3 kwietnia 2026 r. weszła w życie nowelizacja ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej: ustawa o KSC).

Zmiany mają na celu wdrożenie dyrektywy NIS 2* i istotnie rozszerzają zakres obowiązków w obszarze cyberbezpieczeństwa po stronie przedsiębiorców oraz innych organizacji objętych ustawą.

Do najważniejszych zmian należy zastąpienie dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nowym podziałem na podmioty kluczowe i podmioty ważne. Jednocześnie rozszerzono katalog sektorów objętych regulacją, tak, że nowe obowiązki mogą dotyczyć znacznie szerszej grupy przedsiębiorców niż dotychczas, w tym m.in. podmiotów działających w obszarach ICT, komunikacji elektronicznej, produkcji samochodów lub części do samochodów, produkcji i dystrybucji żywności czy chemikaliów.

Nowelizacja nakłada na podmioty objęte ustawą obowiązek wdrożenia odpowiednich i proporcjonalnych środków technicznych, organizacyjnych i operacyjnych służących zarządzaniu ryzykiem w cyberbezpieczeństwie. W praktyce oznacza to konieczność uporządkowania systemu zarządzania bezpieczeństwem informacji, procedur reagowania na incydenty, nadzoru nad ryzykiem oraz wewnętrznej odpowiedzialności za obszar cyberbezpieczeństwa. Ustawa wzmacnia także odpowiedzialność kierownictwa za wykonanie tych obowiązków. Za naruszenie przepisów podmiotom ważnym grozi do 7 mln euro kary (do 1,4 proc. przychodów). Sankcja dla kluczowych podmiotów, o których mówi ustawa o KSC, może wynieść do 10 mln euro (do 2 proc. przychodów). Natomiast w razie spowodowania przez firmę poważnego zagrożenia, np. dla obronności czy bezpieczeństwa państwa, kara może sięgnąć 100 mln zł.

Z perspektywy praktycznej, każdy przedsiębiorca musi samodzielnie dokonać oceny, czy mieści się w definicjach podmiotów kluczowych lub ważnych (o ile nie został uznany za taki podmiot z urzędu) i w okresie od 7 maja 2026 r. do 3 października 2026 r. dokonać samorejestracji w stosownym wykazie KSC. Wykaz KSC będzie prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełnianie i składane w aplikacji Wykaz KSC w postaci elektronicznej i opatrywane podpisem elektronicznym.Nowelizacja nakłada na podmioty objęte ustawą obowiązek wdrożenia odpowiednich i proporcjonalnych środków technicznych, organizacyjnych i operacyjnych służących zarządzaniu ryzykiem w cyberbezpieczeństwie. W praktyce oznacza to konieczność uporządkowania systemu zarządzania bezpieczeństwem informacji, procedur reagowania na incydenty, nadzoru nad ryzykiem oraz wewnętrznej odpowiedzialności za obszar cyberbezpieczeństwa. Ustawa wzmacnia także odpowiedzialność kierownictwa za wykonanie tych obowiązków. Za naruszenie przepisów podmiotom ważnym grozi do 7 mln euro kary (do 1,4 proc. przychodów). Sankcja dla kluczowych podmiotów, o których mówi ustawa o KSC, może wynieść do 10 mln euro (do 2 proc. przychodów). Natomiast w razie spowodowania przez firmę poważnego zagrożenia, np. dla obronności czy bezpieczeństwa państwa, kara może sięgnąć 100 mln zł.

W związku z powyższym – Kancelaria zaleca wszystkim swoim klientom niezwłoczne dokonanie weryfikacji, czy ich organizacja może zostać uznana za podmiot kluczowy albo ważny oraz ustalenie, czy i w jakim terminie konieczny będzie wpis do wykazu.

W dalszej kolejności, w razie stwierdzenia podlegania ustawie, konieczny będzie przegląd obecnych procedur oraz środków organizacyjnych i technicznych w zakresie cyberbezpieczeństwa, a także zaplanowanie działań dostosowawczych, w tym przygotowania do realizacji obowiązków rejestracyjnych, incydentowych i audytowych. Podmioty kluczowe i ważne mają 12 miesięcy (do 3 kwietnia 2027 r.) na wdrożenie obowiązków z zakresu systemu zarządzania bezpieczeństwa informacji – SZBI. Podmiot kluczowy będzie zobowiązany do przeprowadzenia audytu 24 miesiące (do 3 kwietnia 2028 r.) od spełnienia przesłanek uznania za taki podmiot. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata. 

Kancelaria oferuje wsparcie przedsiębiorstw w ocenie, czy nowe przepisy obejmują ich działalność.

*dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022, str. 80).