KSC 2026 — kompletny przewodnik po nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa
Czym jest KSC 2026?
Ustawa o Krajowym Systemie Cyberbezpieczeństwa 2026 (Dz. U. 2026 poz. 252) to polska implementacja dyrektywy NIS2 (UE 2022/2555). Weszła w życie 23 stycznia 2026 i zastępuje dotychczasowe kategorie OUK i DUC nowymi: podmioty kluczowe oraz podmioty ważne.
To najważniejsza zmiana regulacyjna w polskim cyberbezpieczeństwie od lat — rozszerza katalog podmiotów objętych regulacją, wprowadza osobistą odpowiedzialność zarządu i znacząco podnosi kary za niezgodność.
Kluczowe zmiany vs. stary KSC
- Rozszerzony katalog podmiotów objętych regulacją
- Samoidentyfikacja podmiotów zamiast czekania na decyzję organu
- Nowe wymogi dotyczące łańcucha dostaw i zarządu
- Osobista odpowiedzialność finansowa kierownictwa (do 300% wynagrodzenia)
- Wyższe sankcje administracyjne (do 10 mln EUR dla podmiotów kluczowych)
- Utworzenie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa (PCOC)
- Procedura oceny Dostawcy Wysokiego Ryzyka (DHR)
Terminy graniczne
| Termin | Obowiązek |
|---|---|
| 23 stycznia 2026 | Wejście w życie ustawy |
| +6 miesięcy | Rejestracja w wykazie podmiotów |
| +12 miesięcy | Wdrożenie SZBI (od wpisu do wykazu) |
| +24 miesiące | Pierwszy audyt bezpieczeństwa (podmioty kluczowe) |
| Co 3 lata | Cykliczne audyty bezpieczeństwa |
| Rocznie | Szkolenie kierownictwa z cyberbezpieczeństwa |
Kogo dotyczy? Kategorie podmiotów
Podmioty kluczowe
Kryteria wielkości: duże przedsiębiorstwa — co najmniej 250 pracowników LUB obrót powyżej 50 mln EUR i bilans powyżej 43 mln EUR. Niezależnie od progu — jeśli są jedynym dostawcą usługi o znaczeniu dla bezpieczeństwa publicznego.
Sektory: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B), administracja publiczna (szczebel centralny), przestrzeń kosmiczna.
Sankcje: do 10 mln EUR lub 2% całkowitego rocznego obrotu (stosuje się wyższą kwotę).
Nadzór: prewencyjny — organ może przeprowadzać kontrole z urzędu.
Podmioty ważne
Kryteria wielkości: średnie przedsiębiorstwa — 50–249 pracowników LUB obrót 10–50 mln EUR.
Sektory: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja chemiczna, produkcja i dystrybucja żywności, produkcja krytyczna, badania naukowe, dostawcy usług cyfrowych, administracja publiczna (szczebel regionalny).
Sankcje: do 7 mln EUR lub 1,4% całkowitego rocznego obrotu.
Nadzór: reaktywny — organ działa po incydencie lub skardze.
Jak sprawdzić, czy ustawa dotyczy Twojej organizacji?
- Sprawdź sektor — czy działalność wchodzi w zakres Załącznika I (kluczowe) lub II (ważne)?
- Sprawdź wielkość — ile masz pracowników i jaki roczny obrót?
- Zarejestruj się — złóż wniosek o wpis do wykazu w ciągu 6 miesięcy
Niezależnie od wielkości, ustawie podlegają podmioty będące jedynym dostawcą danej usługi w Polsce, których zakłócenie miałoby istotny wpływ na bezpieczeństwo publiczne, lub wskazane przez organ nadzorczy z urzędu.
