Nowa ustawa o KSC weszła w życie: NIS2 po polsku i od czego zacząć
Od 3 kwietnia obowiązuje w Polsce nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża unijną dyrektywę NIS2. Według szacunków może objąć nawet 38 tysięcy podmiotów, w tym około 27 tysięcy publicznych — i spora część z nich jeszcze o tym nie wie. Sprawdź, czy jesteś na tej liście, zanim zrobi to za Ciebie regulator.
Co się zmienia
Znika stary podział na operatorów usług kluczowych i dostawców usług cyfrowych. Zamiast tego są podmioty kluczowe i podmioty ważne — kwalifikacja zależy od sektora (m.in. energetyka, transport, zdrowie, woda, infrastruktura cyfrowa, produkcja, usługi pocztowe, gospodarka odpadami) oraz wielkości firmy.
Trzy terminy, które musisz znać
- Do 3 października 2026 — obowiązek złożenia wniosku o wpis do wykazu podmiotów. Pół roku minie szybciej, niż myślisz.
- Do 3 kwietnia 2027 — 12 miesięcy na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI).
- Do 3 kwietnia 2028 — podmioty kluczowe muszą przejść pierwszy audyt bezpieczeństwa.
Od czego zacząć — praktycznie
- Kwalifikacja — sprawdź sektor i progi wielkościowe. Jeśli masz wątpliwości, lepiej skonsultować niż zgadywać: kary są liczone od obrotu.
- Szybka inwentaryzacja — systemy, dane, dostawcy, umowy. NIS2 mocno patrzy na łańcuch dostaw, więc lista dostawców IT to nie formalność.
- Analiza luk — porównaj obecny stan z wymaganiami: zarządzanie ryzykiem, obsługa incydentów, ciągłość działania, szyfrowanie, MFA, szkolenia.
- Plan na 12 miesięcy — SZBI nie powstaje w miesiąc. Rozpisz wdrożenie na kwartały i zacznij od rzeczy, które i tak podnoszą bezpieczeństwo.
Podsumowanie
Ustawa o KSC to największa zmiana w polskim cyberbezpieczeństwie od lat. Kluczowe daty: wpis do wykazu do 3 października 2026, SZBI do kwietnia 2027, audyt do 2028. Firmy, które potraktują to jak projekt, a nie papierologię, przy okazji realnie podniosą odporność.