Jakie są terminy wdrożenia KSC 2026?

6 miesięcy na rejestrację w wykazie podmiotów (Art. 7c ust. 1), 12 miesięcy na wdrożenie SZBI (Art. 16 pkt 1), 24 miesiące na pierwszy audyt bezpieczeństwa — dotyczy tylko podmiotów kluczowych (Art. 16 pkt 2). Terminy liczone od dnia spełnienia przesłanek uznania za podmiot.

Jakie kary grożą za naruszenie KSC 2026?

Podmiot kluczowy: do 10 000 000 EUR lub 2% całkowitego obrotu (Art. 73 ust. 3). Podmiot ważny: do 7 000 000 EUR lub 1,4% obrotu (Art. 73 ust. 4). Kierownik jednostki: do 300% wynagrodzenia w sektorze prywatnym lub 100% w sektorze publicznym (Art. 73a).

Jak zgłaszać incydenty poważne wg KSC 2026?

Wczesne ostrzeżenie do CSIRT sektorowego w ciągu 24h od wykrycia (Art. 11 ust. 1 pkt 4), pełne zgłoszenie w ciągu 72h (Art. 11 ust. 1 pkt 4a), sprawozdanie końcowe w ciągu 1 miesiąca (Art. 11 ust. 1 pkt 4c). Zgłoszenia kierowane do CSIRT GOV, CSIRT NASK lub CSIRT MON w zależności od sektora.

Czy certyfikat ISO 27001 zapewnia zgodność z KSC 2026?

ISO 27001 pokrywa około 75% wymagań KSC 2026, a w połączeniu z ISO 22301 około 85%. Jednak ustawa nie uznaje wprost certyfikatu ISO jako automatycznego dowodu zgodności. Obszary poza ISO to m.in.: rejestracja w wykazie, terminowe zgłaszanie incydentów (24h/72h/1M), weryfikacja karalności KRK, procedura DHR, audyt KSC co 3 lata oraz odpowiedzialność osobista kierownictwa.

Co to jest procedura Dostawcy Wysokiego Ryzyka (DHR)?

DHR (Art. 67b) to unikalna polska procedura oceny dostawców sprzętu i oprogramowania. Minister ds. cyfryzacji może wszcząć postępowanie i uznać dostawcę za wysokiego ryzyka. Podmioty KSC muszą wówczas opracować plan wycofania produktów/usług DHR w terminie do 7 lat (lub 4 lat dla funkcji telekomunikacyjnych). Nowe zamówienia produktów DHR są zakazane od dnia decyzji.

KSC 2026 — Przewodnik Zgodności

Q: Kogo dotyczy ustawa KSC 2026?

Ustawa dotyczy podmiotów kluczowych (250+ pracowników lub obrót >50M EUR w sektorach z Załącznika I: energia, transport, bankowość, zdrowie, infrastruktura cyfrowa) oraz podmiotów ważnych (50-249 pracowników lub obrót 10-50M EUR w sektorach z Załącznika II: poczta, odpady, chemia, żywność, produkcja). Kryteria określa Art. 5 ustawy.

Przegląd

Główne zmiany vs. stary KSC

Kluczowe różnice w stosunku do poprzedniej ustawy o krajowym systemie cyberbezpieczeństwa.

Aktualne prawo

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz. U. 2026 poz. 252). Wdraża dyrektywę NIS2 (UE 2022/2555). Zastępuje pojęcia OUK i DUC nowymi kategoriami: podmioty kluczowe i podmioty ważne.

Nowy zakres podmiotowy

OUK i DUC zastąpione przez "podmioty kluczowe" i "podmioty ważne" — szerszy katalog sektorów i podmiotów.

Samoidentyfikacja

Podmioty samodzielnie oceniają czy spełniają kryteria i rejestrują się — nie czekają na decyzję organu.

Rozszerzony katalog obowiązków

Nowe wymogi dot. łańcucha dostaw, zarządu, weryfikacji karalności, szkoleń.

Odpowiedzialność zarządu

Osobista odpowiedzialność finansowa kierownictwa — do 300% miesięcznego wynagrodzenia.

Wyższe kary

Do 10M EUR lub 2% obrotu (poprzednio max 1M PLN).

