Cyberbezpieczeństwo w Polsce ma szansę stać się faktem, ale zanim to się stanie – przedsiębiorcy będą musieli dostosować się do obowiązków wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa.
W dniu 3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Dodać od razu należy, że nowelizacja bardzo istotna, bo drastycznie rozszerzyła katalog podmiotów objętych nadzorem. Wiele firm, które dotychczas w żaden sposób nie identyfikowały się z sektorem cyberbezpieczeństwa, obecnie musi spełnić rygorystyczne wymagania ustawowe. Pytanie – czy mają tego świadomość?
Na początek ważna wiadomość – już 13 kwietnia 2026 r. dojdzie do uruchomienia „Wykazu podmiotów kluczowych i ważnych” przez Ministerstwo Cyfryzacji. Od tego momentu rozpocznie się proces formalnego wpisywania przedsiębiorców ważnych i kluczowych do rejestru. Na pierwszym etapie Minister właściwy ds. informatyzacji dokona wpisów automatycznie w oparciu o rejestry publiczne. Podmioty te otrzymają stosowne zawiadomienie i będą wezwane do uzupełnienia danych. Ci przedsiębiorcy będą mieli pewność co do swojego statusu. Wykaz będzie dostępny pod adresem: https://wykaz-ksc.gov.pl. W drugim etapie, który będzie kluczowym momentem dla większości średnich i dużych przedsiębiorstw, podmioty, które spełniają ustawowe przesłanki, a nie zostały wpisane z urzędu, będą miały obowiązek samodzielnego złożenia wniosku o wpis. Termin na dopełnienie tego obowiązku wynosi 6 miesięcy od dnia spełnienia przesłanek.
Na dzień dzisiejszy każdy przedsiębiorca powinien odpowiedzieć sobie na pytanie, czy ustawa go dotyczy. W tym celu przede wszystkim przedsiębiorca musi zorientować się, jaka jest jego wielkość, innymi słowy czy jest mikro, małym, średnim albo dużym przedsiębiorstwem oraz jaką działalność prowadzi. Ustawa obejmuje znaczną liczbę sektorów, jednak uwagi wymaga przede wszystkim katalog podmiotów ważnych. Do kategorii podmiotów ważnych zaliczane są m.in. przedsiębiorstwa z następujących sektorów:
- Gospodarka odpadami: podmioty zajmujące się zbieraniem, transportem, przetwarzaniem i obrotem odpadami (wymagające wpisu do rejestrów odpadowych).
- Woda i ścieki: dostawcy wody pitnej oraz firmy odprowadzające lub oczyszczające ścieki.
- Chemikalia: producenci i dystrybutorzy substancji lub mieszanin (zgodnie z rozporządzeniem REACH).
- Żywność: dystrybucja hurtowa oraz przemysłowa produkcja i przetwarzanie żywności.
- Produkcja przemysłowa: producenci wyrobów medycznych, komputerów, elektroniki, urządzeń elektrycznych, maszyn oraz pojazdów i sprzętu transportowego.
Jeśli Państwa działalność mieści się w powyższym katalogu, analiza statusu prawnego spółki w kontekście KSC staje się kwestią priorytetową.
Obowiązki podmiotów kluczowych i ważnych
Z ustawy (w szczególności art. 8) wynikają zasadniczo cztery grupy obowiązków.
Po pierwsze, podmiot musi stale identyfikować ryzyka związane z bezpieczeństwem systemu informacyjnego i odpowiednio nimi zarządzać. Po drugie, ma obowiązek wdrożyć adekwatne środki techniczne i organizacyjne, które zapewnią bezpieczne funkcjonowanie systemu, ochronę danych, kontrolę dostępu, aktualność oprogramowania oraz odporność na zakłócenia. Po trzecie, powinien na bieżąco wykrywać zagrożenia, monitorować podatności i skutecznie obsługiwać incydenty, w tym reagować na nie bez zbędnej zwłoki. Po czwarte, musi zapewnić ciągłość świadczenia usługi oraz bezpieczną komunikację z podmiotami krajowego systemu cyberbezpieczeństwa.
Wsparcie systemowe – Platforma S46
Ministerstwo Cyfryzacji udostępnia narzędzia mające ułatwić dostosowanie się do nowych wymogów (szczegóły na cyber.gov.pl). Fundamentem współpracy w ramach KSC jest zaś System S46 (gov.pl/web/system-s46). Jest to system teleinformatyczny służący do obsługi incydentów i wymiany informacji o zagrożeniach. System S46 pełni rolę „jednego okienka” – zgłoszony tam incydent trafi jednocześnie do właściwych zespołów CSIRT (poziomu krajowego i sektorowego), co zdejmuje z przedsiębiorcy obowiązek wielokrotnego raportowania tego samego zdarzenia i pozwala na szybsze uzyskanie wsparcia technicznego.
Z uwagi na precyzyjne terminy oraz surowe konsekwencje niedopełnienia obowiązków, rekomendujemy podjęcie niezwłocznych kroków w celu:
- Weryfikacji, czy Państwa firma kwalifikuje się jako podmiot ważny lub kluczowy. W tym pomocna będzie ankieta na stronie: https://cyber.gov.pl/faq
- W przypadku pozytywnej weryfikacji: audyt obecnych procedur bezpieczeństwa informacji pod kątem zgodności z art. 8 ustawy.
- Przygotowania struktury organizacyjnej do ewentualnego wpisu do Wykazu oraz obsługi Systemu S46.
Wprowadzone zmiany wymagają od kadry zarządzającej nie tylko uwagi, ale i realnych wdrożeń w strukturach IT oraz procedurach wewnętrznych.
Katarzyna Zimon – Radca prawny
NK Legal Partners
