– Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa. Dzięki temu możemy stopniowo i skutecznie wzmacniać bezpieczeństwo cyfrowe kraju. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia  – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.  

Do 3 października 2026 r. podmioty kluczowe i ważne mają czas, aby złożyć wniosek o wpis do wykazu. To pierwszy ważny termin wynikający z ustawy. W praktyce oznacza on sześć miesięcy na sprawdzenie, czy dany podmiot podlega nowym przepisom, i na dopełnienie formalności. 

Nowe przepisy nakładają na podmioty, które działają w strategicznych sektorach gospodarki, obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych. Wprowadzają także odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. 

Do 3 kwietnia 2027 r. podmioty kluczowe i ważne, które w dniu wejścia w życie nowelizacji spełniają ustawowe kryteria, muszą wdrożyć obowiązki wynikające z nowych przepisów. 

Do 3 kwietnia 2028 r. podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata. 

Ustawa daje podmiotom publicznym i przedsiębiorcom odpowiedni czas, aby dobrze przygotować się do zmian. W przypadku większości obowiązków administracyjne kary pieniężne będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie ustawy, czyli po 3 kwietnia 2028 r. 

Ministerstwo Cyfryzacji zachęca wszystkie podmioty, które mogą zostać objęte ustawą, do zapoznania się z harmonogramem i odpowiedniego przygotowania swoich organizacji. 

W celu ułatwienia stosowania przepisów ustawy Ministerstwo Cyfryzacji planuje szereg działań wspierających dla podmiotów krajowego systemu cyberbezpieczeństwa. Już dziś zachęcamy do zapoznania się z przygotowanym zestawem pytań i odpowiedzi dotyczących stosowania ustawy. W kolejnych tygodniach rozpoczniemy publikację cyklu komunikatów, w których omawiane będą kluczowe obowiązki wynikające z ustawy. Ministerstwo Cyfryzacji przygotuje również mapowanie dokumentów normalizacyjnych z zakresu cyberbezpieczeństwa na wymogi przepisów ustawy.