Dostawca Wysokiego Ryzyka

Nowa procedura oceny i wycofania produktów/usług dostawcy uznanego za DHR.

Struktura

Kluczowe artykuły ustawy

Najważniejsze przepisy i ich przedmiot.

Art. 2Definicje legalne: incydent, incydent poważny, CSIRT, kierownik podmiotu i inne

Art. 5Kryteria przynależności do kategorii podmiotów kluczowych (ust. 1) i ważnych (ust. 2)

Art. 7, 7b-7cWykaz podmiotów, zawiadomienie o wpisie, wniosek o wpis i aktualizacja danych

Art. 8Obowiązki podmiotów kluczowych i ważnych — katalog SZBI

Art. 8c-8fOdpowiedzialność zarządu, szkolenia, weryfikacja KRK, łańcuch dostaw

Art. 11Zgłaszanie incydentów poważnych — terminy 24h / 72h / 1 miesiąc

Art. 15-16Audyty bezpieczeństwa — częstotliwość, niezależność, terminy wdrożenia

Art. 67b-67cProcedura Dostawcy Wysokiego Ryzyka (DHR) — wszczęcie, ocena, wycofanie

Art. 73-73aKary administracyjne i odpowiedzialność osobista kierownika jednostki

Podmioty

Kogo dotyczy ustawa KSC 2026?

Dwie kategorie podmiotów z różnymi poziomami nadzoru i sankcji.

Podmiot kluczowy Art. 5 ust. 1

Surowsze wymogi nadzorcze i wyższe kary. Organ nadzoru może przeprowadzać kontrole prewencyjne.

Kryteria wielkości

Duże przedsiębiorstwa (250+ pracowników LUB obrót >50M EUR i bilans >43M EUR)
Sektor energetyczny, transportowy, bankowy, infrastruktura rynków finansowych
Ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa
Zarządzanie usługami ICT (B2B), przestrzeń kosmiczna
Administracja publiczna (szczebel centralny)

10 000 000 EUR lub 2% całkowitego obrotu

Podmiot ważny Art. 5 ust. 2

Nadzór reaktywny — organ działa po incydencie lub skardze. Mniejsze kary, ale te same obowiązki podstawowe.

Kryteria wielkości

Średnie przedsiębiorstwa (50-249 pracowników LUB obrót 10-50M EUR)
Sektory: pocztowy, gospodarowanie odpadami, produkcja krytyczna
Dostawcy usług cyfrowych (marketplace, wyszukiwarki, chmura)
Żywność, produkcja chemiczna, badania naukowe
Administracja publiczna (szczebel regionalny)

7 000 000 EUR lub 1,4% całkowitego obrotu

Sektory

Sektory objęte ustawą KSC 2026

Załącznik I (kluczowe) i Załącznik II (ważne) do ustawy.

Załącznik I — Sektory kluczowe

Energia (elektroenergetyka, gaz, ropa, ciepło, wodór)

Transport (lotniczy, kolejowy, wodny, drogowy)

Bankowość i instytucje kredytowe

Infrastruktura rynków finansowych

Ochrona zdrowia (szpitale, laboratoria, producenci)

Woda pitna i ścieki

Infrastruktura cyfrowa (IXP, DNS, TLD, DC, CDN, PKI)

Zarządzanie usługami ICT (B2B — MSP, MSSP)

Administracja publiczna (szczebel centralny)

Przestrzeń kosmiczna

Załącznik II — Sektory ważne

Usługi pocztowe i kurierskie

Gospodarowanie odpadami

Produkcja chemiczna

Produkcja i dystrybucja żywności

Produkcja krytyczna (medyczna, komputerowa, pojazdy)

Badania naukowe

Dostawcy usług cyfrowych (marketplace, wyszukiwarki)

Administracja publiczna (szczebel regionalny)

Czy dotyczy mnie KSC?

Procedura samoidentyfikacji

Art. 5 ustawy KSC — trzy kroki do ustalenia statusu podmiotu.

Sprawdź sektor

Czy Twoja działalność wchodzi w zakres Załącznika I lub II do ustawy?

Sprawdź wielkość

250+ prac. lub obrót >50M EUR = kluczowy. 50-249 prac. lub 10-50M EUR = ważny.

Zarejestruj się

Złóż wniosek o wpis do wykazu w ciągu 6 miesięcy od spełnienia kryteriów (art. 7c ust. 1).

