Ustawa o krajowym systemie cyberbezpieczeństwa po 3 kwietnia 2026 r. — co naprawdę się zmieniło

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j., z uwzględnieniem zmian wprowadzonych ustawą z 23 stycznia 2026 r., Dz.U. 2026 poz. 252). To moment, w którym w polskim porządku prawnym zaczyna realnie obowiązywać dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2). Termin transpozycji minął 17 października 2024 r. — Polska wdrożyła ją z opóźnieniem, więc cały rynek dostaje regulację, która powinna już dawno działać. W tym pierwszym wpisie z naszego cyklu o NIS2 i KSC porządkujemy mapę: kto jest objęty, jakie są terminy, jakie są kary, i co dokładnie zmienia ta nowelizacja.

Trzy regulacje, jeden cel — ale różne mechaniki

W polskim systemie cyberbezpieczeństwa współistnieją obecnie trzy kluczowe akty prawne, których zakresy się przenikają:

• Dyrektywa NIS2 — dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Jako dyrektywa wymaga transpozycji do prawa krajowego — i to właśnie zrobiła znowelizowana ustawa o KSC.
• Ustawa o KSC — ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j.) ze zmianą z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252). Polski akt, w którym znajdują się konkretne obowiązki dla podmiotów kluczowych i ważnych.
• Rozporządzenie DORA — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego. Obowiązuje bezpośrednio (od 17 stycznia 2025 r.), bez konieczności transpozycji, w sektorze finansowym.

W skrócie można powiedzieć tak: NIS2 wyznacza minimum unijne, KSC dodaje polską warstwę administracyjną, a DORA wprowadza sektorowy, bardziej szczegółowy reżim dla finansów. Z naszego doświadczenia podmiot z sektora płatniczego, ubezpieczeń czy kryptoaktywów musi rozumieć wszystkie trzy reżimy i wiedzieć, który z nich w danym aspekcie wygrywa. To jest temat, do którego wracamy w odrębnym wpisie z naszego cyklu o art. 8i KSC i lex specialis dla sektora bankowości i infrastruktury rynków finansowych.

Kogo obejmuje ustawa o KSC po nowelizacji?

To pytanie ma dwie odpowiedzi: jedną sektorową (przez załączniki), drugą podmiotową (przez progi wielkości).

Zgodnie z art. 4 ustawy krajowy system cyberbezpieczeństwa obejmuje m.in. podmioty kluczowe, podmioty ważne, CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowe, organy właściwe do spraw cyberbezpieczeństwa, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do Spraw Cyberbezpieczeństwa. Sercem systemu są jednak dwie kategorie podmiotów rynkowych: podmioty kluczowe i podmioty ważne, zdefiniowane w art. 5 ustawy.

Art. 5 ust. 1 ustawy wskazuje, że podmiotem kluczowym jest m.in. osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 do ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w rozporządzeniu Komisji (UE) nr 651/2014, a także — niezależnie od wielkości — m.in. dostawca usług DNS, kwalifikowany dostawca usług zaufania, podmiot krytyczny, rejestr nazw domen najwyższego poziomu (TLD), podmiot świadczący usługi rejestracji nazw domen, podmiot publiczny wskazany w załączniku nr 1 oraz operator obiektu energetyki jądrowej.

Podmiotem ważnym — zgodnie z art. 5 ust. 2 — jest m.in. podmiot z załącznika nr 1, który spełnia wymogi dla średniego przedsiębiorcy (i nie jest kluczowym), podmiot z załącznika nr 2 spełniający lub przewyższający te wymogi (a niebędący kluczowym), niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą, czy przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą.

Co ważne — dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP, art. 5 ust. 1 pkt 3) podlega ustawie już od progu małego przedsiębiorcy (czyli od ok. 10 zatrudnionych osób i 2 mln EUR obrotu). To istotnie niższy próg niż ogólna zasada NIS2 (średni przedsiębiorca, czyli ok. 50 osób i 10 mln EUR). Każdy mniejszy MSSP, który dotąd uważał, że temat cyberbezpieczeństwa go nie dotyczy, powinien tę kwestię przeanalizować — szczegółowo wracamy do niej w wpisie o klasyfikacji podmiotu kluczowego i ważnego.

Kalendarz wdrożenia — terminy, których nie wolno przegapić

Nowelizacja KSC wprowadziła konkretną oś czasu, w której podmioty muszą zrealizować swoje obowiązki. Punktem startu jest 3 kwietnia 2026 r. — dzień wejścia w życie ustawy.

Zgodnie z art. 16 ustawy:

• 12 miesięcy — termin na realizację obowiązków rozdziału 3 (system zarządzania bezpieczeństwem informacji, dokumentacja, raportowanie incydentów, struktury wewnętrzne) od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny;
• 24 miesiące — termin na przeprowadzenie pierwszego audytu bezpieczeństwa systemu informacyjnego dla podmiotów kluczowych (art. 15 ust. 1 KSC).

