Rząd przyjął ustawę, teraz KSC 2.0 wchodzi w życie. 6 miesięcy na rejestrację. Za dwa lata posypią się ogromne kary

3 kwietnia 2026 roku zaczyna obowiązywać nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. To koniec sześcioletniego maratonu legislacyjnego i jednocześnie otwarcie dwuletniego okna. W 2028 roku zaczną się sypać kary.

Siedem lat minęło, NIS 2 nie mogła dłużej czekać

Pierwotna ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie 28 sierpnia 2018 roku. Przez kolejne lata Polska zwlekała z implementacją unijnej dyrektywy NIS 2, która miała gruntownie przebudować europejskie standardy ochrony cyfrowej. Termin minął, Komisja Europejska traciła cierpliwość. Sejm uchwalił nowelizację 23 stycznia 2026 roku. Prezydent Karol Nawrocki podpisał ją 19 lutego 2026 roku, ustawa trafiła do Dziennika Ustaw 2 marca 2026 roku, a miesiąc karencji upłynął dziś.

Nowe przepisy – ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw – wdrażają dyrektywę NIS 2 i tzw. Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci piątej generacji. Skala zmian jest znacząca: stary system obejmował relatywnie wąską grupę operatorów usług kluczowych, głównie z energetyki, transportu i bankowości. Nowy rozciąga obowiązki na dziesiątki tysięcy organizacji w całej polskiej gospodarce.

Branża spożywcza, chemiczna, pocztowa – nowi gracze pod nadzorem

Do tej pory cyberbezpieczeństwo w rozumieniu ustawy KSC kojarzyło się z elektrowniami, bankami i szpitalami. Nowelizacja radykalnie poszerza ten katalog. Obok energetyki, transportu, ochrony zdrowia i sektora finansowego pojawiają się teraz: przemysł spożywczy, przemysł chemiczny, gospodarka odpadami i ściekami, a także usługi pocztowe i kurierskie.

Ustawa dzieli objęte nią podmioty na 2 grupy. Podmiotami kluczowymi są co do zasady duże przedsiębiorstwa z sektorów strategicznych oraz dotychczasowi operatorzy usług kluczowych, którzy automatycznie zyskują nowy status bez żadnych dodatkowych formalności. Podmiotami ważnymi są zazwyczaj średnie firmy z tych samych branż. Kryterium kwalifikacji to połączenie sektora działalności i wielkości przedsiębiorstwa – ustawa nie operuje jednak gotową listą nazw firm, lecz zestawem parametrów, które każdy podmiot musi samodzielnie zweryfikować.

Nowe przepisy nie narzucają konkretnych technologii ani systemów. Wymagają natomiast wdrożenia określonych zdolności operacyjnych – w praktyce oznacza to przejście z podejścia formalnego, gdzie bezpieczeństwo cyfrowe istniało głównie na papierze, do realnego zarządzania ryzykiem informatycznym w organizacji.

Rejestr otwiera się 7 maja – deadline to 3 października

Od dziś zaczynają biec terminy. Pierwszym i najbliższym jest 3 października 2026 roku – data graniczna złożenia wniosku o wpis do wykazu podmiotów kluczowych i ważnych. Ministerstwo Cyfryzacji otwiera rejestr dla firm 7 maja 2026 roku, co daje przedsiębiorcom faktycznie nieco ponad 5 miesięcy na dopełnienie tej formalności. Zgłoszenia będą realizowane drogą elektroniczną przez system S46.

Zanim jednak firma złoży wniosek, musi samodzielnie ocenić, czy w ogóle podlega nowym przepisom. Resort nie roześle wezwań – to po stronie przedsiębiorcy leży obowiązek weryfikacji własnej sytuacji. Ministerstwo Cyfryzacji przygotowało zestaw pytań i odpowiedzi (dostępny na stronach gov.pl), który ma ułatwić tę ocenę, a w kolejnych tygodniach zapowiada publikację cyklu komunikatów omawiających poszczególne obowiązki.

„Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa. Dzięki temu możemy stopniowo i skutecznie wzmacniać bezpieczeństwo cyfrowe kraju” – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski, cytowany przez Ministerstwo Cyfryzacji.

12 miesięcy na wdrożenie systemu zarządzania bezpieczeństwem

Rejestracja to dopiero pierwszy krok. Do 3 kwietnia 2027 roku wszystkie podmioty kluczowe i ważne, które już w dniu wejścia w życie ustawy spełniają ustawowe kryteria, muszą wdrożyć pełen pakiet obowiązków. Chodzi przede wszystkim o stworzenie i udokumentowanie systemu zarządzania bezpieczeństwem informacji (SZBI), uruchomienie systematycznego szacowania ryzyka, zapewnienie ciągłego monitorowania systemów informatycznych oraz wyznaczenie i przeszkolenie personelu odpowiedzialnego za cyberbezpieczeństwo.