Wyjątek

Niezależnie od wielkości ustawie podlegają podmioty, jeśli są jedynym dostawcą danej usługi w Polsce, ich zakłócenie miałoby istotny wpływ na bezpieczeństwo publiczne, lub organ nadzorczy wskaże je z urzędu.

Obowiązki

Katalog obowiązków KSC 2026

Kompletny katalog obowiązków z Art. 8 i nast. Obowiązki dotyczą zarówno podmiotów kluczowych, jak i ważnych.

System Zarządzania Bezpieczeństwem Informacji (SZBI)

Art. 8 ust. 1 — termin wdrożenia: 12 miesięcy

//Polityki bezpieczeństwa informacji — udokumentowane polityki dotyczące ryzyka i bezpieczeństwa systemów

//Zarządzanie ryzykiem — regularna analiza i ocena ryzyk cyberbezpieczeństwa

//Obsługa incydentów — procedury wykrywania, analizy, klasyfikacji i reagowania

//Ciągłość działania — plany BCP, zarządzanie kopiami zapasowymi, DRP

//Bezpieczeństwo łańcucha dostaw — ocena dostawców, klauzule umowne, procedura DHR

//Bezpieczeństwo sieci i systemów — segmentacja, kontrola dostępu, szyfrowanie

//Ocena skuteczności środków — monitorowanie, pomiar i przegląd

//Higiena cyberbezpieczeństwa i szkolenia pracowników

//Kryptografia — polityki stosowania i zarządzania szyfrowaniem

//Bezpieczeństwo zasobów ludzkich — weryfikacja, kontrola dostępu, offboarding

//Uwierzytelnianie wieloskładnikowe (MFA) tam gdzie możliwe

//Bezpieczna komunikacja — zabezpieczone kanały w nagłych sytuacjach

Obowiązki Zarządu

Art. 8c, 8d, 8e — odpowiedzialność i zadania kierownictwa

//Zatwierdzenie środków zarządzania ryzykiem cyberbezpieczeństwa

//Roczne szkolenie z cyberbezpieczeństwa dla kierownictwa (art. 8e ust. 1)

//Nadzór nad realizacją obowiązków ustawowych

//Osobista odpowiedzialność finansowa za naruszenia (art. 73a)

//Zapewnienie zasobów do realizacji SZBI

Weryfikacja i Rejestracja

Art. 7c ust. 1, art. 8f — obowiązki formalne

//Złożenie wniosku o wpis do wykazu w ciągu 6 miesięcy

//Aktualizacja danych w wykazie w ciągu 14 dni od zmiany

//Weryfikacja karalności (KRK) — zaświadczenie o niekaralności (art. 8f ust. 1)

//Wyznaczenie punktu kontaktowego z CSIRT

//Rejestracja w systemie teleinformatycznym organu nadzorczego

Audyty Bezpieczeństwa

Art. 14-16 — obowiązek, częstotliwość, niezależność

//Podmiot kluczowy: audyt na własny koszt, co najmniej raz na 3 lata

//Pierwszy audyt w ciągu 24 miesięcy od spełnienia przesłanek (tylko podmioty kluczowe)

//Zakaz konfliktu interesów — audytor nie może realizować zadań operacyjnych

//Audyt zewnętrzny nakazany przez organ w każdej chwili (art. 15 ust. 1b)

//Kopia raportu przekazywana organowi w ciągu 3 dni roboczych

Bezpieczeństwo Łańcucha Dostaw

Art. 8e-8f — nowe wymogi (brak w starym KSC)

//Ocena ryzyk związanych z dostawcami usług ICT

//Klauzule bezpieczeństwa w umowach z dostawcami kluczowych usług

//Procedura identyfikacji i oceny dostawcy wysokiego ryzyka (DHR)

//Plan wycofania produktów/usług DHR

//Monitoring ciągłości świadczenia usług przez dostawców krytycznych

//Inwentaryzacja aktywów ICT i mapowanie dostawców

Terminy

Oś czasu wejścia w życie

Chronologiczne zestawienie kluczowych terminów ustawy KSC 2026.

