Nowelizacja KSC wchodzi w życie 3 kwietnia. Oto wszystko, co musisz wiedzieć, zanim będzie za późno
Po siedmiu latach prac legislacyjnych, niezliczonych wersjach projektu i ponad 400 dniach opóźnienia względem unijnego terminu — Polska w końcu wdraża dyrektywę NIS2. Prezydent podpisał ustawę w lutym, Dziennik Ustaw opublikował ją 2 marca, a 3 kwietnia 2026 roku nowe przepisy zaczną obowiązywać.
Jeśli prowadzisz firmę w jednym z 18 objętych sektorów, zasiadasz w zarządzie lub odpowiadasz za IT — ten tekst jest dla Ciebie. Nie dlatego, że lubimy straszyć karami. Dlatego, że zegar już tyka, a większość firm wciąż nie wie, czy w ogóle podlega pod nowe przepisy.
O co właściwie chodzi?
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) istnieje od 2018 roku, ale obejmowała stosunkowo wąską grupę — ok. 400 podmiotów. Teraz ten katalog eksploduje. Szacunki mówią o 10 000 firm bezpośrednio objętych regulacją, a licząc łańcuchy dostaw — nawet 30–42 tysiącach.
Zmiana nie polega tylko na dodaniu nowych firm do listy. Cała filozofia się zmienia. Dotychczas to państwo wskazywało, kto jest operatorem usługi kluczowej. Teraz to Ty musisz sam sprawdzić, czy podlegasz pod ustawę — i jeśli tak, zarejestrować się w wykazie. Nikt Ci o tym nie powie. Nikt nie wyśle pisma. A za brak rejestracji grożą kary.
Dwie kategorie: kluczowy i ważny
Nowa ustawa dzieli podmioty na dwie grupy:
Podmioty kluczowe — to duże firmy (powyżej 250 pracowników, obrót powyżej 50 mln EUR) z sektorów o najwyższej krytyczności: energetyka, transport, bankowość, zdrowie, woda, infrastruktura cyfrowa, administracja publiczna czy przestrzeń kosmiczna. Podlegają najostrzejszemu reżimowi — obowiązkowe audyty co 3 lata, pełny nadzór organów, najwyższe kary.
Podmioty ważne — to średnie firmy (powyżej 50 pracowników, obrót powyżej 10 mln EUR) z sektorów kluczowych, a także średnie i duże firmy z sektorów „ważnych": poczta, odpady, chemia, żywność, produkcja przemysłowa, usługi cyfrowe. Obowiązki są podobne, ale nadzór mniej restrykcyjny, a kary nieco niższe.
Ważna uwaga: przy ocenie wielkości przedsiębiorstwa bierze się pod uwagę dane z całej grupy kapitałowej. Nawet jeśli Twoja spółka ma 30 pracowników, ale należy do holdingu zatrudniającego tysiące — możesz podlegać pod ustawę.
18 sektorów pod lupą — pełna lista
Sektory kluczowe (10)
1. Energetyka — elektroenergetyka, gaz, rafinerie, ciepłownie, magazyny energii, wydobycie, energetyka jądrowa, wodór.
2. Transport — kolej, lotnictwo, transport wodny, drogowy, porty, lotniska.
3. Bankowość — banki komercyjne, spółdzielcze, oddziały banków zagranicznych.
4. Infrastruktura rynków finansowych — GPW, izby rozrachunkowe, systemy obrotu finansowego.
5. Ochrona zdrowia — szpitale, producenci i hurtownie leków, laboratoria referencyjne UE.
6. Woda pitna — przedsiębiorstwa wodociągowe.
7. Ścieki (nowy sektor) — oczyszczalnie i systemy kanalizacyjne.
8. Infrastruktura cyfrowa — centra danych, chmura, CDN, DNS, IXP, dostawcy usług zaufania. Nowością jest objęcie regulacją zarówno MSP (Managed Service Providers — firmy zarządzające IT klientów) jak i MSSP (Managed Security Service Providers — firmy zajmujące się bezpieczeństwem). Ich kompromitacja to potencjalny dostęp do dziesiątek klientów naraz — dlatego ustawodawca potraktował je priorytetowo.
9. Administracja publiczna (nowy sektor) — urzędy, samorządy, szkoły, szpitale publiczne, instytuty. Co istotne, obejmuje to wszystkie JST niezależnie od wielkości — nawet mała gmina wiejska musi spełniać wymogi, co jest ogromnym wyzwaniem budżetowym.