Dla podmiotów istniejących w dniu wejścia w życie ustawy oba terminy liczy się od 3 kwietnia 2026 r. — czyli 3 kwietnia 2027 r. to deadline na pełne wdrożenie systemu bezpieczeństwa, a 3 kwietnia 2028 r. to ostateczny termin na pierwszy audyt. Do tego dochodzi termin z art. 7c ust. 1 — 6 miesięcy na złożenie wniosku o wpis do wykazu od dnia spełnienia przesłanek (czyli dla istniejących podmiotów: do około października 2026 r.).

Trzy daty, które warto zapisać w kalendarzu zarządu, ujmujemy w tabeli:

Z naszego doświadczenia przy poprzednich dużych zmianach regulacyjnych (RODO, AML, MiCA, DORA) terminy te wydają się odległe, ale realna praca przy mapowaniu procesów, doborze dostawców, dokumentacji i szkoleniach zajmuje nawet kilkanaście miesięcy. Rekomendujemy, aby formalna decyzja zarządu o uruchomieniu projektu wdrożeniowego zapadła nie później niż w III kwartale 2026 r.

Co realnie zmieniła nowelizacja z 23 stycznia 2026 r.?

Z perspektywy biznesu kluczowych jest pięć zmian:

1. Rozszerzenie zakresu podmiotowego. Zamiast wąskiej kategorii „operatorów usług kluczowych" i „dostawców usług cyfrowych" znanej z poprzedniej wersji ustawy, mamy dwa nowe pojęcia — podmiot kluczowy i podmiot ważny — i istotnie szersze sektory wymienione w załączniku nr 1 i nr 2. Załącznik nr 1 obejmuje m.in. energetykę, transport, bankowość i infrastrukturę rynków finansowych, zdrowie, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT i ICT Security, administrację publiczną oraz przestrzeń kosmiczną. Załącznik nr 2 dokłada m.in. pocztę i usługi kurierskie, gospodarkę odpadami, chemię, produkcję żywności, dostawców usług cyfrowych i działalność badawczą.

2. Nowe obowiązki kierownika. Art. 8c ustawy wprowadza wprost zasadę, że kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa — i to odpowiedzialność, której nie da się delegować. Art. 8d wymienia pięć konkretnych zadań kierownika, art. 8e wprowadza obowiązek corocznego, udokumentowanego szkolenia. Tematowi temu poświęcamy odrębny wpis o art. 8c–8e.

3. System zarządzania bezpieczeństwem — 14 obszarów. Art. 8 ust. 1 pkt 2 wymienia 14 obszarów (lit. a–n), które każdy podmiot kluczowy lub ważny musi wdrożyć w ramach systemu zarządzania bezpieczeństwem informacji. Od polityk szacowania ryzyka, przez bezpieczeństwo łańcucha dostaw, plany ciągłości działania, monitoring w trybie ciągłym, kryptografię, aż po podstawowe zasady cyberhigieny i polityki kontroli dostępu.

4. Surowe terminy raportowania incydentów. Art. 11 ust. 1 ustawy wymaga zgłoszenia wczesnego ostrzeżenia w ciągu 24 godzin od momentu wykrycia incydentu poważnego, pełnego zgłoszenia w ciągu 72 godzin, a sprawozdania końcowego w ciągu miesiąca od dnia zgłoszenia. Te terminy są tożsame z terminami DORA i NIS2 — i są bardzo krótkie. To temat, do którego wracamy w wpisie o procedurach incydentowych.

5. Wysokie kary — także osobiste. Art. 73 ust. 3 KSC wprowadza karę do 10 000 000 EUR lub 2% przychodów dla podmiotu kluczowego (w zależności od tego, która kwota jest wyższa, nie niższą jednak niż 20 000 zł), a art. 73 ust. 4 — do 7 000 000 EUR lub 1,4% przychodów (nie mniej niż 15 000 zł) dla podmiotu ważnego. Art. 73 ust. 5 dopuszcza karę nawet do 100 000 000 zł w razie naruszeń powodujących bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa lub zdrowia ludzi. Art. 73a ust. 4 dopuszcza karę dla kierownika prywatnego podmiotu w wysokości do 300% wynagrodzenia obliczanego jak ekwiwalent za urlop. To realna zmiana modelu odpowiedzialności — i temat odrębnego wpisu w naszym cyklu.

