Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) to jedna z najważniejszych zmian prawnych w obszarze bezpieczeństwa cyfrowego w Polsce w ostatnich latach. Nowe przepisy wdrażają europejską dyrektywę NIS2, znacząco rozszerzają katalog podmiotów objętych systemem oraz nakładają nowe obowiązki na przedsiębiorców i instytucje publiczne.
W lutym 2026 roku nowelizacja została podpisana przez Prezydenta RP, jednak jednocześnie skierowana do Trybunału Konstytucyjnego w trybie kontroli następczej. Oznacza to, że przepisy mogą wejść w życie, ale ich zgodność z Konstytucją będzie dodatkowo analizowana przez TK.
Poniżej wyjaśniamy najważniejsze zmiany, obowiązki dla przedsiębiorców oraz aktualny status ustawy.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa - najważniejsze daty i status po podpisie prezydenta
Proces legislacyjny nowelizacji ustawy o KSC trwał kilka lat i był jednym z najdłużej procedowanych projektów w obszarze cyberbezpieczeństwa w Polsce. Jego celem jest przede wszystkim implementacja unijnej dyrektywy NIS2, która wzmacnia odporność państw członkowskich na cyberzagrożenia.
Najważniejsze daty:
- 23 stycznia 2026 r. – uchwalenie nowelizacji przez Sejm
- 28 stycznia 2026 r. – przyjęcie ustawy przez Senat
- luty 2026 r. – podpisanie ustawy przez Prezydenta RP
- luty 2026 r. – skierowanie ustawy do Trybunału Konstytucyjnego w trybie kontroli następczej
- 14 dni po publikacji w Dzienniku Ustaw – wejście ustawy w życie
Po podpisaniu ustawy większość przepisów zacznie obowiązywać po krótkim vacatio legis, natomiast przedsiębiorcy otrzymają określone okresy przejściowe na wdrożenie nowych obowiązków.
Kluczowe terminy dla organizacji objętych regulacją:
- 6 miesięcy – zgłoszenie do wykazu podmiotów kluczowych lub ważnych
- 12 miesięcy – wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa
- 24 miesiące – przeprowadzenie pierwszego audytu bezpieczeństwa
- 2 lata od wejścia w życie ustawy – możliwość nakładania kar finansowych
Czym jest Krajowy System Cyberbezpieczeństwa?
Krajowy System Cyberbezpieczeństwa (KSC) to system organizacyjno-prawny, którego celem jest zapewnienie bezpieczeństwa usług cyfrowych oraz infrastruktury krytycznej w Polsce.
Kogo obejmuje:
- administrację publiczną,
- operatorów usług kluczowych,
- dostawców usług cyfrowych,
- podmioty odpowiedzialne za reagowanie na incydenty cyberbezpieczeństwa.
Głównym zadaniem systemu jest zapobieganie, wykrywanie oraz reagowanie na incydenty bezpieczeństwa w sieci i systemach informatycznych. W ramach KSC działają m.in. zespoły reagowania na incydenty (CSIRT), które monitorują zagrożenia i koordynują reakcję państwa na cyberataki.
Nowelizacja ustawy znacząco wzmacnia ten system, zwiększając kompetencje organów państwowych oraz rozszerzając katalog podmiotów objętych regulacją.
Podmioty kluczowe i ważne – nowy podział w KSC
Nowelizacja ustawy wprowadza podział organizacji objętych regulacją na dwie główne kategorie:
Podmioty kluczowe
To organizacje o strategicznym znaczeniu dla funkcjonowania państwa i gospodarki, np.:
- energetyka,
- transport,
- bankowość,
- infrastruktura cyfrowa,
- administracja publiczna.
Podlegają one najbardziej rygorystycznym wymogom bezpieczeństwa.
Podmioty ważne
To przedsiębiorstwa działające w sektorach istotnych dla gospodarki, ale o nieco mniejszym znaczeniu strategicznym.
Obowiązki są podobne, jednak nadzór nad nimi jest nieco mniej restrykcyjny.
Rozszerzenie katalogu podmiotów KSC – nowe sektory gospodarki
Jedną z najważniejszych zmian w nowelizacji ustawy o KSC jest rozszerzenie katalogu podmiotów objętych systemem cyberbezpieczeństwa.
Nowe przepisy obejmą dodatkowo m.in.:
- sektor gospodarki wodnej i ściekowej,
- produkcję i dystrybucję żywności,
- przemysł chemiczny,
- usługi pocztowe i kurierskie,
- zarządzanie infrastrukturą ICT,
- centra danych,
- usługi zarządzania IT.
Oznacza to, że tysiące nowych przedsiębiorstw zostanie objętych obowiązkami wynikającymi z ustawy o krajowym systemie cyberbezpieczeństwa.
