Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa zaczęła obowiązywać, a wraz z nią nowe obowiązki dla firm. Przedsiębiorcy muszą samodzielnie ocenić, czy podlegają regulacjom i w określonym terminie dokonać rejestracji. Stawką są nie tylko wymogi organizacyjne, ale też wysokie kary finansowe.
Nowe przepisy wdrażają unijną dyrektywę NIS 2 oraz regulacje związane z bezpieczeństwem sieci 5G. Zmienia się przy tym sposób klasyfikacji podmiotów. Dotychczasowy podział został zastąpiony kategoriami „podmiotów kluczowych” i „podmiotów ważnych”.
Jak podkreślił wicepremier i minister cyfryzacji Krzysztof Gawkowski, nowe przepisy mają zwiększyć odporność państwa i gospodarki na cyberzagrożenia.
W odpowiedzi na rosnącą liczbę cyberataków tworzymy nowy ekosystem, który zapewni większe bezpieczeństwo państwa i obywateli – powiedział podczas konferencji.
Najważniejsza zmiana dla biznesu to obowiązek samoidentyfikacji. Firmy od 7 maja do 3 października 2026 roku będą musiały sprawdzić, czy spełniają kryteria i ewentualnie zarejestrować się w wykazie KSC. Wsparciem ma być zestaw 131 pytań i odpowiedzi przygotowany przez Ministerstwo Cyfryzacji.
Nowe sektory i szerszy zakres regulacji
Zakres ustawy został znacząco rozszerzony. Oprócz dotychczasowych obszarów, takich jak energetyka, transport czy bankowość, objęto nią m.in. produkcję żywności, sektor chemiczny, usługi pocztowe oraz zarządzanie ICT. Regulacje obejmują także podmioty publiczne, choć w ich przypadku wpis do rejestru będzie realizowany automatycznie przez administrację.
Wiceminister Paweł Olszewski zwrócił uwagę, iż lista wyjaśnień będzie rozwijana.
Jeśli ktoś zada pytanie, które nie znajduje się na liście, udzielimy odpowiedzi i może ona zostać dodana do zestawu – zaznaczył.
Obowiązki i terminy wdrożeń
Firmy zakwalifikowane do KSC będą musiały wdrożyć szereg środków bezpieczeństwa. Wśród nich znajdują się systemy zarządzania bezpieczeństwem informacji, analiza ryzyka, zarządzanie incydentami czy stosowanie uwierzytelniania wieloskładnikowego.
Czas na pełne dostosowanie się do nowych wymagań upływa 3 kwietnia 2027 roku. Z kolei pierwszy obowiązkowy audyt cyberbezpieczeństwa podmioty najważniejsze muszą przeprowadzić do 2028 roku.
Istotnym elementem systemu będą sektorowe zespoły CSIRT, które mają wspierać firmy w reagowaniu na incydenty oraz ograniczaniu ich skutków.
Wysokie kary, ale nie od razu
Nowelizacja przewiduje dotkliwe sankcje. W przypadku podmiotów kluczowych kara może sięgnąć 2% przychodów, maksymalnie około 42,4 mln zł. Dla podmiotów ważnych limit wynosi 1,4% przychodów i około 20 mln zł. Możliwe są także kary dzienne do 100 tys. zł.
Jednocześnie ustawodawca przewidział okres przejściowy. Sankcje administracyjne będą mogły być nakładane dopiero po dwóch latach od wejścia w życie przepisów, co ma dać firmom czas na dostosowanie.
