KSC / NIS2 — nowe obowiązki cyberbezpieczeństwa dla firm
June 10, 2026•234 words
Od 2026 roku obowiązują nowe przepisy ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażające unijną dyrektywę NIS2. Zmiany rozszerzają katalog podmiotów, które muszą zadbać o bezpieczeństwo systemów informatycznych w sposób bardziej formalny i udokumentowany. Dotyczy to tzw. podmiotów kluczowych i podmiotów ważnych.
Źródło: Ministerstwo Cyfryzacji — „Kogo obejmuje?”
https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc---kogo-obejmuje
Nie każda firma automatycznie podlega nowym obowiązkom, ale każda organizacja działająca w sektorach wskazanych w ustawie powinna sprawdzić, czy przepisy jej dotyczą. Pod uwagę bierze się m.in. rodzaj działalności, faktycznie świadczone usługi, kod PKD oraz wielkość podmiotu. Wśród sektorów wymienionych przez Ministerstwo Cyfryzacji znajduje się m.in. ochrona zdrowia, infrastruktura cyfrowa, usługi ICT, transport, energetyka, bankowość i podmioty publiczne.
Źródło: Ministerstwo Cyfryzacji — „Jak dokonać samoidentyfikacji?”
https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc---jak-dokonac-samoidentyfikacji
Jeżeli organizacja spełnia kryteria uznania za podmiot kluczowy lub ważny, musi dokonać wpisu do Wykazu KSC. Dla podmiotów niewpisywanych z urzędu samorejestracja została uruchomiona 7 maja 2026 r., a wniosek o wpis należy złożyć do 3 października 2026 r.
Źródło: Ministerstwo Cyfryzacji — „Uruchamiamy samorejestrację”
https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc--uruchamiamy-samorejestracje-w-wykazie-podmiotow-kluczowych-i-podmiotow-waznych-sprawdz-jak-dokonac-wpisu
Nowe obowiązki to nie tylko formalny wpis do rejestru. Podmioty objęte ustawą muszą przygotować się m.in. do wdrożenia odpowiednich środków technicznych i organizacyjnych, zgłaszania incydentów, komunikacji z właściwymi organami oraz uporządkowania procedur bezpieczeństwa. Termin wdrożenia obowiązków dla podmiotów spełniających kryteria w dniu wejścia w życie ustawy upływa 3 kwietnia 2027 r.
Źródło: Ministerstwo Cyfryzacji — „Obowiązki podmiotów kluczowych i ważnych”
https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc---obowiazki-podmiotow-kluczowych-i-waznych
W praktyce warto już teraz sprawdzić podstawy: kopie zapasowe, aktualizacje systemów, dostęp administratorów, zabezpieczenie poczty, procedury reagowania na incydenty oraz dokumentację IT.