23 stycznia 2026

Podpisanie ustawy

Ustawa KSC 2026 podpisana i opublikowana w Dz. U. 2026 poz. 252

+6 miesięcy

Rejestracja w wykazie

Podmioty muszą złożyć wniosek o wpis do wykazu podmiotów kluczowych lub ważnych

Art. 7c ust. 1

+12 miesięcy

Wdrożenie SZBI

Pełne wdrożenie systemu zarządzania bezpieczeństwem informacji i środków zarządzania ryzykiem — od dnia spełnienia przesłanek uznania za podmiot

Art. 16 pkt 1

+24 miesiące

Pierwszy audyt bezpieczeństwa (tylko podmioty kluczowe)

Przeprowadzenie pierwszego audytu — niezależny podmiot zewnętrzny, bez konfliktu interesów. Termin od dnia spełnienia przesłanek uznania za podmiot kluczowy.

Art. 16 pkt 2

Co 3 lata

Audyty cykliczne

Regularne audyty bezpieczeństwa nie rzadziej niż co 3 lata

Art. 15 ust. 1

Co roku

Szkolenie kierownictwa

Roczne szkolenie z cyberbezpieczeństwa dla kierownictwa i osoby odpowiedzialnej za cyber

Art. 8e ust. 1

Incydenty

Procedura obsługi i zgłaszania incydentów

Art. 9-11 ustawy KSC 2026 — obowiązkowy proces zgłaszania incydentów poważnych.

0h Wykrycie

24h Wczesne ostrzeżenie

72h Pełne zgłoszenie

1 mies. Sprawozdanie końcowe

Wczesne ostrzeżenie (24h)

//Wstępna informacja o wykryciu incydentu

//Czy incydent może być wynikiem działania bezprawnego

//Czy ma skutki transgraniczne

//Szacunkowy zakres wpływu na usługę

Pełne zgłoszenie (72h)

//Aktualizacja informacji z wczesnego ostrzeżenia

//Wstępna ocena: stopień dotkliwości i wpływ

//Wskaźniki naruszenia bezpieczeństwa (IOC)

//Podjęte środki zaradcze i tymczasowe

Kiedy incydent jest "poważny"?

Kryteria Art. 9 — spełnienie jednego z poniższych:

//Spowodował lub może spowodować poważne zakłócenie usługi

//Spowodował lub może spowodować straty finansowe dla podmiotu

//Wpłynął lub może wpłynąć na inne podmioty (efekt domina)

//Spowodował szkodę materialną lub niematerialną

CSIRT GOV

Administracja rządowa, służby specjalne, infrastruktura krytyczna

CSIRT NASK

Pozostałe podmioty, dostawcy usług cyfrowych, obywatele

CSIRT MON

Podmioty z sektora obronnego i wojskowego

ISO vs KSC

Pokrycie KSC 2026 przez ISO 27001 i ISO 22301

ISO 27001 i ISO 22301 znacząco wspierają zgodność z KSC 2026, ale nie zapewniają automatycznie pełnej zgodności.

ISO 27001 pokrywa KSC

~75%

ISO 22301 pokrywa KSC

~60%

Wymagania wyłącznie KSC

~30%

Wskazówka

Wdrożenie ISO 27001 równolegle z KSC pozwala efektywnie zbudować SZBI wymagany przez art. 8 ustawy. Ustawa nie uznaje wprost certyfikatu ISO 27001 jako automatycznego dowodu zgodności, ale certyfikacja pozostaje najsilniejszym argumentem merytorycznym przy kontroli. ISO 27001 + ISO 22301 łącznie pokrywają ~85% wymagań.

