1 godzina temu
Od 3 kwietnia 2026 roku w Polsce obowiązuje nowe prawo o cyberbezpieczeństwie – najpoważniejsza zmiana w tym obszarze od dekady. Objęła ona ok. 38 000 podmiotów, z czego większość choćby nie wie, iż znalazła się w zasięgu przepisów. Termin na rejestrację mija 3 października. Kary za brak wpisu zaczynają się od 15 000 zł, a w skrajnych przypadkach sięgają 100 milionów złotych. Zarząd odpowiada osobiście.
Zdziwiony mężczyzna przed ekranem komputera. Grafika poglądowa (generowana automatycznie – Gemini).Skąd ta ustawa i co ją napędza
Polska była jednym z ostatnich państw Unii Europejskiej, które wdrożyły dyrektywę NIS2 (Network and Information Security 2). Termin implementacji upłynął 17 października 2024 roku, ale Polska przekroczyła go o ponad 400 dni. Sejm uchwalił nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) 23 stycznia 2026 roku, Senat przyjął ją bez zasadniczych zmian, a prezydent podpisał w lutym. Nowe przepisy weszły w życie 3 kwietnia 2026 roku.
Celem jest wdrożenie unijnego standardu ochrony systemów informatycznych w sektorach kluczowych dla funkcjonowania państwa i gospodarki – energetyce, transporcie, bankowości, ochronie zdrowia, wodociągach, infrastrukturze cyfrowej i kilkunastu innych. Dyrektywa NIS2 radykalnie rozszerzyła zakres podmiotowy wobec poprzedniej wersji: obowiązkami objęto nie tylko wielkie korporacje i operatorów infrastruktury krytycznej, ale też średnie firmy z odpowiednich sektorów i znaczną część jednostek samorządu terytorialnego.
Kogo obejmuje nowe prawo – 38 000 podmiotów zamiast kilku tysięcy
Poprzednia ustawa o KSC z 2018 roku obejmowała kilka tysięcy podmiotów. Nowelizacja z 2026 roku rozszerza ten krąg do ok. 38 000 podmiotów w Polsce – w tym 27 000 jednostek sektora publicznego (urzędy, szpitale, uczelnie, jednostki samorządu terytorialnego). Skala jest bezprecedensowa.
Ustawa zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych nową klasyfikacją. Podmioty kluczowe to infrastruktura o strategicznym znaczeniu – firmy i instytucje, których unieruchomienie wskutek cyberataku groziłoby paraliżem społecznym lub gospodarczym. Należą do nich: duże firmy z sektora energetycznego (wytwarzanie, przesył, dystrybucja prądu, gazu, ropy), transport lotniczy, kolejowy i morski, banki i infrastruktura rynku finansowego, szpitale i podmioty lecznicze, wodociągi i kanalizacja, infrastruktura cyfrowa (m.in. operatorzy DNS, centra danych, sieci CDN), a także administracja publiczna na szczeblu centralnym.
Podmioty ważne to średnie i duże firmy sektorów istotnych dla gospodarki, które dotychczas nie podlegały szczegółowemu nadzorowi: producenci chemikaliów, urządzeń elektrycznych, komputerów i pojazdów, operatorzy usług pocztowych i kurierskich, firmy z sektora zarządzania odpadami, dostawcy usług cyfrowych (marketplace, wyszukiwarki, platformy chmurowe) o mniejszej skali, a także regionalne sieci ciepłownicze i gazowe. Samorządowe jednostki budżetowe, zakłady budżetowe i instytucje kultury trafiają co do zasady do kategorii podmiotów ważnych.
Jak ustalić, czy Twoja firma lub instytucja podlega nowym przepisom? Ustawa nakazuje samodzielną analizę w oparciu o art. 5 oraz załączniki nr 1 i 2 do znowelizowanej ustawy o KSC, które definiują sektory, podsektory i rodzaje działalności objęte regulacją. najważniejsze są dwa kryteria łącznie: profil działalności (właściwy kod PKD musi odpowiadać sektorowi z załącznika) oraz wielkość podmiotu – co do zasady przepisy dotyczą przedsiębiorstw średnich i dużych, przy czym przy ustalaniu rozmiaru uwzględnia się przedsiębiorstwa partnerskie i powiązane. Wyjątek: jeżeli systemy informatyczne Twojej firmy są całkowicie niezależne od systemów w powiązanych spółkach, kryterium wielkości ocenia się odrębnie.