Katalog obowiązków
System Zarządzania Bezpieczeństwem Informacji (SZBI)
Termin wdrożenia: 12 miesięcy od wpisu do wykazu. Wymagania obejmują:
- Polityki bezpieczeństwa informacji — udokumentowane polityki dotyczące ryzyka i systemów informacyjnych
- Zarządzanie ryzykiem — regularna analiza i ocena ryzyk cyberbezpieczeństwa
- Obsługa incydentów — procedury wykrywania, analizy, klasyfikacji i reagowania
- Ciągłość działania — plany BCP, zarządzanie kopiami zapasowymi, odtwarzanie po awarii
- Bezpieczeństwo łańcucha dostaw — ocena dostawców, klauzule umowne, procedura DHR
- Bezpieczeństwo sieci i systemów — segmentacja, kontrola dostępu, szyfrowanie
- Higiena cyberbezpieczeństwa — procedury i szkolenia pracowników
- Kryptografia — polityki zarządzania szyfrowaniem
- Uwierzytelnianie wieloskładnikowe (MFA) — stosowanie MFA tam gdzie możliwe
- Bezpieczna komunikacja — zabezpieczone kanały w sytuacjach nagłych
Obowiązki zarządu
To jedna z najistotniejszych zmian — kierownictwo ponosi osobistą odpowiedzialność:
- Zatwierdzenie środków zarządzania ryzykiem cyberbezpieczeństwa
- Roczne szkolenie z cyberbezpieczeństwa dla kierownika i osoby odpowiedzialnej
- Nadzór nad realizacją obowiązków ustawowych
- Odpowiedzialność finansowa do 300% miesięcznego wynagrodzenia za naruszenia
- Zapewnienie wystarczających zasobów
Weryfikacja i rejestracja
- Złożenie wniosku o wpis do wykazu w ciągu 6 miesięcy
- Aktualizacja danych w wykazie w ciągu 14 dni od zmian
- Weryfikacja karalności (KRK) — zaświadczenie o niekaralności przed rozpoczęciem zadań
- Wyznaczenie punktu kontaktowego z CSIRT sektorowym
Procedura obsługi incydentów
Kiedy incydent jest poważny?
Incydent jest poważny, jeśli spowodował lub może spowodować: poważne zakłócenie usługi, straty finansowe, wpływ na inne podmioty (efekt domina) lub szkodę materialną/niematerialną.
Terminy zgłaszania
| Termin | Obowiązek | Gdzie |
|---|---|---|
| Do 24h | Wczesne ostrzeżenie | CSIRT sektorowy |
| Do 72h | Pełne zgłoszenie incydentu | CSIRT sektorowy |
| Do 1 miesiąca | Sprawozdanie końcowe | CSIRT sektorowy |
Wczesne ostrzeżenie (24h) musi zawierać: wstępną informację o incydencie, czy może być wynikiem działania bezprawnego, czy ma skutki transgraniczne i szacunkowy zakres wpływu.
Pełne zgłoszenie (72h) obejmuje: aktualizację informacji, wstępną ocenę dotkliwości, wskaźniki naruszenia bezpieczeństwa (IOC) i podjęte środki zaradcze.
Struktura CSIRT
- CSIRT GOV — administracja rządowa, służby specjalne, infrastruktura krytyczna
- CSIRT NASK — pozostałe podmioty, dostawcy usług cyfrowych
- CSIRT MON — sektor obronny i wojskowy
Audyty bezpieczeństwa
- Podmiot kluczowy — audyt co najmniej raz na 3 lata
- Pierwszy audyt w ciągu 24 miesięcy od wpisu do wykazu
- Zakaz konfliktu interesów: audytor nie może realizować zadań operacyjnych w audytowanym podmiocie w roku poprzedzającym
- Kopia raportu przekazywana organowi nadzorczemu w ciągu 3 dni roboczych
- Organ może nakazać audyt zewnętrzny w każdej chwili
KSC 2026 a ISO 27001 / ISO 22301
Jeśli masz certyfikat ISO — masz przewagę, ale to nie wystarczy:
- ISO 27001 pokrywa ~75% wymagań KSC 2026
- ISO 22301 pokrywa ~60% wymagań KSC 2026
- Łącznie ISO 27001 + ISO 22301 pokrywają ~85%
- ~30% wymagań jest wyłącznie w KSC 2026
Co pokrywają normy ISO?
Polityki bezpieczeństwa, zarządzanie ryzykiem, ciągłość działania, zarządzanie kopiami zapasowymi, monitorowanie systemów, MFA, kryptografia, bezpieczeństwo zasobów ludzkich, zarządzanie podatnościami, szkolenia pracowników i zarządzanie aktywami.