Wymaganie KSC 2026	Art. KSC	ISO 27001	ISO 22301	Pokrycie
Polityki bezpieczeństwa i szacowania ryzyka	Art. 8 ust. 1 pkt 2 lit. a	Kl. 5.2, A.5.1	Kl. 5.2	Pełne
Zarządzanie ryzykiem cyberbezpieczeństwa	Art. 8 ust. 1 pkt 1	Kl. 6.1, A.8	Kl. 6.1	Pełne
Obsługa incydentów	Art. 8; art. 9-11	A.5.24-5.28	—	Częściowe
Terminy zgłaszania incydentów (24h/72h/1M)	Art. 11	—	—	Brak
Ciągłość działania i DRP	Art. 8 ust. 1 pkt 2 lit. f	A.5.29-5.30	Kl. 8, 9, 10	Pełne (22301)
Bezpieczeństwo łańcucha dostaw ICT	Art. 8; art. 8e-8f	A.5.19-5.22	—	Częściowe
Procedura DHR (dostawca wysokiego ryzyka)	Art. 8 ust. 1	—	—	Brak
MFA / bezpieczna komunikacja	Art. 8 ust. 1 pkt 2 lit. l	A.8.5	—	Pełne
Kryptografia i szyfrowanie	Art. 8 ust. 1 pkt 2 lit. k	A.8.24	—	Pełne
Bezpieczeństwo zasobów ludzkich	Art. 8 ust. 1 pkt 2 lit. d	A.6.1-6.6	—	Pełne
Weryfikacja karalności (KRK)	Art. 8f ust. 1	A.6.1 (częściowo)	—	Brak
Szkolenia — zarząd (roczne)	Art. 8e ust. 1	Kl. 5.1 (ogólnie)	—	Częściowe
Odpowiedzialność osobista kierownictwa	Art. 73a	—	—	Brak
Rejestracja w wykazie podmiotów	Art. 7c ust. 1	—	—	Brak
Audyt bezpieczeństwa co 3 lata	Art. 15; art. 16	—	—	Brak

Luki / Gaps

Obszary poza ISO — wymagające osobnych działań

Wymagania KSC 2026, które nie są pokryte przez ISO 27001 ani ISO 22301. Krytyczne luki do uzupełnienia.

Brak pokrycia

Rejestracja w wykazie podmiotów KSC

Złożenie wniosku o wpis do wykazu w ciągu 6 miesięcy. Wniosek składany elektronicznie, podpisany kwalifikowanym podpisem.

Działanie: wniosek formalno-administracyjny

Brak pokrycia

Terminowe zgłaszanie incydentów (24h / 72h / 1M)

ISO daje ramy procesu, ale nie definiuje ustawowych terminów zgłaszania do CSIRT. KSC nakłada sztywne ramy czasowe.

Działanie: procedura z konkretnymi progami czasowymi

Brak pokrycia

Weryfikacja karalności (KRK)

Art. 8f nakłada obowiązek sprawdzenia w Krajowym Rejestrze Karnym. ISO 27001 A.6.1 wymaga background checks, ale nie precyzuje KRK.

Działanie: procedura weryfikacji + dokumentacja KRK

Brak pokrycia

Procedura Dostawcy Wysokiego Ryzyka (DHR)

Specyficzna procedura oceny i potencjalnego wycofania produktów/usług dostawcy uznanego za DHR. Brak odpowiednika w ISO.

Działanie: opracowanie procedury DHR + plan migracji

Brak pokrycia

Audyt bezpieczeństwa KSC (co 3 lata)

Odrębny od recertyfikacji ISO. Zakaz konfliktu interesów — audytor nie może realizować zadań operacyjnych.

Działanie: zlecenie audytu niezależnemu podmiotowi

Brak pokrycia

Osobista odpowiedzialność kierownictwa

Kierownik jednostki odpowiada osobiście karą do 300% wynagrodzenia (sektor prywatny) lub 100% (sektor publiczny). Art. 73a. ISO nie generuje odpowiedzialności osobistej.

Działanie: szkolenie zarządu + dokumentacja

Obszary częściowo pokryte przez ISO

Wymagają rozszerzenia lub adaptacji dla KSC.

Częściowe

Obsługa incydentów

ISO daje ramy procesu, ale KSC dodaje: klasyfikację jako "poważny", terminy 24h/72h/1M, obowiązek zgłoszenia do CSIRT.

Częściowe

Bezpieczeństwo łańcucha dostaw

ISO wymaga zarządzania relacjami z dostawcami, ale KSC precyzuje obowiązek oceny ryzyka DHR i planu migracji.

Częściowe

Szkolenia zarządu

ISO wymaga zaangażowania kierownictwa, ale nie precyzuje rocznego obowiązku szkolenia z cyberbezpieczeństwa.

Częściowe

Bezpieczna komunikacja kryzysowa

ISO obejmuje bezpieczeństwo komunikacji, ale KSC wymaga specyficznie zabezpieczonych kanałów kryzysowych.

