Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa
Opublikowano 20th luty 2026
Nowelizacja KSC wdrażająca dyrektywę NIS2 została podpisana przez Prezydenta, co zamyka etap legislacyjny i otwiera etap wdrożeniowy. Co to oznacza w praktyce? Nowe przepisy wejdą w życie miesiąc po ogłoszeniu. Dla firm działających w Polsce rozpoczyna się regulacyjny „sprint” - czas przejścia od monitorowania zmian do konkretnych działań wdrożeniowych.
Nowy podział podmiotów
Z perspektywy firm najważniejsza zmiana nie dotyczy pojedynczego obowiązku, tylko tego, kogo i w jakim zakresie obejmą nowe wymagania. Kwalifikacja zależy przede wszystkim od sektora działalności i skali organizacji, w tym od roli w sektorach o znaczeniu strategiczym dla państwa, np. energetyka czy bankowość.
- Podmioty kluczowe - wyższy poziom krytyczności, bardziej intensywny nadzór i dodatkowe obowiązki w tym m.in. wymogi audytowe.
- Podmioty ważne - obowiązki w obszarze zarządzania ryzykiem i incydentami pozostają szerokie, ale co do zasady reżim nadzorczy jest mniejszy niż dla podmiotów kluczowych.
Na co zwrócić szczególną uwagę?
1. Środki „adekwatne do ryzyka”: bezpieczeństwo ma być operacyjne i mierzalne:
Nowe wymogi mają działać operacyjnie i dać się wykazać w kontroli. Wprost wskazuje się na konieczność wdrożenia środków technicznych i organizacyjnych dopasowanych do wielkości podmiotu i charakteru usług, w praktyce obejmuje to m.in. inwentaryzację zasobów, identyfikację zagrożeń, przegląd procedur i szkolenia.
2. Szybsze reagowanie i raportowanie incydentów: S46 i wzmocnione CSIRT
Nowelizacja zakłada usprawnienie zgłaszania incydentów - informacje mają trafiać do zespołów CSIRT przez System S46, a dodatkowo rozwijana ma być sieć sektorowych CSIRT, wspierających podmioty w reagowaniu, wymianie informacji o zagrożeniach i szkoleniach.
3. Dostawca wysokiego ryzyka: konsekwencje dla łańcucha dostaw
Minister właściwy ds. cyfryzacji, przy udziale Kolegium ds. Cyberbezpieczeństwa, może w transparentnym postępowaniu uznać dostawcę za „wysokiego ryzyka”. W praktyce oznacza to zakaz wdrażania jego rozwiązań, a w odniesieniu do technologii już wykorzystywanej - obowiązek jej wycofania w określonych terminach (co do zasady do 7 lat, a dla największych operatorów telekomunikacyjnych wskazuje się 4 lata).
4. Nowe sankcje:
Sankcje finansowe i „kary dzienne” będą jednym z najbardziej odczuwalnych elementów nowych przepisów. Podmioty kluczowe muszą liczyć się z karami od 20 tys. zł do 10 mln EUR lub 2% przychodów, a podmioty ważne – od 15 tys. zł do 7 mln EUR lub 1,4% przychodów. Niezależnie od tego, za niewykonanie nakazu organu (np. działań w związku z incydentem poważnym lub przeprowadzenia audytu) przewidziano okresową karę pieniężną w wysokości 500–100 000 zł za każdy dzień opóźnienia. W skrajnych przypadkach naruszeń stwarzających poważne ryzyko dla państwa, życia i zdrowia lub ciągłości usług, sankcje mogą sięgnąć nawet 100 mln zł.
EU Digital Compliance w Osborne Clarke
Wspieramy firmy w budowie zintegrowanego programu EU digital compliance, opartego na wspólnym governance, spójnych politykach, jasnym RACI i współdzielonych procesach tam, gdzie regulacje się nakładają (np. NIS2, DORA, RODO i inne).
Możemy pomóc m.in. w:
- weryfikacji, czy i w jakim zakresie organizacja podlega nowym obowiązkom,
- zaprojektowaniu i wdrożeniu programu NIS2/KSC end-to-end,
- przygotowaniu organizacji na incydenty, raportowanie i audyt (w tym praktyczne „evidence packs”),
- ułożeniu działań w realny plan wdrożeniowy – tak, aby rozwiązania były operacyjne, mierzalne i gotowe na kontrolę.
