rozwiń >

Nowelizacja ustawy o KSC weszła w życie

W piątek, 3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Od tego dnia zaczynają obowiązywać terminy na realizację nowych wymogów przez podmioty objęte przepisami. Celem zmian jest zwiększenie bezpieczeństwa systemów informatycznych oraz stabilności usług cyfrowych wykorzystywanych przez mieszkańców Polski.

Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa. Dzięki temu możemy stopniowo i skutecznie wzmacniać bezpieczeństwo cyfrowe kraju. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – powiedział cytowany w czwartkowym komunikacie wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Polecamy: NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa
Będą niższe podatki dzięki kluczowym zmianom w PIT: nowa kwota wolna 60 tys. czy ochrona dochodów przed podatkiem 32 procent
Będą niższe podatki dzięki kluczowym zmianom w PIT: nowa kwota wolna 60 tys. czy ochrona dochodów przed podatkiem 32 procent

Zobacz również

Nowelizacja ustawy o KSC: pierwszy termin - 3 października 2026 r.

Do 3 października 2026 r. podmioty uznane za kluczowe i ważne muszą złożyć wniosek o wpis do odpowiedniego wykazu. Termin ten oznacza sześć miesięcy na:

  • weryfikację, czy dany podmiot podlega przepisom,
  • dopełnienie wymaganych formalności.

Nowelizacja ustawy o KSC: nowe obowiązki dla firm i instytucji

Nowelizacja ustawy o KSC wprowadza obowiązek stosowania środków technicznych i organizacyjnych, które mają zwiększyć bezpieczeństwo systemów informatycznych w strategicznych sektorach gospodarki. Przepisy przewidują również odpowiedzialność kierowników podmiotów za realizację zadań z zakresu cyberbezpieczeństwa.

Nowelizacja ustawy o KSC: kolejne kluczowe daty

  • do 3 kwietnia 2027 r. – wdrożenie obowiązków przez podmioty spełniające kryteria w dniu wejścia w życie ustawy,
  • do 3 kwietnia 2028 r. – przeprowadzenie pierwszego obowiązkowego audytu cyberbezpieczeństwa przez podmioty kluczowe,
  • kolejne audyty – co najmniej raz na trzy lata.
Rząd chce mieć kontrolę nad wdrażaniem sztucznej inteligencji w małych firmach. Nowa ustawa idzie do Sejmu: dla kogo i jakie sankcje karne, komu nowe prawo pomoże
Rząd chce mieć kontrolę nad wdrażaniem sztucznej inteligencji w małych firmach. Nowa ustawa idzie do Sejmu: dla kogo i jakie sankcje karne, komu nowe prawo pomoże

Zobacz również

Kary finansowe dopiero od 2028 r.

Ustawa przewiduje okres przejściowy. W większości przypadków administracyjne kary pieniężne będą mogły być nakładane dopiero po dwóch latach od wejścia w życie przepisów, czyli po 3 kwietnia 2028 r.

Jak sprawdzić, czy firma podlega przepisom KSC

Przedsiębiorca, który nie ma pewności, czy podlega przepisom krajowego systemu cyberbezpieczeństwa, powinien w pierwszej kolejności ustalić swoją wielkość oraz zakres prowadzonej działalności. Kluczowe są dane finansowe zawarte w sprawozdaniu finansowym. To na ich podstawie ocenia się spełnienie przesłanek uznania za podmiot kluczowy lub ważny (według stanu na dzień sporządzenia sprawozdania). Niezbędne jest także określenie liczby zatrudnionych pracowników. Profil działalności należy zweryfikować w oparciu o właściwie zadeklarowane kody PKD oraz dokumenty urzędowe, takie jak koncesje, zezwolenia czy wpisy do rejestrów działalności regulowanej. Następnie konieczna jest analiza art. 5 ustawy, który wskazuje, jakie podmioty uznaje się za kluczowe lub ważne, a także załączników nr 1 i 2 do ustawy o KSC, określających rodzaje działalności objęte przepisami.

Polecamy: Sprawozdanie finansowe 2025