8, dokumentacja z art. 10, raportowanie incydentów z art. 11, audyt z art. 15) dla sektora bankowości i infrastruktury rynków finansowych jest DORA, nie KSC. Z KSC pozostają obowiązki administracyjne i nadzorcze (rejestracja, kierownik, szkolenia, KRK, cyberhigiena, S46, polecenie zabezpieczające).

Cyberhigiena — jedyny obszar techniczny art. 8 KSC, który zostaje

Warto specjalnie zwrócić uwagę, że art. 8i ust. 1 KSC zachowuje obowiązek z art. 8 ust. 1 pkt 2 lit. j KSC — podstawowe zasady cyberhigieny. Innymi słowy, nawet podmiot bankowy stosujący w pełni DORA musi przestrzegać podstawowych zasad cyberhigieny zgodnie z polską ustawą KSC.

W praktyce zakres cyberhigieny — choć nie jest wprost zdefiniowany w ustawie — obejmuje:

  • silne hasła i uwierzytelnianie wieloskładnikowe (MFA);
  • regularne aktualizacje oprogramowania i systemów operacyjnych;
  • zarządzanie podatnościami i patch management;
  • ochronę przed malware (antywirus, EDR);
  • zarządzanie kontami i dostępami (least privilege, cykl życia kont);
  • bezpieczne korzystanie z poczty elektronicznej (SPF, DKIM, DMARC, filtrowanie załączników);
  • politykę czystego biurka i blokowania stacji roboczych;
  • regularne kampanie awareness (np. symulacje phishingowe);
  • backup i testowanie procedur odtworzenia;
  • zarządzanie urządzeniami przenośnymi.

Większość tych elementów jest jednocześnie wymagana przez DORA (w szczególności art. 9 — bezpieczeństwo) i przez normy techniczne (np. ISO 27001), więc dla podmiotu finansowego, który w pełni wdrożył DORA, zachowanie zgodności z art. 8 ust. 1 pkt 2 lit. j KSC nie powinno wymagać dodatkowej pracy.

Co zostaje z KSC dla sektora bankowości i infrastruktury rynków finansowych — pełna lista

Po zastosowaniu wyłączeń z art. 8i ust. 1 KSC oraz włączeń z art. 8i ust. 2 i 3 KSC, dla sektora bankowości i infrastruktury rynków finansowych pozostaje następujący zestaw obowiązków stricte z KSC:

Klasyfikacja i rejestracja:

Odpowiedzialność i kompetencje kierownika:

  • art. 8c — osobista odpowiedzialność kierownika;
  • art. 8d — pięć zadań kierownika;
  • art. 8e — coroczne, udokumentowane szkolenie;
  • art. 8f — wymóg niekaralności (KRK) personelu cybersec.

Cyberhigiena i szacowanie ryzyka:

  • art. 8 ust. 1 pkt 1 — systematyczne szacowanie ryzyka;
  • art. 8 ust. 1 pkt 2 lit. j — podstawowe zasady cyberhigieny.

Komunikacja i informacja:

  • art. 8h — wymiana informacji o cyberzagrożeniach (między podmiotami i z CSIRT);
  • art. 9 — osoby kontaktowe (minimum 2), informowanie użytkowników, korzystanie z S46;
  • art. 11 ust. 1 pkt 5 i 6 — współdziałanie z CSIRT, usuwanie podatności;
  • art. 13 — dobrowolne przekazywanie informacji do CSIRT;
  • art. 26a ust. 2–4 — zgłoszenie podatności;
  • art. 37 — udostępnianie informacji o podatnościach.

Dostawcy wysokiego ryzyka i polecenie zabezpieczające:

  • art. 67a, 67c, 67d — dostawca wysokiego ryzyka;
  • art. 67g–67i — polecenie zabezpieczające ministra przy incydencie krytycznym.

