Powrót

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) - kogo obejmuje?

20.04.2026

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Zastąpiono dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne. Nowelizacja obejmuje znacznie szerszą grupę podmiotów działających w sektorach istotnych dla funkcjonowania państwa, gospodarki oraz obywateli.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) - kogo obejmuje?

Co to oznacza w praktyce?

Według szacunków, KSC może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych. Podmioty działające w wymienionych niżej sektorach powinny już teraz przeanalizować, czy są objęte nowymi przepisami. Obecnie trwa 12-miesięczny okres dostosowawczy. To czas, który podmioty powinny wykorzystać na pełne wdrożenie obowiązków wynikających z ustawy.

13 kwietnia 2026 r. Minister Cyfryzacji rozpoczął wpisywanie z urzędu do Wykazu KSC dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmioty publiczne.

Od 7 maja 2026 r. uruchomiona zostanie możliwość wpisu do Wykazu KSC (samorejestracji) dla podmiotów, które nie są objęte wpisem realizowanym z urzędu.

Podział na sektory kluczowe i ważne

Sektory kluczowe (Załącznik nr 1 do ustawy)

  1. Energia:
    • wydobywanie kopalin
    • energia elektryczna
    • ciepło
    • ropa i paliwa
    • gaz
    • energetyka jądrowa
    • wodór
  2. Transport:
    • lotniczy
    • kolejowy
    • wodny
    • drogowy
  3. Bankowość i infrastruktura rynków finansowych
  4. Ochrona zdrowia:
    • udzielanie świadczeń zdrowotnych i zdrowie publiczne
    • produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych
  5. Zaopatrzenie w wodę pitną i jej dystrybucja
  6. Zbiorowe odprowadzanie ścieków
  7. Infrastruktura cyfrowa:
    • infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej
    • komunikacja elektroniczna
  8. Zarządzanie usługami ICT
  9. Przestrzeń kosmiczna
  10. Podmioty publiczne

Sektory ważne (Załącznik nr 2 do ustawy)

  1. Usługi pocztowe
  2. Inwestycje energetyki jądrowej
  3. Gospodarowanie odpadami:
    • zbieranie odpadów
    • transport odpadów
    • przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
    • działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
  4. Produkcja, wytwarzanie i dystrybucja chemikaliów
  5. Produkcja, wytwarzanie i dystrybucja żywności
  6. Produkcja:
    • wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
    • komputerów, wyrobów elektronicznych i optycznych
    • urządzeń elektrycznych
    • maszyn i urządzeń, gdzie indziej niesklasyfikowana
    • pojazdów samochodowych, przyczep i naczep
    • pozostałego sprzętu transportowego
  7. Dostawcy usług cyfrowych
  8. Badania naukowe
  9. Podmioty publiczne, inne niż wymienione w Załączniku nr 1

Dodatkowo:

W najbliższych dniach Minister Cyfryzacji przekaże do konsultacji publicznych projekt zestawienia wymogów dokumentów normalizacyjnych, w tym norm, przydatnych dla ustalenia szczegółowych wymagań dla SZBI dla poszczególnych sektorów kluczowych i sektorów ważnych w świetle KSC.

{"register":{"columns":[]}}