2 tryby rejestracji – który dotyczy Twojej firmy
Ustawa przewiduje 2 odrębne ścieżki wpisu do Wykazu KSC prowadzonego w systemie S46 pod adresem wykaz-ksc.gov.pl.
Wpis z urzędu dotyczy 4 kategorii podmiotów, które nie składają wniosku samodzielnie: podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług zaufania oraz podmiotów, które wcześniej posiadały status operatora usługi kluczowej na mocy starej ustawy. Minister Cyfryzacji rozpoczął wpisywanie tych podmiotów z urzędu od 13 kwietnia 2026 roku. Po dokonaniu wpisu zainteresowany otrzymuje zawiadomienie i wezwanie do uzupełnienia danych – ma na to 6 miesięcy od otrzymania wezwania. Próba samodzielnej rejestracji przez podmiot już wpisany z urzędu zakończy się błędem systemu.
Samorejestracja dotyczy wszystkich pozostałych podmiotów – przede wszystkim prywatnych firm, które spełniają kryterium sektorowe i wielkościowe, a nie należą do żadnej z 4 wyżej wymienionych kategorii. Możliwość samodzielnego wpisu uruchomiono 7 maja 2026 roku. Termin złożenia wniosku mija 3 października 2026 roku – i jest to termin nieprzekraczalny.
Procedura samorejestracji przebiega elektronicznie: wejdź na wykaz-ksc.gov.pl, zaloguj się przez Węzeł Krajowy (Profil Zaufany, mObywatel, e-Dowód, bankowość elektroniczna lub kwalifikowany certyfikat), zarejestruj konto użytkownika (tylko przy pierwszym logowaniu), kliknij „Wpisz nowy podmiot” i wypełnij formularz obejmujący dane podmiotu, klasyfikację sektorową i dane kontaktowe. Wniosek składa i podpisuje elektronicznie kierownik podmiotu albo osoba przez niego upoważniona – w tym drugim przypadku do wniosku dołącza się pełnomocnictwo.
Co trzeba zrobić po rejestracji – i do kiedy
Wpis do wykazu to dopiero wstęp. adekwatne obowiązki merytoryczne podmioty najważniejsze i ważne mają czas wdrożyć do 3 kwietnia 2027 roku. Lista jest długa i wymaga poważnych nakładów organizacyjnych i finansowych.
Obowiązkowo trzeba wdrożyć: system zarządzania bezpieczeństwem informacji (SZBI) obejmujący polityki analizy ryzyka, procedury wykrywania i obsługi incydentów, plany ciągłości działania (backup, odtwarzanie po awarii, zarządzanie kryzysowe); środki techniczne – uwierzytelnianie wieloskładnikowe (MFA) wszędzie, gdzie jest to możliwe, szyfrowanie danych w transmisji i w spoczynku, regularne aktualizacje systemu i łatki bezpieczeństwa; bezpieczeństwo łańcucha dostaw – weryfikację ryzyk wynikających z relacji z zewnętrznymi dostawcami sprzętu i oprogramowania; szkolenia z cyberbezpieczeństwa dla pracowników, w tym obowiązkowo dla kadry zarządzającej; a także raportowanie incydentów do adekwatnego zespołu CSIRT (CSIRT NASK dla firm prywatnych, CSIRT GOV dla administracji, CSIRT MON dla podmiotów obronnych) w określonych ustawowo terminach: wstępne ostrzeżenie w ciągu 24 godzin od wykrycia incydentu, pełny raport w ciągu 72 godzin.
Podmioty ważne-publiczne (samorządowe jednostki budżetowe, zakłady budżetowe, instytucje kultury) mają nieco uproszczone wymagania – wdrażają system bezpieczeństwa według uproszczonego wzorca z załącznika nr 4 do ustawy, a nie pełnego reżimu art. 8 ust. 1. To ustępstwo wynikające z realiów finansowych i kadrowych mniejszych jednostek samorządowych.