Plan działań

Plan uzupełniania luk — priorytety

Rekomendowana kolejność wdrożenia dodatkowych środków.

#	Działanie	Priorytet	Termin
1	Samoidentyfikacja: czy podmiot spełnia kryteria ustawy	Krytyczny	Natychmiast
2	Złożenie wniosku o wpis do wykazu podmiotów	Krytyczny	Do 6 miesięcy
3	Wyznaczenie osoby odpowiedzialnej za cyber + rejestracja w CSIRT	Krytyczny	Przy rejestracji
4	Weryfikacja KRK kierownictwa i osoby odpowiedzialnej	Krytyczny	Przy rejestracji
5	Aktualizacja procedury incydentowej o terminy 24h/72h/1M	Wysoki	Do 12 miesięcy
6	Opracowanie procedury DHR i rejestru dostawców krytycznych	Wysoki	Do 12 miesięcy
7	Wdrożenie rocznego szkolenia zarządu z cyberbezpieczeństwa	Wysoki	Do 12 miesięcy
8	Zlecenie pierwszego audytu KSC niezależnemu podmiotowi	Średni	Do 24 miesięcy
9	Opracowanie planu komunikacji kryzysowej	Średni	Do 12 miesięcy
10	Dokumentacja odpowiedzialności osobistej kierownictwa	Średni	Do 12 miesięcy

Kary

Kary administracyjne

Art. 73 i 73a ustawy KSC 2026. Organ stosuje wyższą z kwot.

10 000 000 EUR lub 2% całkowitego obrotu Podmiot kluczowy

Art. 73 ust. 3. Nadzór prewencyjny. Możliwość zawieszenia działalności.

7 000 000 EUR lub 1,4% całkowitego obrotu Podmiot ważny

Art. 73 ust. 4. Nadzór reaktywny (po incydencie lub skardze).

300% / 100% miesięcznego wynagrodzenia Kierownik jednostki

Art. 73a. Do 300% w sektorze prywatnym, do 100% w sektorze publicznym.

Naruszenie	Kluczowy	Ważny
Brak rejestracji w wykazie podmiotów	Do 10M EUR / 2%	Do 7M EUR / 1,4%
Niezgłoszenie incydentu poważnego (24h/72h)	Do 10M EUR / 2%	Do 7M EUR / 1,4%
Brak wdrożenia SZBI	Do 10M EUR / 2%	Do 7M EUR / 1,4%
Brak lub nienależyte przeprowadzenie audytu	Do 10M EUR / 2%	Do 7M EUR / 1,4%
Niezastosowanie się do decyzji organu	Do 10M EUR / 2%	Do 7M EUR / 1,4%
Brak weryfikacji karalności (KRK)	Do 10M EUR / 2%	—
Naruszenie przez kierownika — brak nadzoru (art. 73a)	Do 300% wyn. (pryw.) / 100% (publ.)	Do 300% wyn. (pryw.) / 100% (publ.)

Czynniki łagodzące

//Szybkie usunięcie naruszenia po wykryciu

//Współpraca z organem nadzorczym

//Dobrowolne zgłoszenie naruszenia

//Posiadanie certyfikacji (ISO 27001, ISO 22301)

//Brak poprzednich naruszeń

Czynniki zaostrzające

//Umyślność lub rażące niedbalstwo

//Powtarzające się naruszenia

//Poważne szkody dla użytkowników

//Naruszenia transgraniczne

//Brak współpracy z organem podczas kontroli

Łańcuch dostaw

Bezpieczeństwo łańcucha dostaw

Art. 8e-8f — jeden z najbardziej wymagających nowych obszarów KSC 2026. Wprowadza procedurę Dostawcy Wysokiego Ryzyka (DHR).

Obowiązki w zakresie łańcucha dostaw

Art. 8e — wymagania dla wszystkich podmiotów

//Inwentaryzacja wszystkich dostawców usług ICT, produktów ICT i usług zarządzanych

//Ocena ryzyka dostawcy — analiza przed nawiązaniem współpracy i cyklicznie

//Klauzule umowne obejmujące bezpieczeństwo informacji i prawo do audytu

//Minimalne wymagania bezpieczeństwa dla kluczowych dostawców ICT

//Monitorowanie ciągłości i bezpieczeństwa dostawców krytycznych

//Plan zastąpienia dostawcy w przypadku utraty dostępności lub naruszenia

Procedura Dostawcy Wysokiego Ryzyka (DHR)

Art. 67b — unikalna procedura polska, brak odpowiednika w ISO.