10. Przestrzeń kosmiczna (nowy sektor) — naziemna infrastruktura kosmiczna.
Sektory ważne (8)
11. Usługi pocztowe i kurierskie
12. Gospodarowanie odpadami
13. Produkcja i dystrybucja chemikaliów
14. Produkcja i dystrybucja żywności — to ciekawy przypadek. Początkowo producenci żywności mieli trafić do sektorów kluczowych, ale po lobbingu branży zostali przesunięci do ważnych. Nie zmienia to faktu, że duży producent żywności musi teraz myśleć o cyberbezpieczeństwie jak bank — bo cyberatak na system logistyki czy łańcuch chłodniczy to nie „hakowanie masła", lecz realne zagrożenie dla ciągłości dostaw.
15. Produkcja wyrobów — wyroby medyczne, komputery, elektronika, maszyny, pojazdy silnikowe, części kolejowe i lotnicze.
16. Dostawcy usług cyfrowych — marketplace'y, wyszukiwarki, social media.
17. Zarządzanie usługami ICT — dostawcy usług zarządzanych (MSP/MSSP) w sektorze B2B.
18. Badania naukowe — uczelnie i instytucje badawcze w sektorach krytycznych.
Łańcuch dostaw — nawet jeśli nie podlegasz, możesz podlegać
To jeden z najciekawszych (i najbardziej niedocenianych) aspektów nowej ustawy. Podmioty kluczowe i ważne muszą weryfikować cyberbezpieczeństwo swoich dostawców. W praktyce oznacza to, że jeśli jesteś software house'em piszącym systemy dla banku, firmą hostingową obsługującą szpital albo dostawcą ERP dla producenta chemikaliów — Twoi klienci zaczną od Ciebie wymagać spełnienia standardów KSC/NIS2, nawet jeśli Ty sam formalnie pod ustawę nie podpadasz.
Jak ujął to jeden z ekspertów: nawet jeśli regulacja nas nie obejmie wprost, rynek i tak wymusi na nas spełnienie jej zapisów.
Prezes zapłaci z własnej kieszeni — osobista odpowiedzialność zarządu
To zmiana, która budzi najwięcej emocji. Dotychczas cyberbezpieczeństwo było „problemem działu IT". Od teraz jest osobistą odpowiedzialnością prezesa, członka zarządu czy dyrektora.
Mechanizm działa tak:
Kara administracyjna do 600% miesięcznego wynagrodzenia — nakładana bezpośrednio na osobę fizyczną pełniącą funkcję kierowniczą. Przy pensjach zarządów dużych firm to kwoty rzędu setek tysięcy złotych.
Spółka nie może pokryć kary za menedżera — zakaz regresu oznacza, że firma nie wyręczy prezesa premią ani darowiznę. Polisy D&O (ubezpieczenie zarządu) mogą nie zadziałać, jeśli ubezpieczyciel uzna rażące niedbalstwo.
Delegowanie nie chroni — możesz wyznaczyć osobę odpowiedzialną za cyber, ale jeśli coś pójdzie nie tak, odpowiedzialność i tak spada na kierownika podmiotu. Nie da się jej przenieść na inną osobę.
Zakaz pełnienia funkcji — za rażące naruszenia grozi nawet 2-letni zakaz zasiadania w zarządach.
Kierownik musi nie tylko nadzorować cyberbezpieczeństwo, ale też co roku przechodzić szkolenie z tego zakresu. Brak szkolenia? To też podstawa do kary.
Kary — ile to kosztuje
Zestawienie jest przygnębiające:
| ||||||
| Rodzaj kary |
| Podmiot kluczowy |
| Podmiot ważny |
|
|---|---|---|---|---|---|---|
| ||||||
| Maksymalna kara |
| 10 mln EUR lub 2% obrotu |
| 7 mln EUR lub 1,4% obrotu |
|
| ||||||
| Kara minimalna |
| 20 000 zł |
| 15 000 zł |
|
| ||||||
| Kara nadzwyczajna |
| do 100 mln zł (zagrożenie dla bezpieczeństwa państwa) |
| ||
| ||||||
| Kara dzienna za zwłokę |
| 500 zł – 100 000 zł za każdy dzień |
| ||
| ||||||
| Kara dla kierownika |
| do 600% wynagrodzenia |
|
Jest jednak jedno pocieszenie: kary mogą być nakładane dopiero po 2 latach od wejścia ustawy w życie (tj. od kwietnia 2028 r.). Ale to nie znaczy, że możesz czekać — obowiązki zaczynają biec od 3 kwietnia 2026.
Incydent? Masz 24 godziny
Nowa ustawa wprowadza trzyetapowy system raportowania incydentów:
24 godziny — wczesne ostrzeżenie do właściwego CSIRT (NASK, GOV lub MON). Zegar zaczyna tykać od momentu wykrycia. 24 godziny w środku kryzysu to naprawdę mało.
72 godziny — pełne zgłoszenie incydentu poważnego ze szczegółami.