Do ustawy wbudowane zostało Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się centralnym węzłem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach. Równolegle, w ciągu 18 miesięcy od wejścia ustawy w życie, mają powstać sektorowe zespoły CSIRT wspierające poszczególne branże operacyjnie. Krajowe zespoły CSIRT, w tym CSIRT NASK, zyskają przy tym nowe kompetencje związane ze znacznie rozszerzoną grupą podmiotów, którym będą udzielać wsparcia w reagowaniu na incydenty.

Pierwszy audyt do 3 kwietnia 2028 r. – i kolejne co 3 lata

Podmioty kluczowe mają czas do 3 kwietnia 2028 roku na przeprowadzenie pierwszego obowiązkowego audytu cyberbezpieczeństwa. Kolejne audyty będą musiały być przeprowadzane co najmniej raz na 3 lata. Podmioty ważne tego konkretnego obowiązku audytowego nie mają – przynajmniej nie w takiej skali jak kluczowe.

Ta sama data – 3 kwietnia 2028 roku – jest też momentem, od którego organy nadzoru zyskują pełne uprawnienia do nakładania administracyjnych kar pieniężnych. Dwuletni bufor to świadoma decyzja ustawodawcy, który uznał, że skala wymaganych zmian jest zbyt duża, by karać firmy od pierwszego dnia obowiązywania przepisów. To czas na inwestycje, reorganizację procesów i budowę kompetencji wewnętrznych.

Do 10 mln euro kary – albo 2% rocznego przychodu

Kto po 3 kwietnia 2028 roku nie będzie miał porządku w cyberbezpieczeństwie, może zapłacić słono. Dla podmiotów kluczowych przewidziano kary do 10 mln euro lub 2% rocznego przychodu – stosuje się wyższą z tych kwot. Podmioty ważne mogą zostać ukarane do 7 mln euro lub 1,4% przychodów. W przypadkach najpoważniejszych naruszeń – gdy podmiot kluczowy lub ważny swoim działaniem lub zaniechaniem powoduje bezpośrednie zagrożenie dla obronności państwa, życia i zdrowia ludzi lub wywołuje poważne szkody majątkowe – ustawa przewiduje kary sięgające nawet 100 mln zł.

Ustawa wprowadza też sankcje dzienne za niewykonanie poleceń organów nadzorczych. Co istotne, odpowiedzialność finansowa może spaść nie tylko na samą organizację, ale też bezpośrednio na jej kierownika – jeśli ten nie dopełni swoich ustawowych obowiązków w zakresie cyberbezpieczeństwa.

Prezydent podpisał, ale część przepisów trafiła do Trybunału

Ustawa nie weszła w życie bez kontrowersji. Prezydent Nawrocki podpisał ją 19 lutego 2026 roku, ale jednocześnie skierował do Trybunału Konstytucyjnego wniosek o kontrolę następczą przepisów dotyczących tzw. dostawców wysokiego ryzyka. Chodzi o zapisy, które pozwalają ministrowi cyfryzacji nakazać podmiotom kluczowym i ważnym wymianę sprzętu lub oprogramowania uznanego za zagrożenie dla bezpieczeństwa państwa – na koszt samych firm, bez odszkodowania i bez zagwarantowania środków finansowych na ten cel.

Jak wskazał prezydent w uzasadnieniu wniosku, przepisy te ingerują w samodzielność przedsiębiorców w sposób, który może naruszać Konstytucję RP. Przeciw tym rozwiązaniom opowiadali się też część konstytucjonalistów i środowiska biznesowe. Wniosek prezydenta do TK ma charakter kontroli następczej – nie wstrzymuje wejścia ustawy w życie, ale nad spornymi przepisami ciążyć będzie znak zapytania do czasu wydania orzeczenia.

Co to oznacza dla Ciebie? Sprawdź, czy Twoja firma podlega ustawie, zanim minie termin rejestracji

Jeśli prowadzisz firmę lub zarządzasz instytucją publiczną w jednym ze strategicznych sektorów – energetyce, transporcie, bankowości, ochronie zdrowia, ale też w branży spożywczej, chemicznej, pocztowej, gospodarce odpadami czy wodociągach – masz teraz czas do 3 października 2026 roku na złożenie wniosku o wpis do wykazu podmiotów KSC. Rejestr otworzy się 7 maja 2026 roku przez system S46.

Pierwszy krok to samodzielna weryfikacja, czy Twoja organizacja spełnia kryteria – zarówno sektorowe, jak i wielkościowe. Ministerstwo Cyfryzacji udostępniło w tym celu dokument Q&A dostępny pod adresem gov.pl. Jeśli okaże się, że podlegasz ustawie, masz 12 miesięcy od jej wejścia w życie – czyli do 3 kwietnia 2027 r. – na wdrożenie systemu zarządzania bezpieczeństwem informacji i zapewnienie odpowiedniej kadry.

Kary mogą pojawić się dopiero po 3 kwietnia 2028 roku – ale dwuletni bufor nie oznacza, że można czekać do ostatniej chwili. Zbudowanie realnych zdolności cyberbezpieczeństwa, przeszkolenie personelu i przeprowadzenie audytu to procesy, które zajmują miesiące i wymagają nakładów finansowych. Firmy, które zaczną późno, mogą mieć problem z dochowaniem terminów.