Komunikacja z organem:

  • art. 31 ust. 1 — sposób dokonywania zgłoszeń;
  • art. 33 ust. 5, 7, 8 — rekomendacje Pełnomocnika i sankcje za ich nieuwzględnienie;
  • art. 36a, 36b — ocena bezpieczeństwa systemów przez CSIRT;
  • art. 43 — przekazywanie informacji na żądanie organu;
  • art. 46 ust. 1 pkt 1, 2, 4–7 i ust. 4–6 — system S46.

Nadzór i kary:

  • art. 8i ust. 3 KSC stanowi, że do podmiotów z sektora bankowości i infrastruktury rynków finansowych stosuje się przepisy rozdziałów 11 i 14 ustawy (czyli o nadzorze i karach) w zakresie wskazanym w art. 8i ust. 1 oraz odpowiednich z art. 8c–8f, art. 12 ust. 7 i art. 31 ust. 1. Innymi słowy — KSC zachowuje pełen reżim nadzorczy w odniesieniu do tego, co dla sektora finansowego pozostało z KSC. Pełna lista sankcji w wpisie o karach i nadzorze KSC.

Pułapka instytucji płatniczej

To jest temat, który wzbudza najwięcej wątpliwości w praktyce. Art. 8i ust. 1 KSC wyłącza obowiązki KSC dla podmiotów „z sektora bankowości i infrastruktury rynków finansowych". Ale ten sektor — zgodnie z załącznikiem nr 1 do ustawy — obejmuje tylko konkretne kategorie podmiotów: instytucje kredytowe, banki, SKOK-i, podmioty prowadzące rynek regulowany, CCP, CDPW, administratorów wskaźników, izby rozliczeniowe.

Instytucja płatnicza (KIP, MIP, BUP) — w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych — nie jest wprost wymieniona w sektorze bankowości i infrastruktury rynków finansowych. Jest natomiast jednoznacznie wymieniona w art. 2 ust. 1 lit. b rozporządzenia 2022/2554 (DORA) jako podmiot finansowy objęty DORA.

Konsekwencja prawna: z literalnego brzmienia art. 8i ust. 1 KSC wynika, że wyłączenie nie ma zastosowania do instytucji płatniczej — bo IP nie jest w katalogu sektora bankowości i infrastruktury rynków finansowych z załącznika nr 1. Tym samym — przy literalnym czytaniu — instytucja płatnicza, która spełnia przesłanki uznania za podmiot kluczowy lub ważny w innym sektorze (np. zarządzanie usługami ICT, jeżeli prowadzi własną infrastrukturę), podlegałaby pełnemu KSC plus pełnej DORA.

To z kolei stoi w sprzeczności z duchem art. 4 dyrektywy NIS2, który przewiduje wyłączenie dla wszystkich podmiotów objętych DORA (art. 4 ust. 4 NIS2). Naszym zdaniem polska implementacja w tym zakresie jest niespójna z prawem UE — a sytuacja IP wymaga odrębnego stanowiska organu właściwego (KNF) lub pilnej interwencji ustawodawcy.

Do czasu rozstrzygnięcia tej kwestii w drodze stanowiska KNF, interpretacji ministra właściwego ds. informatyzacji lub orzecznictwa, rekomendujemy ostrożne podejście:

  • dla instytucji płatniczych spełniających przesłanki podmiotu kluczowego/ważnego w sektorze ICT — przyjmować, że KSC stosuje się w pełni (analogicznie do dostawców IT). DORA wówczas nakłada się jako akt równolegle obowiązujący dla obszarów ryzyka ICT;
  • dla instytucji płatniczych nieobjętych KSC z innego tytułu — DORA jest jedynym reżimem.

W każdym razie zarząd IP powinien świadomie podjąć decyzję klasyfikacyjną i udokumentować ją w protokole posiedzenia, wraz z uzasadnieniem prawnym.

Podwójny nadzór — KNF jako organ KSC i DORA

Art. 2 pkt 14a KSC wprowadza definicję „właściwego organu w rozumieniu rozporządzenia 2022/2554" — czyli Komisji Nadzoru Finansowego w zakresie nadzoru przewidzianego DORA. KNF pełni więc dla sektora finansowego dwie role:

  • organ właściwy do spraw cyberbezpieczeństwa w rozumieniu KSC — w zakresie obowiązków, które dla sektora bankowości i infrastruktury rynków finansowych zostają w KSC (klasyfikacja, rejestracja, kierownik, cyberhigiena itd.);
  • właściwy organ DORA — w zakresie operacyjnej odporności cyfrowej (art. 5–44 DORA).

