Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa
Opublikowano 20th luty 2026
Nowelizacja KSC wdrażająca dyrektywę NIS2 została podpisana przez Prezydenta, co zamyka etap legislacyjny i otwiera etap wdrożeniowy. Co to oznacza w praktyce? Nowe przepisy wejdą w życie miesiąc po ogłoszeniu. Dla firm działających w Polsce rozpoczyna się regulacyjny „sprint” - czas przejścia od monitorowania zmian do konkretnych działań wdrożeniowych.
Nowy podział podmiotów
Z perspektywy firm najważniejsza zmiana nie dotyczy pojedynczego obowiązku, tylko tego, kogo i w jakim zakresie obejmą nowe wymagania. Kwalifikacja zależy przede wszystkim od sektora działalności i skali organizacji, w tym od roli w sektorach o znaczeniu strategiczym dla państwa, np. energetyka czy bankowość.
- Podmioty kluczowe - wyższy poziom krytyczności, bardziej intensywny nadzór i dodatkowe obowiązki w tym m.in. wymogi audytowe.
- Podmioty ważne - obowiązki w obszarze zarządzania ryzykiem i incydentami pozostają szerokie, ale co do zasady reżim nadzorczy jest mniejszy niż dla podmiotów kluczowych.
Na co zwrócić szczególną uwagę?
1. Środki „adekwatne do ryzyka”: bezpieczeństwo ma być operacyjne i mierzalne:
Nowe wymogi mają działać operacyjnie i dać się wykazać w kontroli. Wprost wskazuje się na konieczność wdrożenia środków technicznych i organizacyjnych dopasowanych do wielkości podmiotu i charakteru usług, w praktyce obejmuje to m.in. inwentaryzację zasobów, identyfikację zagrożeń, przegląd procedur i szkolenia.
2. Szybsze reagowanie i raportowanie incydentów: S46 i wzmocnione CSIRT
Nowelizacja zakłada usprawnienie zgłaszania incydentów - informacje mają trafiać do zespołów CSIRT przez System S46, a dodatkowo rozwijana ma być sieć sektorowych CSIRT, wspierających podmioty w reagowaniu, wymianie informacji o zagrożeniach i szkoleniach.
3. Dostawca wysokiego ryzyka: konsekwencje dla łańcucha dostaw
Minister właściwy ds. cyfryzacji, przy udziale Kolegium ds. Cyberbezpieczeństwa, może w transparentnym postępowaniu uznać dostawcę za „wysokiego ryzyka”. W praktyce oznacza to zakaz wdrażania jego rozwiązań, a w odniesieniu do technologii już wykorzystywanej - obowiązek jej wycofania w określonych terminach (co do zasady do 7 lat, a dla największych operatorów telekomunikacyjnych wskazuje się 4 lata).
4. Nowe sankcje:
Sankcje finansowe i „kary dzienne” będą jednym z najbardziej odczuwalnych elementów nowych przepisów. Podmioty kluczowe muszą liczyć się z karami od 20 tys. zł do 10 mln EUR lub 2% przychodów, a podmioty ważne – od 15 tys. zł do 7 mln EUR lub 1,4% przychodów. Niezależnie od tego, za niewykonanie nakazu organu (np. działań w związku z incydentem poważnym lub przeprowadzenia audytu) przewidziano okresową karę pieniężną w wysokości 500–100 000 zł za każdy dzień opóźnienia. W skrajnych przypadkach naruszeń stwarzających poważne ryzyko dla państwa, życia i zdrowia lub ciągłości usług, sankcje mogą sięgnąć nawet 100 mln zł.
EU Digital Compliance at Osborne Clarke
We support companies in building an integrated EU digital compliance programme based on shared governance, consistent policies, clear RACI, and shared processes where regulations overlap (e.g., NIS2, DORA, GDPR, and others).
We can help, among other things, with:
- assessing whether — and to what extent — your organisation is subject to the new obligations,
- designing and implementing an end-to-end NIS2/KSC programme,
- preparing your organisation for incidents, reporting and audits (including practical “evidence packs”),
- structuring the work into a realistic implementation plan — so that solutions are operational, measurable and inspection-ready.
