Nowelizacja ustawy o KSC zaczyna obowiązywać – rusza harmonogram wdrożenia NIS2 w Polsce

Od 3 kwietnia 2026 roku zaczyna obowiązywać nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, implementująca dyrektywę NIS2. Dla firm i instytucji oznacza to początek konkretnych terminów i obowiązków, które w najbliższych latach mają istotnie podnieść poziom odporności cyfrowej państwa.

Jak podkreśla wicepremier i minister cyfryzacji Krzysztof Gawkowski: „nowe przepisy wprowadzają uporządkowany harmonogram działań, dając organizacjom czas na przygotowanie się do zmian i stopniowe wzmacnianie poziomu cyberbezpieczeństwa”. W praktyce oznacza to konieczność wdrożenia zarówno środków technicznych, jak i organizacyjnych, a także większą odpowiedzialność kadry zarządzającej za obszar bezpieczeństwa.

Pierwszym kluczowym terminem jest 3 października 2026 roku – do tego momentu podmioty objęte ustawą muszą złożyć wniosek o wpis do odpowiedniego wykazu. Oznacza to sześciomiesięczne okno na analizę, czy dana organizacja podlega regulacjom, oraz na dopełnienie formalności.

Kolejny etap obejmuje wdrożenie właściwych obowiązków. Podmioty spełniające kryteria ustawowe, już w dniu wejścia w życie przepisów mają czas do 3 kwietnia 2027 roku, aby dostosować swoje systemy, procedury i struktury organizacyjne do nowych wymagań. Ustawa nakłada m.in. obowiązek zarządzania ryzykiem, stosowania adekwatnych zabezpieczeń oraz zapewnienia ciągłości działania.

W dalszej perspektywie regulacje wprowadzają również obowiązek cyklicznych audytów. Podmioty kluczowe muszą przeprowadzić pierwszy audyt cyberbezpieczeństwa do 3 kwietnia 2028 roku, a kolejne – nie rzadziej niż co trzy lata. Jednocześnie ustawodawca przewidział okres przejściowy: w większości przypadków administracyjne kary pieniężne będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie przepisów, czyli po kwietniu 2028 roku.

Ministerstwo Cyfryzacji zapowiada równolegle działania wspierające wdrożenie nowych regulacji. Obejmują one publikację materiałów interpretacyjnych, zestawów pytań i odpowiedzi (taki materiał pojawił się już na stronie MC) oraz mapowania standardów cyberbezpieczeństwa na wymagania ustawowe. Celem jest ułatwienie organizacjom przejścia przez proces dostosowania i ograniczenie ryzyka błędnej interpretacji przepisów.

„W przypadku całkiem niemałego grona podmiotów, które odpowiedzialnie podchodzą do własnego bezpieczeństwa cyfrowego, dostosowanie do wymogów KSC nie będzie rewolucją, a raczej uporządkowaniem i formalizacją procesów bezpieczeństwa, które już funkcjonują w ich środowiskach IT. Z kolei w przypadku najbardziej zapóźnionych firm i instytucji objętych przepisami będzie to dość długotrwały, wymagający i kosztowny proces. I choć na etapie Capex i Opex nakłady będą potencjalnie wysokie, to pamiętajmy, że koszty zaniechań w tym obszarze, w przypadku wystąpienia incydentu najpewniej okażą się jeszcze wyższe” – skomentował Aleksander Kostuch, inżynier Stormshield.

Jak pokazują dane z raportu „Cyberportret polskiego biznesu 2025”, autorstwa firm DAGMA Bezpieczeństwo IT i ESET, aż 36% ekspertów do spraw cyberbezpieczeństwa nie wie, czy firma, w której pracują jest objęta unijną dyrektywą NIS2.