Kary: od 15 000 zł do 100 milionów – i osobista odpowiedzialność zarządu
System kar jest wielopoziomowy i – jak podkreśla samo Ministerstwo Cyfryzacji – ma charakter „odstraszający”. Tabela sankcji wygląda następująco:
Podmioty kluczowe: minimalna kara finansowa 20 000 zł, maksymalna 10 milionów euro (ok. 42 mln zł) lub 2 proc. łącznego rocznego światowego obrotu – zastosowanie ma kwota wyższa z tych dwóch.
Podmioty ważne: minimalna kara 15 000 zł, maksymalna 7 milionów euro (ok. 30 mln zł) lub 1,4 proc. łącznego rocznego obrotu – analogicznie, zastosowanie ma kwota wyższa.
Kara dzienna za niewykonanie nakazu organu nadzorczego (np. po audycie lub w związku z obsługą poważnego incydentu) wynosi od 500 zł do 100 000 zł za każdy dzień opóźnienia. Przy miesiącu zwłoki to choćby 3 miliony złotych.
Kara kwalifikowana do 100 milionów złotych grozi wtedy, gdy naruszenie przepisów spowodowało bezpośrednie i poważne zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi albo poważne utrudnienia w świadczeniu usług kluczowych.
Odpowiedzialność osobista kierownika – to element nowości, który wstrząsnął środowiskiem IT i prawniczym. Organ nadzorczy może nałożyć karę bezpośrednio na kierownika podmiotu (prezesa, dyrektora, wójta, rektora) w wysokości do 600 proc. jego miesięcznego wynagrodzenia za rażące zaniedbania w nadzorze nad cyberbezpieczeństwem organizacji. Jedna z poprawek sejmowych obniżyła ten limit do 300 proc. w przypadku podmiotów publicznych – ostateczna wersja przepisu jest potwierdzona w tekście ustawy opublikowanym w Dzienniku Ustaw.
Kluczowe zastrzeżenie: Sejm przyjął poprawkę wprowadzającą 2-letni okres karencji. Kary pieniężne za nieprzestrzeganie przepisów mogą być nakładane dopiero po upływie 2 lat od wejścia ustawy w życie – czyli najwcześniej od 3 kwietnia 2028 roku. Nie oznacza to jednak, iż do tej daty można ignorować nowe prawo: rejestracja w wykazie, wdrożenie środków technicznych i raportowanie incydentów obowiązują od razu. Karencja chroni przed sankcją, nie zwalnia z obowiązku.
Wykaz KSC a dostawcy wysokiego ryzyka – chiński sprzęt na celowniku
Osobnym, szczególnie dyskutowanym elementem ustawy jest procedura uznania dostawcy sprzętu lub systemu za dostawcę wysokiego ryzyka (DWR). Decyzję podejmuje Minister Cyfryzacji na wniosek lub z urzędu, po uzyskaniu opinii Kolegium ds. Cyberbezpieczeństwa zawierającej analizę ryzyka ABW. Przepisy są technologicznie neutralne i nie wymieniają z nazwy żadnego kraju ani producenta, ale branża nie ma wątpliwości, iż w pierwszej kolejności dotyczą chińskich dostawców sprzętu telekomunikacyjnego i sieciowego powszechnie stosowanego w Polsce.
Podmiot najważniejszy lub ważny, który korzysta ze sprzętu lub systemu dostawcy uznanego za DWR, ma 7 lat na jego wycofanie. Za dalsze stosowanie po decyzji grożą kary. Za niewykonanie nakazu usunięcia sprzętu DWR przewidziano najwyższy poziom sankcji – choćby do wyżej wymienionej kary kwalifikowanej 100 milionów złotych.
Warszawa: 27 000 jednostek publicznych – urzędy dzielnicowe, szpitale, szkoły
Warszawa jako stolica skupia największą w Polsce gęstość podmiotów objętych nową ustawą. Spośród 27 000 jednostek publicznych objętych przepisami w całym kraju, w stolicy funkcjonują setki urzędów, szpitali, uczelni, spółek miejskich i instytucji kultury, które musiały lub muszą znaleźć się w Wykazie KSC. Urzędy dzielnicowe Warszawy jako jednostki budżetowe m.st. Warszawy są objęte wpisem z urzędu – Minister Cyfryzacji wpisuje je samodzielnie od 13 kwietnia, a po wpisie każda z 18 jednostek dzielnicowych otrzymuje wezwanie do uzupełnienia danych w ciągu 6 miesięcy.
