- Email: biuro@kicb.pl
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza szereg sztywnych ram czasowych, które każda organizacja działająca w sektorach strategicznych musi znać, aby uniknąć wysokich kar finansowych. Cały proces wdrażania zmian rozpoczął się oficjalnie 10 kwietnia 2026 roku, kiedy to przepisy weszły w życie i zaczęły obowiązywać nowe definicje podmiotów kluczowych oraz ważnych.
Poniedziałek, 13 kwietnia 2026 roku to dzień uruchomienia oficjalnego wykazu podmiotów kluczowych i ważnych dostępnego pod adresem wykaz-ksc.gov.pl. Od tego momentu, przez niespełna miesiąc, czyli do 6 maja 2026 roku, Minister Cyfryzacji będzie dokonywał wpisów z urzędu dla podmiotów, które już wcześniej funkcjonowały w systemie, takich jak dotychczasowi operatorzy usług kluczowych, dostawcy usług zaufania czy przedsiębiorcy telekomunikacyjni.
Jeśli jednak Twoja organizacja nie znajdzie się w tym automatycznym zestawieniu, otwiera się kolejne okno czasowe trwające od 7 maja do 3 października 2026 roku, przeznaczone na tak zwaną samorejestrację. W tym terminie podmioty spełniające kryteria ustawowe muszą samodzielnie złożyć elektroniczny wniosek o wpis do wykazu, co wymaga użycia podpisu kwalifikowanego.
W tym materiale opisywaliśmy jak dokonać samoidentyfikacji:
Mechanizm samoidentyfikacji NIS2 – czytaj
Kolejnym istotnym krokiem jest 12 czerwca 2026 roku, kiedy to udostępniona zostanie pełna funkcjonalność Systemu S46 dla nowych podmiotów. System S46 staje się od tego momentu jedynym oficjalnym kanałem do raportowania incydentów i komunikacji podmiotów krajowego systemu cyberbezpieczeństwa z organami nadzorczymi.
Kluczową datą dla wszystkich objętych ustawą jest 3 kwietnia 2027 roku, czyli data zakończenia okresu dostosowawczego. Do tego dnia każda firma i instytucja musi już w pełni operować w systemie S46 oraz mieć wdrożone wszystkie obowiązki wynikające z ustawy, w tym System Zarządzania Bezpieczeństwem Informacji.
Następnie, patrząc w stronę roku 2028, pojawiają się dwa kluczowe terminy przypadające na 3 kwietnia 2028 roku.
Po pierwsze, jest to ostateczna data na przeprowadzenie pierwszego audytu bezpieczeństwa dla nowych podmiotów kluczowych, które wcześniej nie miały takiego statusu.
Po drugie, właśnie od 3 kwietnia 2028 roku zaczynają w pełni obowiązywać przepisy o dotkliwych administracyjnych karach pieniężnych za uchybienia w zakresie cyberbezpieczeństwa. Warto jednak pamiętać, że podmioty będące już wcześniej operatorami usług kluczowych nie podlegają tym odroczeniom i muszą zachować ciągłość swoich cykli audytowych co 3 lata, co oznacza, że dla nich termin sprawdzenia zgodności z nowymi przepisami może przypaść znacznie wcześniej.
Cały ten harmonogram został zaprojektowany tak, aby dać rynkowi dwa lata na naukę i wdrożenie procedur przed pełnym uruchomieniem machiny sankcyjnej, jednak ze względu na stopień skomplikowania audytów i wymogów technicznych, eksperci radzą traktować rok 2026 jako czas na intensywne prace przygotowawcze.
Mimo że pełne egzekwowanie przepisów wraz z karami nastąpi dopiero w 2028 roku, proces dostosowawczy jest skomplikowany, dlatego eksperci zalecają konkretną ścieżkę działań. Pierwszym krokiem powinna być autodiagnoza statusu poprzez sprawdzenie załączników numer 1 i 2 do ustawy, aby ustalić, czy organizacja jest podmiotem kluczowym podlegającym surowszym wymogom, czy podmiotem ważnym.
Następnie należy zadbać o rejestrację i jeśli podmiot nie zostanie wpisany z urzędu do 6 maja 2026 roku, konieczne jest przygotowanie wniosku o wpis do Wykazu KSC na stronie wykaz-ksc.gov.pl. Kolejnym etapem jest budowa Systemu Zarządzania Bezpieczeństwem Informacji, co stanowi proces wielomiesięczny i obejmuje analizę ryzyka, opracowanie procedur reagowania na incydenty oraz szkolenia pracowników. Ostatnim kluczowym elementem jest analiza łańcucha dostaw, ponieważ nowe przepisy kładą ogromny nacisk na bezpieczeństwo dostawców, co wymusza rewizję umów z podwykonawcami IT pod kątem nowych, rygorystycznych wymagań cyberbezpieczeństwa.
Przewodnik dla podmiotów kluczowych i ważnych – czytaj więcej
Kierownik w zakresie cyberbezpieczeństwa – czytaj więcej
Najnowsze komentarze