1 miesiąc — raport końcowy: co się stało, dlaczego, jakie kroki podjęto, by się nie powtórzyło.
Rada praktyczna: przygotuj procedury zgłoszeniowe „na zimno", zanim dojdzie do incydentu. Gotowy szablon i lista kontaktów oszczędzą bezcenny czas w sytuacji kryzysowej.
Dostawcy wysokiego ryzyka — największy punkt zapalny
Ustawa daje Ministrowi Cyfryzacji możliwość uznania konkretnego producenta sprzętu za „dostawcę wysokiego ryzyka" (HRV). Jeśli to nastąpi, podmioty kluczowe nie mogą kupować nowych produktów tego dostawcy, a posiadane muszą wycofać w ciągu 7 lat — na własny koszt.
To właśnie ten mechanizm (nazywany potocznie „lex Huawei") wzbudził największy sprzeciw biznesu. 11 organizacji przedsiębiorców wspólnie apelowało do prezydenta o veto. Prezydent ustawę podpisał, ale jednocześnie skierował przepisy o HRV do Trybunału Konstytucyjnego.
Co to oznacza w praktyce? Przepisy obowiązują, ale ich przyszłość jest niepewna. Firmy stoją przed dylematem: wymieniać sprzęt teraz (ryzykując, że TK uzna przepisy za niekonstytucyjne) czy czekać (ryzykując kary, jeśli przepisy się utrzymają). To największy punkt zapalny ustawy w 2026 roku.
Harmonogram — kluczowe daty
| ||||
| Data |
| Co się dzieje |
|
|---|---|---|---|---|
| ||||
| 3 kwietnia 2026 |
| Ustawa wchodzi w życie |
|
| ||||
| 3 maja 2026 |
| Minister Cyfryzacji uruchamia wykaz podmiotów |
|
| ||||
| 3 października 2026 |
| Termin na rejestrację w wykazie (6 miesięcy) |
|
| ||||
| 3 kwietnia 2027 |
| Termin na pełne wdrożenie SZBI i środków zarządzania ryzykiem (12 miesięcy) |
|
| ||||
| 3 kwietnia 2028 |
| Pierwszy audyt bezpieczeństwa + start nakładania kar |
|
Co zrobić teraz — 7 kroków na start
Sprawdź, czy podlegasz — porównaj swoje kody PKD z załącznikami nr 1 i 2 do ustawy. Uwzględnij wielkość firmy łącznie z grupą kapitałową.
Przeprowadź analizę ryzyk — zmapuj systemy, dane, procesy i zidentyfikuj słabe punkty.
Przejrzyj procedury — polityki bezpieczeństwa, plany ciągłości działania, procedury reagowania na incydenty. Jeśli ich nie masz — czas je stworzyć.
Przeszkol zarząd — coroczne szkolenie z cyberbezpieczeństwa jest obowiązkowe. Pierwsze warto zrobić jak najszybciej.
Zaudytuj łańcuch dostaw — Twoi dostawcy IT też muszą spełniać standardy. Zacznij od kluczowych kontrahentów.
Przygotuj procedury zgłaszania incydentów — gotowe szablony, lista kontaktów CSIRT, jasna ścieżka eskalacji (24h / 72h / 1 miesiąc).
Zarejestruj się w wykazie — przez system S46, najpóźniej do 3 października 2026.
Podsumowanie
Nowelizacja KSC to nie kolejna biurokratyczna formalność do „odhaczenia". To fundamentalna zmiana podejścia do cyberbezpieczeństwa w Polsce — przeniesienie odpowiedzialności z działu IT na zarząd, z poziomu technicznego na strategiczny. Po serii głośnych cyberataków na infrastrukturę krytyczną w Europie stało się jasne, że dotychczasowe standardy nie wystarczają.
Czy ustawa jest idealna? Nie. Mechanizm HRV budzi uzasadnione wątpliwości konstytucyjne. Kary są surowe. Obowiązki dla małych gmin — trudne do udźwignięcia. Ale kierunek jest właściwy: cyberbezpieczeństwo przestaje być opcją, a staje się obowiązkiem zarządczym — z konkretnymi konsekwencjami za zaniedbania.
Czas na przygotowanie jest krótki. Dobrze go wykorzystaj.
Opracowanie na podstawie: Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 252), harmonogram Ministerstwa Cyfryzacji, informacje gov.pl, analizy prawne KPMG, Traple Konarski Podrecki, Rödl & Partner, Niebezpiecznik.pl oraz inne źródła branżowe. Stan na marzec 2026.
Kamil Olejek
Integrator procesów IT i saunamistrz. Łączę systemy, automatyzuję procesy i prowadzę profesjonalne seanse saunowe.
Skontaktuj się