Konsekwencja praktyczna: dla podmiotu finansowego objętego oboma reżimami KNF może prowadzić postępowania nadzorcze równolegle z dwóch podstaw prawnych, a w przypadku poważnych naruszeń może też nakładać kary z dwóch ścieżek — z KSC (art. 73, 73a) i z DORA (art. 50–56 DORA). To istotnie zwiększa ekspozycję regulacyjną sektora finansowego.

Z naszego doświadczenia podmioty, które prowadzą porządne mapowanie obowiązków KSC vs DORA i traktują KNF jako jednolitego rozmówcę dla obu reżimów, znacznie sprawniej obsługują kontrole i postępowania nadzorcze. Te, które rozdzielają „compliance KSC" od „compliance DORA" na różnych zespołach, narażają się na rozbieżności w komunikacji z organem.

Mapowanie 14 obszarów art. 8 KSC na DORA

Dla sektora finansowego praktyczne narzędzie planowania to mapa zgodności art. 8 ust. 1 pkt 2 lit. a–n KSC z odpowiednimi przepisami DORA art. 5–14:

Obszar art. 8 KSCOdpowiednik DORA
(a) polityki ryzyka i bezpieczeństwa SIart. 6 (framework zarządzania ryzykiem ICT)
(b) bezpieczeństwo cyklu życia SIart. 8 (identyfikacja), art. 9 (ochrona)
(c) bezpieczeństwo fizyczneart. 9 ust. 2
(d) bezpieczeństwo zasobów ludzkichart. 5 ust. 4, art. 13 ust. 6 (oraz art. 8f KSC nadal obowiązuje)
(e) łańcuch dostaw ICTart. 28–30 (kluczowe!)
(f) plany ciągłości działaniaart. 11 (BCP), art. 12 (backup)
(g) monitorowanie ciągłeart. 10 (detekcja)
(h) ocena skutecznościart. 24–27 (testowanie)
(i) edukacja personeluart. 13 ust. 6 (oraz art. 8e KSC nadal obowiązuje)
(j) cyberhigienaart. 9, art. 13 — NADAL OBOWIĄZUJE Z KSC
(k) kryptografiaart. 9 ust. 4 lit. d
(l) bezpieczna komunikacjaart. 14
(m) zarządzanie aktywamiart. 8
(n) kontrola dostępuart. 9 ust. 4 lit. c

Wniosek: DORA pokrywa wszystkie 14 obszarów art. 8 KSC, ale w bardziej szczegółowy sposób — z wymaganiami doprecyzowanymi w szeregu RTS (regulatory technical standards) wydawanych przez Europejski System Nadzoru Finansowego.

Jak możemy Ci pomóc?

Mapowanie obowiązków KSC i DORA dla podmiotu finansowego to jeden z najbardziej złożonych projektów regulacyjnych roku 2026 — zarówno z uwagi na liczbę przepisów, jak i na praktyczne wątpliwości interpretacyjne (przede wszystkim status instytucji płatniczych). W Legal Geek wspieramy banki, instytucje płatnicze, instytucje pieniądza elektronicznego oraz dostawców usług kryptoaktywów w opracowaniu spójnej mapy zgodności KSC + DORA, projektowaniu struktur governance pod oba reżimy oraz w komunikacji z KNF jako właściwym organem dla obu podstaw prawnych. Jeżeli stoisz przed wdrożeniem KSC + DORA i potrzebujesz przewodnika po ich relacji — napisz do nas.

W ostatnim wpisie cyklu omawiamy nadzór i kary z KSC — art. 53, art. 53d (urzędnik monitorujący), art. 73 (kary do 100 mln zł) i art. 73a (kary dla kierownika do 300% wynagrodzenia).

Co dalej w cyklu?