3 kwietnia 2026 r. weszła w życie większość przepisów znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Firmy, które podlegają wynikającym z niej obowiązkom, mają od teraz sześć miesięcy na samoidentyfikację i ewentualny wpis do rejestru. Ministerstwo Cyfryzacji opublikowało zestaw pytań i odpowiedzi dotyczących stosowania ustawy.
Ustawa nakłada obowiązki na podmioty spełniające kryteria „ważnych” lub „kluczowych”. Co istotne, obowiązuje model samoidentyfikacji – firma potencjalnie objęta regulacją musi samodzielnie ocenić, czy kwalifikuje się do którejś z tych kategorii. Jeśli tak, musi uzyskać wpis do wykazu, prowadzonego przez Ministerstwo Cyfryzacji.
Pierwszy szczególnie istotny termin wynikający z ustawy to 3 października 2026 r. – do tego dnia podmioty kluczowe i ważne mają czas, aby złożyć wniosek o wpis do wykazu. Firmy mają więc sześć miesięcy na sprawdzenie, czy podlegają nowym przepisom oraz na dopełnienie formalności. Następne obowiązki będą wprowadzane 3 kwietnia 2027 r. i 3 kwietnia 2028 r.
Paweł Kulpa, specjalista cyberbezpieczeństwa z firmy Safesqr uważa tymczasem, że przygotowanie polskich firm do zgodności ze znowelizowaną ustawą o KSC pozostawia wiele do życzenia.
- Niestety większość organizacji z którymi współpracowaliśmy przesuwała rozpoczęcie procesu budowania zgodności. Długo czekaliśmy na ustawę, jednak było wiadomo, że jej wymagania nie mogły być mniejsze niż wymogi dyrektywy, organizacje mogły się do nich przygotować zawczasu – komentuje.
Zwraca uwagę, że poza koniecznością samodzielnej oceny czy organizacja jest przedsiębiorstwem ważnym lub kluczowym, wymagania opisane w ustawie to:
Ekspert spodziewa się, ż wraz ze zbliżaniem się kolejnych terminów z ustawy narastać będzie niepewność i pośpiech w firmach, które przez lata odkładały temat.
- Oczywiście może też być tak jak w przypadku RODO, że część organizacji zajmie się tematem dopiero po ogłoszeniu pierwszych kar związanych z niezgodnością z przepisami - mówi Paweł Kulpa.
Pomoc w realizacji obowiązków może zapewnić poradnik Ministerstwa Cyfryzacji, opublikowany w formie pytań i odpowiedzi. Na 83 stronach resort omawia zagadnienia takie jak:
Przypomnijmy, ustawa implementuje w Polsce dyrektywę NIS2. Prezydent Karol Nawrocki, informując o jej podpisaniu, stwierdził, że bezpieczeństwo nie ma barw partyjnych. Jednocześnie skierował wniosek do Trybunału Konstytucyjnego o zbadanie zgodności części przepisów z Konstytucją - jego wątpliwości wzbudziło m.in,. "objęcie ustawą aż 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne". TK dotąd nie wypowiedział się w tej sprawie.