Co wymaga dodatkowych działań (poza ISO)?
- Rejestracja w wykazie podmiotów KSC — procedura administracyjna bez odpowiednika w normach ISO
- Terminowe zgłaszanie incydentów — sztywne ramy 24h/72h/1 miesiąc (ISO nie definiuje terminów)
- Weryfikacja karalności (KRK) — konkretny wymóg polski
- Procedura Dostawcy Wysokiego Ryzyka (DHR) — specyficzna procedura bez odpowiednika w ISO
- Audyt bezpieczeństwa KSC — odrębny od recertyfikacji ISO
- Wyznaczenie punktu kontaktowego z CSIRT sektorowym
- Osobista odpowiedzialność finansowa kierownictwa — ISO nie generuje odpowiedzialności osobistej
Procedura Dostawcy Wysokiego Ryzyka (DHR)
Unikalna dla polskiego prawa procedura obejmująca:
- Wszczęcie postępowania przez ministra ds. cyfryzacji
- Ocena techniczna i geopolityczna dostawcy
- Wydanie decyzji o uznaniu za DHR
- Plan wycofania produktów/usług DHR (do 7 lat w zależności od kategorii)
- Nowe zamówienia produktów DHR zakazane od dnia decyzji
Wymagane klauzule w umowach z dostawcami ICT
- Wymóg stosowania środków bezpieczeństwa adekwatnych do ryzyka
- Obowiązek zgłaszania incydentów bezpieczeństwa
- Prawo do audytu dostawcy
- Prawo do rozwiązania umowy w przypadku decyzji DHR
- Procedura przekazania danych po zakończeniu współpracy
- Kary umowne za naruszenie wymagań bezpieczeństwa
Kary administracyjne
Podmioty kluczowe
Do 10 000 000 EUR lub 2% całkowitego rocznego obrotu za: brak rejestracji, niezgłoszenie incydentu w terminie, brak SZBI, niezastosowanie się do decyzji organu.
Podmioty ważne
Do 7 000 000 EUR lub 1,4% całkowitego rocznego obrotu.
Odpowiedzialność osobista kierownika
Do 300% miesięcznego wynagrodzenia za nienadzorowanie wdrożenia wymagań.
Dodatkowe sankcje dla podmiotów kluczowych
- Tymczasowe zawieszenie certyfikatów i zezwoleń
- Zakaz pełnienia funkcji kierowniczych
- Publiczne ogłoszenie naruszenia
Czynniki łagodzące: szybkie usunięcie naruszenia, współpraca z organem, dobrowolne zgłoszenie, posiadanie certyfikacji ISO 27001/22301, brak poprzednich naruszeń.
Plan działań — priorytety wdrożenia
| Priorytet | Działanie | Termin |
|---|---|---|
| Krytyczny | Samoidentyfikacja — czy podmiot spełnia kryteria | Natychmiast |
| Krytyczny | Złożenie wniosku o wpis do wykazu | Do 6 miesięcy |
| Krytyczny | Wyznaczenie osoby odpowiedzialnej + rejestracja w CSIRT | Przy rejestracji |
| Krytyczny | Weryfikacja KRK kierownictwa | Przy rejestracji |
| Wysoki | Aktualizacja procedury incydentowej o terminy KSC | Do 12 miesięcy |
| Wysoki | Opracowanie procedury DHR i rejestru dostawców | Do 12 miesięcy |
| Wysoki | Wdrożenie rocznego szkolenia zarządu | Do 12 miesięcy |
| Średni | Zlecenie pierwszego audytu KSC | Do 24 miesięcy |
| Średni | Opracowanie planu komunikacji kryzysowej | Do 12 miesięcy |
Potrzebujesz wsparcia we wdrożeniu KSC 2026? Skontaktuj się — pomogę przeprowadzić samoidentyfikację, gap analysis i przygotować organizację do pełnej zgodności z ustawą.
Materiał ma charakter informacyjny i nie stanowi porady prawnej. Podstawa: Ustawa o Krajowym Systemie Cyberbezpieczeństwa 2026 (Dz. U. 2026 poz. 252), Dyrektywa NIS2 (UE 2022/2555).