Trzy główne organy w polskim systemie KSC

Organizacja krajowego systemu cyberbezpieczeństwa po nowelizacji opiera się na trzech filarach instytucjonalnych:

• Organy właściwe do spraw cyberbezpieczeństwa (art. 41 KSC) — różni ministrowie i urzędy w zależności od sektora. Dla bankowości i infrastruktury rynków finansowych — Komisja Nadzoru Finansowego (KNF), dla zarządzania usługami ICT — minister właściwy do spraw informatyzacji (Minister Cyfryzacji), dla energii — Prezes URE, dla zdrowia — Minister Zdrowia. To one prowadzą nadzór, nakładają kary i mogą stosować środki nadzorcze przewidziane w art. 53 KSC (od ostrzeżenia, przez nakaz, aż po wstrzymanie działalności podmiotu kluczowego — art. 53 ust. 9).
• Zespoły CSIRT — CSIRT NASK (krajowy, prowadzony przez Naukową i Akademicką Sieć Komputerową), CSIRT MON (prowadzony przez Ministra Obrony Narodowej), CSIRT GOV (prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego), CSIRT sektorowe (np. CSIRT KNF dla finansów). To do nich raportujesz incydenty poważne (art. 11) i z nimi współpracujesz w trakcie obsługi incydentu krytycznego.
• Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do Spraw Cyberbezpieczeństwa — organy doradczo-koordynacyjne na szczeblu rządowym, które m.in. opiniują postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka (art. 67a–67e KSC).

Wpis do wykazu podmiotów kluczowych i ważnych prowadzi minister właściwy do spraw informatyzacji — i to z nim, a także z organem właściwym dla danego sektora, podmiot komunikuje się przez system teleinformatyczny S46, o którym mowa w art. 46 ust. 1 KSC.

Najważniejsze działania do podjęcia na starcie

Dla podmiotów, które dopiero zaczynają układać sobie temat KSC, sprawdza się następująca sekwencja na pierwsze 4–6 tygodni:

• Decyzja klasyfikacyjna zarządu — czy jesteśmy podmiotem kluczowym, ważnym czy w ogóle nie objętym ustawą? Trzeba przeanalizować załączniki nr 1 i 2 oraz progi wielkościowe z rozporządzenia 651/2014/UE. W razie wątpliwości — wpisać podmiot z ostrożności, bo art. 7j pozwala organowi wpisać podmiot z urzędu, a obowiązki ciążą od dnia spełnienia przesłanek z art. 5, a nie od dnia wpisu.
• Wyznaczenie odpowiedzialnych — kto w organizacji jest „kierownikiem podmiotu kluczowego lub ważnego" w rozumieniu art. 2 pkt 8a KSC (zwykle: cały zarząd), kto jest osobą delegowaną do spraw cyberbezpieczeństwa, kto będzie wśród minimum dwóch osób kontaktowych z art. 9 ust. 1 pkt 1.
• Kick-off projektu wdrożeniowego — formalna decyzja zarządu o uruchomieniu projektu, budżet, harmonogram, kamienie milowe (rejestracja → wdrożenie → audyt).
• Przegląd dokumentacji ICT — czy mamy aktualną inwentaryzację aktywów, czy mamy politykę bezpieczeństwa, plan ciągłości działania, procedurę zarządzania incydentami. Każdy z tych dokumentów będzie dowodem dla organu nadzorczego, że system z art. 8 KSC istnieje, a nie tylko jest na papierze.

Z naszego doświadczenia firmy, które zaczynają od tych czterech kroków, znacznie łatwiej wchodzą w fazę pełnego wdrożenia w ciągu 12 miesięcy. Te, które zostawiają temat „na później", często wpadają w sytuację, w której organ wykrywa nieprawidłowości po incydencie — a wtedy sankcje administracyjne i nadzorcze nakładają się na koszty samego incydentu.

Tekst jako wprowadzenie do cyklu

Ten wpis otwiera nasz cykl o NIS2 i KSC. W kolejnych tekstach krok po kroku omawiamy poszczególne obszary regulacji:

• klasyfikację podmiotu kluczowego i ważnego (art. 5, 5a KSC);
• procedurę samorejestracji w wykazie (art. 7c–7m);
• osobistą odpowiedzialność kierownika podmiotu (art. 8c–8f);
• system zarządzania bezpieczeństwem informacji — 14 obszarów (art. 8);
• procedurę zgłaszania incydentów poważnych (art. 11–12b);
• audyt bezpieczeństwa (art. 15);
• relację KSC do DORA (art. 8i);
• kary i nadzór organów (art. 53, 73, 73a).

Każdy z tych tekstów stoi sam, ale razem dają obraz tego, jak realnie wdrożyć obowiązki KSC w 12-miesięcznym oknie wynikającym z art. 16 ustawy.

W Legal Geek wspieramy podmioty z sektora finansowego, IT i e-commerce w przygotowaniu się do nowych obowiązków KSC i DORA — od analizy klasyfikacji, przez projekt wdrożeniowy, dokumentację systemu zarządzania bezpieczeństwem, aż po szkolenie zarządu z art. 8e. Jeżeli chcesz porozmawiać o tym, jak ułożyć ten projekt w Twojej organizacji — napisz do nas.

Co dalej w cyklu?

• Podmiot kluczowy czy ważny? Klasyfikacja w art. 5 KSC
• Samorejestracja w wykazie podmiotów (art. 7c)
• 14 obszarów art. 8 KSC w praktyce
• Zgłaszanie incydentów: 24h, 72h, 1 miesiąc
• Kary i nadzór w KSC — od 20 tys. zł po 100 mln zł