Baza wiedzy

Jej celem było przede wszystkim dostosowanie krajowych regulacji do standardów europejskich, a także wprowadzenie rozwiązań zapewniających spójną i kompleksową ochronę podmiotów o szczególnym znaczeniu — zarówno z punktu widzenia aktualnej sytuacji międzynarodowej, jak i dynamicznego rozwoju technologii.

Nowelizacja KSC weszła w życie 3 kwietnia 2026 roku. Z tekstem ustawy można zapoznać się na stronie ISAP.gov.pl.

• Wprowadza rozróżnienie na podmioty kluczowe i podmioty ważne oraz rewiduje definicje z zakresu cyberbezpieczeństwa.
• Rozszerza katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory i branże gospodarki (zarządzanie usługami ICT, komunikacja elektroniczna, przestrzeń kosmiczna, usługi pocztowe, produkcja, obiekty energetyki jądrowej, produkcja i dystrybucja chemikaliów, maszyn i urządzeń, w tym elektronicznych i transportowych, produkcja i dystrybucja żywności, odprowadzanie ścieków, gospodarowanie odpadami).
• Nakłada obowiązki na podmioty kluczowe i podmioty ważne w zakresie stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów teleinformatycznych, zgodne z dyrektywą NIS 2.
• Wprowadza odpowiedzialność kierownika podmiotu kluczowego i podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa.  
• W przypadku niewywiązania się z tych zadań na kierownika będą mogły być nałożone kary. Kierownik będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.
• Umożliwia tworzenie zespołów CSIRT sektorowych w poszczególnych sektorach gospodarki, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa.
• Wzmacnia kompetencje nadzorcze organów właściwych do spraw cyberbezpieczeństwa, polegające na możliwości wydawania ostrzeżeń, wyznaczania urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy, nakazywanie przeprowadzenia oceny bezpieczeństwa systemu informacyjnego, nakazywanie przeprowadzenia audytu bezpieczeństwa.
• Wprowadza nowe kary pieniężne za niewykonanie obowiązków ustawowych przez podmioty kluczowe lub podmioty ważne, m. in.: za nie wdrożenie systemu zarządzania bezpieczeństwem informacji czy nie zarejestrowanie się w wykazie podmiotów kluczowych i podmiotów ważnych.
• Wprowadza Krajowy Plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.
• Rozszerza kompetencje ministra właściwego do spraw informatyzacji (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego).
• Wzmacnia pozycję Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa poprzez wyposażenie go w konkretne uprawnienia w zakresie wydawania rekomendacji mających na celu wzmocnienie poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa.
• Wprowadza Połączone Centrum Operacyjne Cyberbezpieczeństwa jako organ pomocniczy Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, w sprawach koordynowania działań i realizowania polityki rządu w zakresie cyberbezpieczeństwa kraju.
• Rozszerza kompetencje zespołów CSIRT poziomu krajowego, w tym CSIRT NASK, co jest związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym CSIRT NASK będzie udzielał wsparcia w reagowaniu na incydenty.

• Obowiązek rejestracji: podmioty kluczowe i ważne po dokonaniu samooceny do 3 października 2026 r. są obowiązane złożyć wniosek o wpis do wykazu za pomocą systemu teleinformatycznego S46.
• Czas na dostosowanie: podmioty, które 3 kwietnia 2026 r. spełniały kryteria bycia podmiotem kluczowym lub ważnym, mają 12 miesięcy (do 3 kwietnia 2027 r.) na wdrożenie obowiązków z zakresu systemu zarządzania bezpieczeństwa informacji - SZBI.
• Pierwszy audyt: podmiot kluczowy będzie zobowiązany do przeprowadzenia audytu 24 miesiące (do 3 kwietnia 2028 r.) od spełnienia przesłanek uznania za taki podmiot. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.