Wszczęcie postępowania

Minister ds. cyfryzacji wszczyna postępowanie w sprawie uznania dostawcy za DHR (z urzędu lub na wniosek).

Ocena techniczna i geopolityczna

Analiza: powiązania dostawcy z państwem trzecim, historia naruszeń, luki w produktach, praktyki dostawcy.

Decyzja o uznaniu za DHR

Minister wydaje decyzję. Dostawca wpisany na listę DHR.

Opracowanie planu wycofania

Podmioty kluczowe i ważne muszą opracować plan zastąpienia produktów/usług DHR (do 7 lat).

Realizacja planu migracji

Wdrożenie alternatywnych rozwiązań. Nowe zamówienia produktów DHR zakazane od dnia decyzji.

Minimalne klauzule umowne z dostawcami ICT

Art. 8e KSC 2026

//Wymóg stosowania przez dostawcę środków bezpieczeństwa adekwatnych do ryzyka

//Obowiązek zgłaszania incydentów bezpieczeństwa dotyczących świadczonej usługi

//Prawo do audytu dostawcy przez podmiot lub stronę trzecią

//Prawo do rozwiązania umowy w przypadku decyzji DHR

//Obowiązek informowania o zmianach w łańcuchu dostaw dostawcy

//Procedura przekazania danych i dokumentacji po zakończeniu współpracy

//Kary umowne za naruszenie wymagań bezpieczeństwa

Ustawa o Krajowym Systemie Cyberbezpieczeństwa 2026

Główne zmiany vs. stary KSC

Nowy zakres podmiotowy

Samoidentyfikacja

Rozszerzony katalog obowiązków

Odpowiedzialność zarządu

Wyższe kary

Dostawca Wysokiego Ryzyka

Kluczowe artykuły ustawy

Kogo dotyczy ustawa KSC 2026?

Kryteria wielkości

Kryteria wielkości

Sektory objęte ustawą KSC 2026

Załącznik I — Sektory kluczowe

Załącznik II — Sektory ważne

Procedura samoidentyfikacji

Sprawdź sektor

Sprawdź wielkość

Zarejestruj się

Katalog obowiązków KSC 2026

System Zarządzania Bezpieczeństwem Informacji (SZBI)

Obowiązki Zarządu

Weryfikacja i Rejestracja

Audyty Bezpieczeństwa

Bezpieczeństwo Łańcucha Dostaw

Oś czasu wejścia w życie

Podpisanie ustawy

Rejestracja w wykazie

Wdrożenie SZBI

Pierwszy audyt bezpieczeństwa (tylko podmioty kluczowe)

Audyty cykliczne

Szkolenie kierownictwa

Procedura obsługi i zgłaszania incydentów

Wczesne ostrzeżenie (24h)

Pełne zgłoszenie (72h)

Kiedy incydent jest "poważny"?

Pokrycie KSC 2026 przez ISO 27001 i ISO 22301

Obszary poza ISO — wymagające osobnych działań

Rejestracja w wykazie podmiotów KSC

Terminowe zgłaszanie incydentów (24h / 72h / 1M)

Weryfikacja karalności (KRK)

Procedura Dostawcy Wysokiego Ryzyka (DHR)

Audyt bezpieczeństwa KSC (co 3 lata)

Osobista odpowiedzialność kierownictwa

Obszary częściowo pokryte przez ISO

Obsługa incydentów

Bezpieczeństwo łańcucha dostaw

Szkolenia zarządu

Bezpieczna komunikacja kryzysowa

Plan uzupełniania luk — priorytety

Kary administracyjne

Czynniki łagodzące

Czynniki zaostrzające

Bezpieczeństwo łańcucha dostaw

Obowiązki w zakresie łańcucha dostaw

Procedura Dostawcy Wysokiego Ryzyka (DHR)

Wszczęcie postępowania

Ocena techniczna i geopolityczna

Decyzja o uznaniu za DHR

Opracowanie planu wycofania

Realizacja planu migracji

Minimalne klauzule umowne z dostawcami ICT

Pomogę Ci przygotować się na KSC 2026