Nowelizacja ustawy o KSC zaczyna obowiązywać – rusza harmonogram wdrożenia NIS2 w Polsce

Od 3 kwietnia 2026 roku zaczyna obowiązywać nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, implementująca dyrektywę NIS2. Dla firm i instytucji oznacza to początek konkretnych terminów i obowiązków, które w najbliższych latach mają istotnie podnieść poziom odporności cyfrowej państwa.

Jak podkreśla wicepremier i minister cyfryzacji Krzysztof Gawkowski: „nowe przepisy wprowadzają uporządkowany harmonogram działań, dając organizacjom czas na przygotowanie się do zmian i stopniowe wzmacnianie poziomu cyberbezpieczeństwa”. W praktyce oznacza to konieczność wdrożenia zarówno środków technicznych, jak i organizacyjnych, a także większą odpowiedzialność kadry zarządzającej za obszar bezpieczeństwa.

Pierwszym kluczowym terminem jest 3 października 2026 roku – do tego momentu podmioty objęte ustawą muszą złożyć wniosek o wpis do odpowiedniego wykazu. Oznacza to sześciomiesięczne okno na analizę, czy dana organizacja podlega regulacjom, oraz na dopełnienie formalności.

Kolejny etap obejmuje wdrożenie właściwych obowiązków. Podmioty spełniające kryteria ustawowe, już w dniu wejścia w życie przepisów mają czas do 3 kwietnia 2027 roku, aby dostosować swoje systemy, procedury i struktury organizacyjne do nowych wymagań. Ustawa nakłada m.in. obowiązek zarządzania ryzykiem, stosowania adekwatnych zabezpieczeń oraz zapewnienia ciągłości działania.

W dalszej perspektywie regulacje wprowadzają również obowiązek cyklicznych audytów. Podmioty kluczowe muszą przeprowadzić pierwszy audyt cyberbezpieczeństwa do 3 kwietnia 2028 roku, a kolejne – nie rzadziej niż co trzy lata. Jednocześnie ustawodawca przewidział okres przejściowy: w większości przypadków administracyjne kary pieniężne będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie przepisów, czyli po kwietniu 2028 roku.

Ministerstwo Cyfryzacji zapowiada równolegle działania wspierające wdrożenie nowych regulacji. Obejmują one publikację materiałów interpretacyjnych, zestawów pytań i odpowiedzi oraz mapowania standardów cyberbezpieczeństwa na wymagania ustawowe. Celem jest ułatwienie organizacjom przejścia przez proces dostosowania i ograniczenie ryzyka błędnej interpretacji przepisów.