Czy polskie firmy i instytucje są gotowe na nową erę cyberbezpieczeństwa? Od 3 kwietnia 2026 roku obowiązuje nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wyznacza konkretne terminy na wdrożenie surowszych wymogów. To realna zmiana, mająca na celu zwiększenie bezpieczeństwa systemów informatycznych i stabilności usług cyfrowych dla mieszkańców Polski.

Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Pierwszy kluczowy termin już za pół roku!

Harmonogram jest jasny, a zegar tyka. Podmioty uznane za kluczowe i ważne mają do 3 października 2026 roku na złożenie wniosku o wpis do odpowiedniego wykazu. To daje sześć miesięcy na weryfikację, czy dana firma lub instytucja podlega nowym przepisom, oraz na dopełnienie formalności.

Ale to dopiero początek. Nowelizacja wprowadza obowiązek stosowania środków technicznych i organizacyjnych, które mają zwiększyć bezpieczeństwo systemów informatycznych w strategicznych sektorach gospodarki. Co więcej, przepisy przewidują również odpowiedzialność kierowników podmiotów za realizację zadań z zakresu cyberbezpieczeństwa.

Kalendarz obowiązków i audytów

Kolejne daty w kalendarzu są równie istotne. Oto kluczowe kamienie milowe:

  • Do 3 kwietnia 2027 r. – wdrożenie obowiązków przez podmioty spełniające kryteria w dniu wejścia w życie ustawy.
  • Do 3 kwietnia 2028 r. – przeprowadzenie pierwszego obowiązkowego audytu cyberbezpieczeństwa przez podmioty kluczowe.
  • Kolejne audyty będą musiały być przeprowadzane co najmniej raz na trzy lata.

I tu dobra wiadomość dla wszystkich, którzy potrzebują czasu na dostosowanie: ustawa przewiduje okres przejściowy. W większości przypadków administracyjne kary pieniężne będą mogły być nakładane dopiero po 3 kwietnia 2028 roku.

NIS 2: Nowe, restrykcyjne wymagania już tu są

Nowelizacja KSC to w dużej mierze implementacja unijnej dyrektywy NIS 2, która właśnie zaczęła obowiązywać w Polsce. Wprowadza ona znacznie bardziej restrykcyjne wymagania dla firm i instytucji z kluczowych sektorów, takich jak ochrona zdrowia, energetyka, transport, sektor bankowy czy infrastruktura cyfrowa.

Tymczasem stan gotowości jest alarmujący. Według raportów, około 45% polskich przedsiębiorstw nadal ręcznie zarządza procesami związanymi z bezpieczeństwem, np. za pomocą arkuszy kalkulacyjnych. Jeszcze niedawno jedna czwarta firm objętych regulacjami nie była świadoma nowych obowiązków, a aż 60% nie przeprowadziło wymaganych audytów zgodności.

Kary, które mogą powalić na kolana

Ignorowanie nowych przepisów może boleśnie uderzyć po kieszeni. NIS 2 wymaga od organizacji pełnej inwentaryzacji zasobów, identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi. Za niedostosowanie się grożą kary sięgające nawet 10 mln euro lub 2% rocznych przychodów firmy.

Kluczowym pierwszym krokiem jest więc rzetelny audyt. Eksperci podkreślają, że wdrożenie inteligentnych, zautomatyzowanych systemów zarządzania bezpieczeństwem, wspieranych przez AI, to już nie kwestia wygody, ale przetrwania. Tymczasem, według raportu, tylko 23% polskich firm korzysta z automatyzacji do oceny ryzyka.

Jak sprawdzić, czy Twoja firma podlega przepisom?

Jeśli nie masz pewności, czy Twoja organizacja musi się dostosować, czas na analizę. Należy sprawdzić wielkość firmy (dane finansowe, liczbę pracowników) oraz profil działalności (kody PKD, koncesje). Następnie trzeba przeanalizować art. 5 ustawy o KSC oraz załączniki określające rodzaje objętej działalności.

Pamiętaj, dyrektywa NIS 2 obejmuje szeroki wachlarz branż – od usług kurierskich i finansowych, przez gospodarkę odpadami, po branżę spożywczą. Dotyczy nawet lokalnych hurtowni, które muszą stworzyć procedury na wypadek cyberzagrożeń. Czas zacząć działać!