Wzmocnienie organów odpowiedzialnych za cyberbezpieczeństwo
Nowelizacja ustawy wzmacnia także instytucje państwowe odpowiedzialne za bezpieczeństwo cyfrowe.
Najważniejsze zmiany obejmują:
- zwiększenie kompetencji zespołów CSIRT poziomu krajowego,
- możliwość tworzenia sektorowych zespołów CSIRT,
- rozszerzenie uprawnień organów nadzorczych,
- lepszą koordynację reagowania na incydenty cyberbezpieczeństwa.
Dzięki temu państwo ma szybciej identyfikować cyberzagrożenia oraz skuteczniej reagować na ataki wymierzone w infrastrukturę krytyczną.
Nowe obowiązki dla przedsiębiorców
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nakłada na przedsiębiorców wiele nowych obowiązków organizacyjnych i technicznych.
Najważniejsze wymagania obejmują:
- zarządzanie ryzykiem,
- zarządzanie aktywami IT,
- kontrolę dostępu do systemów,
- reagowanie na incydenty,
- zapewnienie ciągłości działania,
- zarządzanie podatnościami,
- zarządzanie dostawcami,
- nadzór nad systemami IT i OT.
Ustawa ma charakter procesowy, co oznacza, że nie narzuca konkretnych technologii, ale wymaga wdrożenia określonych zdolności operacyjnych.
W praktyce oznacza to, że organizacje będą musiały rozwijać systemy wspierające zarządzanie IT, takie jak m.in.:
- ITAM (IT Asset Management)
- ITSM (IT Service Management)
- SAM (Software Asset Management)
- IAM (Identity and Access Management)
Te narzędzia staną się fundamentem spełnienia wymogów regulacyjnych.
Procedura uznania dostawcy za dostawcę wysokiego ryzyka
Nowelizacja ustawy wprowadza również procedurę uznania danego podmiotu za dostawcę wysokiego ryzyka.
Procedura ta może dotyczyć dostawców:
- sprzętu telekomunikacyjnego,
- oprogramowania,
- infrastruktury sieciowej.
W przypadku uznania dostawcy za podmiot wysokiego ryzyka możliwe będzie ograniczenie lub wykluczenie jego produktów z infrastruktury krytycznej państwa.
Aktualne kary w ustawie o krajowym systemie cyberbezpieczeństwa
Nowe przepisy przewidują wysokie kary finansowe za naruszenie obowiązków cyberbezpieczeństwa.
Maksymalne sankcje wynoszą:
- do 10 mln euro lub 2% rocznego obrotu – dla podmiotów kluczowych
- do 7 mln euro lub 1,4% obrotu – dla podmiotów ważnych
- odpowiedzialność finansowa dla członków zarządu organizacji
Warto podkreślić, że kary będą mogły być nakładane dopiero po dwóch latach od wejścia w życie ustawy, co daje organizacjom czas na przygotowanie się do nowych regulacji.
Ustawa o KSC nie narzuca narzędzi – wymaga zdolności operacyjnych
Istotną cechą nowelizacji ustawy jest to, że nie narzuca konkretnych technologii ani systemów informatycznych. Regulacja określa natomiast zestaw procesów i zdolności operacyjnych, które organizacja musi posiadać.
Oznacza to, że przedsiębiorstwa powinny:
W obszarze ITAM (IT Asset Management)
- Identyfikować aktywa
- Klasyfikować aktywa
- Mapować systemy krytyczne
- Posiadać wiedzę o zależnościach
- Zarządzać ryzykiem aktywów
W obszarze IDM / IAM (Identity Management)
- kontrolować dostępy
- zarządzać tożsamością
- minimalizować uprawnienia
- audytować dostęp
- uwierzytelniać
- separować obowiązki
- używać MFA
W obszarze ITSM (IT Service Management)
- zarządzać incydentami
- raportować incydenty
- zarządzać zmianą
- zapewniać ciągłość działania
- zarządzać problemami
- reagować na incydenty
W obszarze SAM (Software Asset Management)
- zarządzać podatnościami
- dokonywać aktualizacji
- kontrolować komponenty
- kontrolować licencje
- SBOM awareness
- pilnować bezpieczeństwa łańcucha dostaw
W praktyce oznacza to przejście z podejścia formalnego (procedury na papierze) do realnego zarządzania bezpieczeństwem cyfrowym w organizacji.
Podsumowanie
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to jedna z najważniejszych regulacji dla firm działających w Polsce. Wprowadza ona nowe obowiązki w zakresie zarządzania cyberbezpieczeństwem, rozszerza katalog podmiotów objętych systemem oraz wzmacnia instytucje odpowiedzialne za bezpieczeństwo cyfrowe państwa.
Dla przedsiębiorstw oznacza to konieczność wdrożenia procesów zarządzania bezpieczeństwem IT, a w wielu przypadkach również inwestycje w nowe narzędzia i kompetencje.
