Nowelizacja ustawy o KSC, wdrażająca dyrektywę NIS2, nakłada na podmioty kluczowe oraz ważne określone obowiązki wynikające z ustawy, w tym w szczególności do dokonania wpisu do wykazu KSC oraz wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). 

Podmioty objęte ustawą  powinny przeanalizować swoją działalność pod kątem spełnienia kryteriów uznania za podmiot kluczowy lub ważny, w szczególności w zakresie sektorów wskazanych w załącznikach do ustawy, kryteriach wielkościowych przedsiębiorstwa oraz art. 5 ustawy. 

Podmioty kluczowe i ważne, które w dniu wejścia w życie nowelizacji spełniały ustawowe kryteria, mają obowiązek:  

• dokonania wpisu do Wykazu KSC do 3 października 2026 r., 

• podłączenia do systemu S46 do 3 kwietnia 2027 r. – możliwość korzystania dla nowych podmiotów będzie uruchamiana od 12 czerwca 2026 r., 

• wdrożenia obowiązków wynikających z nowych przepisów do 3 kwietnia 2027 r., m.in.: 

• przygotowanie i wdrożenie SZBI, 

• zgłaszanie incydentów do zespołów CSIRT i zarządzanie incydentami, 

• wyznaczanie osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami KSC, 

• weryfikacja niekaralności personelu, 

• dokonania pierwszego obowiązkowego audytu cyberbezpieczeństwa do 3 kwietnia 2028 r. (tylko dla podmiotów kluczowych, które nie były UOK). Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata. 

Zapraszamy do zapoznania się z aktualizacją zestawu pytań i odpowiedzi dotyczących stosowania ustawy. Aktualizacja obejmuje 86 nowych pytań, które wyjaśniają m.in.: 

• obowiązki rejestratorów nazw domen, 

• zagadnienia związane z wpisem do Wykazu KSC  – w tym dokonanym przez pełnomocnika, 

• procedurę wykreślenia z Wykazu KSC, 

• zapisy Załącznika nr 4 do ustawy o KSC, 

• status podmiotów publicznych. 

Jednocześnie przypominamy, że do 10 czerwca 2026 r. trwają konsultacje zestawienia wymagań dokumentów normalizacyjnych. Uwagi i opinie dotyczące projektu zestawienia można przesyłać na adres e-mail: konsultacje_cyber@cyfra.gov.pl.