Stołeczne spółki miejskie – MPWiK, Tramwaje Warszawskie, ZTM, Veolia (ciepłownictwo), SPEC, Lecznica Miejska – w zależności od sektora i wielkości mogą być podmiotami kluczowymi (np. MPWiK jako operator infrastruktury wodnej) lub ważnymi. Firmy prywatne działające w Warszawie i objęte przepisami musiały lub muszą przeprowadzić samorejestrację do 3 października 2026 roku. Dla stołecznego sektora IT, finansowego i logistycznego to obowiązek obejmujący dziesiątki dużych pracodawców.
Ministerstwo Cyfryzacji zapowiedziało kampanię informacyjną kierowaną do firm, które mogą nie wiedzieć o nowym obowiązku – m.in. przez portal biznes.gov.pl i media branżowe. Mimo to resort uczciwie przyznaje, iż przy 38 000 podmiotów część z nich może nie zdawać sobie sprawy z podlegania pod przepisy do momentu, gdy organ nadzorczy sam wezwie je do rejestracji – co uruchomi już procedurę sankcyjną.
Co to oznacza dla Ciebie? 5 kroków, które musisz zrobić przed 3 października
1. Sprawdź, czy Twoja firma lub instytucja podlega przepisom. Wejdź na stronę Ministerstwa Cyfryzacji (gov.pl/cyfryzacja) i przejdź do sekcji KSC. Porównaj kod PKD Twojej firmy z listą sektorów z załączników nr 1 i 2 do ustawy. Następnie sprawdź wielkość podmiotu – co do zasady obowiązki dotyczą przedsiębiorstw średnich (50+ pracowników lub ponad 10 mln euro obrotu) i dużych. jeżeli masz wątpliwości, skorzystaj z procesu samoidentyfikacji opisanego na stronie wykaz-ksc.gov.pl lub skonsultuj się z prawnikiem specjalizującym się w prawie IT.
2. Ustal, który tryb rejestracji Cię dotyczy. jeżeli jesteś podmiotem publicznym, telekomem, dostawcą usług zaufania lub dawnym OUK – czekaj na zawiadomienie od Ministra Cyfryzacji. jeżeli jesteś prywatną firmą – nie czekaj i zarejestruj się samodzielnie przez wykaz-ksc.gov.pl przed 3 października 2026 r. Logowanie wymaga Profilu Zaufanego, mObywatela lub e-Dowodu.
3. Wyznacz osobę odpowiedzialną za cyberbezpieczeństwo. Ustawa nakłada obowiązek wyznaczenia punktu kontaktowego z organami nadzorczymi. Brak wyznaczonej osoby jest osobną podstawą do nałożenia kary. W małych podmiotach może to być ta sama osoba, która zajmuje się IT – w dużych organizacjach warto rozważyć stworzenie formalnej roli CISO lub jej odpowiednika.
4. Oceń lukę między obecnym stanem bezpieczeństwa a wymaganiami ustawy. Do 3 kwietnia 2027 roku musisz wdrożyć system zarządzania bezpieczeństwem informacji, MFA, procedury obsługi incydentów i plany ciągłości działania. Zacznij od audytu obecnego stanu – wiele firm posiadających certyfikat ISO/IEC 27001 jest w relatywnie dobrej pozycji wyjściowej, choć zgodność z normą nie jest formalnym dowodem zgodności z ustawą po wykreśleniu tego domniemania z projektu.
5. Sprawdź swoich dostawców IT pod kątem ryzyka DWR. jeżeli korzystasz ze sprzętu sieciowego lub telekomunikacyjnego od producentów z państw uznawanych za wysokiego ryzyka – już teraz warto przeanalizować alternatywy. Decyzje w sprawie uznania konkretnych dostawców za DWR mogą być wydawane przez Ministra Cyfryzacji w trybie ciągłym. Podmiot, który dostanie nakaz wycofania sprzętu, ma 7 lat na realizację – ale koszty migracji zaplanowane z wyprzedzeniem są wielokrotnie niższe niż te prowadzone w panice po decyzji administracyjnej.
![Politycy i historycy w pałacu w Szczawinie. Wśród gości Grzegorz Braun [ZDJĘCIA]](https://www.eostroleka.pl/luba/dane/pliki/zdjecia/2026/1000111999.jpg)
