Czy Twoja firma podlega pod KSC? Do 3 października trzeba to sprawdzić i zgłosić

Od 7 maja 2026 roku firmy objęte nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa muszą samodzielnie przeprowadzić proces samoidentyfikacji i zgłosić się do państwowego rejestru. Eksperci ostrzegają, że brak reakcji może oznaczać nie tylko ryzyko kar, ale także poważne problemy operacyjne i obowiązek kosztownych wdrożeń bezpieczeństwa w krótkim czasie.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa zmienia podejście państwa do nadzoru nad cyberbezpieczeństwem firm. Zamiast oczekiwać na formalne zawiadomienie z urzędu, przedsiębiorcy sami muszą ocenić, czy należą do grona podmiotów kluczowych lub ważnych i w wymaganym terminie dokonać wpisu do rejestru.

Proces rejestracji rozpoczął się 7 maja i potrwa do 3 października 2026 roku. W praktyce oznacza to konieczność przeprowadzenia szczegółowej analizy działalności organizacji, jej skali oraz powiązań kapitałowych. Samo sprawdzenie kodów PKD nie będzie wystarczające.

Nowe przepisy obejmują szeroką grupę podmiotów działających m.in. w sektorach cyfrowych, przemysłowych, logistycznych, energetycznych, zdrowotnych czy usługowych. Szacuje się, że obowiązki wynikające z KSC mogą dotyczyć nawet 40 tys. organizacji w Polsce.

Kluczowe znaczenie ma art. 5 ustawy, który przewiduje sytuacje, w których firma zostaje objęta regulacjami niezależnie od liczby pracowników czy poziomu przychodów. Dlatego eksperci podkreślają, że wiele średnich i mniejszych przedsiębiorstw może błędnie zakładać, że nowe przepisy ich nie dotyczą.

„Resort cyfryzacji jasno komunikuje, że brak wiedzy o nowych przepisach nie będzie stanowił linii obrony w przypadku kontroli i niespełnienia wymogu wpisu do rejestru. Terminowa rejestracja oraz idące za nią wdrożenie realnych zabezpieczeń cyfrowych w firmie są jedyną drogą do uniknięcia drastycznych kar i zapewnienia przedsiębiorstwu ciągłości operacyjnej i cyberbezpieczeństwa” – podkreśla Dawid Maciejewski, radca prawny i wiceprezes Cyber360.

Podmioty wpisane do wykazu z urzędu, m.in. jednostki publiczne, operatorzy telekomunikacyjni i część dostawców usług cyfrowych, znalazły się w rejestrze automatycznie do 6 maja. Pozostałe organizacje muszą samodzielnie podjąć decyzję o kwalifikacji oraz przygotować się na nowe obowiązki związane z cyberbezpieczeństwem, raportowaniem incydentów i wdrożeniem odpowiednich procedur ochrony systemów IT.