Krajowy System Cyberbezpieczeństwa — przewodnik po obowiązkach KSC i&nbsp;NIS2

●Szacowanie ryzyka dla systemów informacyjnych (art. 8 ust. 1 pkt 1)

Faza II

Wdrożenie SZBI

Pełne wdrożenie systemu zarządzania bezpieczeństwem informacji — od analizy ryzyka, przez polityki i procedury, po dokumentację normatywną i operacyjną.

●Polityki bezpieczeństwa i polityki tematyczne (pkt 2a)

●Dokumentacja normatywna + operacyjna (art. 10)

●Plany BCP, ISCP i DRP (pkt 2f)

●Procedury incydentowe: 24h / 72h / 1 mies. (art. 11–12a)

●Polityka bezpieczeństwa łańcucha dostaw ICT (pkt 2e)

●Weryfikacja niekaralności personelu wg art. 8f

●Wdrożenie monitoringu ciągłego (pkt 2g)

Realizacja

3–6 miesięcy

Podstawa

art. 8–14

●Audyt SZBI — bezpieczeństwo organizacyjne, techniczne i fizyczne

Faza III

Audyt bezpieczeństwa

Niezależny audyt zgodności z KSC przeprowadzany przez co najmniej dwóch kwalifikowanych audytorów, spełniający wymogi art. 15.

●Raport z niezgodnościami i rekomendacjami naprawczymi

●Zespół min. 2 audytorów z certyfikatami (art. 15 ust. 2)

●Przekazanie kopii raportu organowi w 3 dni robocze (art. 15 ust. 1a)

●Plan działań naprawczych z priorytetyzacją

●Cykl: co 3 lata dla PK, na żądanie organu dla PW

Realizacja

4–8 tygodni

Podstawa

art. 15–16

●Program zgodny z zakresem art. 8e ust. 2 ustawy

Obowiązkowe

Szkolenie kierownika

Coroczne szkolenie kierownika podmiotu kluczowego lub ważnego z zakresu obowiązków cyberbezpieczeństwa — wymagane przez art. 8e ustawy.

●Obowiązki kierownika wg art. 8c–8d

●Szacowanie ryzyka i zatwierdzanie środków bezpieczeństwa

●Procedury incydentowe i raportowanie do CSIRT sektorowego

●Odpowiedzialność osobista — kary do 300% wynagrodzenia

●Certyfikat i dokumentacja udziału w szkoleniu

Realizacja

1 dzień

Podstawa

art. 8e

●Monitoring zmian ustawy i rozporządzeń wykonawczych

Abonament

Wsparcie ciągłe

Stałe wsparcie w utrzymaniu zgodności z KSC — monitoring zmian regulacyjnych, obsługa incydentów, przegląd SZBI, kontakt z CSIRT sektorowym.

●Przegląd i aktualizacja SZBI co 12 miesięcy

●Wsparcie przy obsłudze i zgłaszaniu incydentów poważnych

●Przygotowanie do kontroli organu właściwego

●Koordynacja z CSIRT sektorowym i systemem S46

●Reagowanie na decyzje dot. dostawcy wysokiego ryzyka (art. 67b)

Realizacja

12 miesięcy

Podstawa

art. 8–15

Skontaktuj się →

Usługi sektorowe — dedykowane wdrożenia

Sektor

NIS2 dla JST

Samorządy, starostwa, miasta na prawach powiatu

Sektor

KSC dla szpitali

Szpitale, podmioty lecznicze, SP ZOZ

Sektor

KSC dla wodociągów

Przedsiębiorstwa wodociągowo-kanalizacyjne

Sektor

KSC dla produkcji

Wyroby medyczne, elektronika, maszyny, pojazdy, chemia

Sektor

KSC dla ICT

MSSP, chmura, DNS, kwalifikowani dostawcy zaufania

Nie wiesz, od czego zacząć?

Bezpłatna konsultacja wstępna— klasyfikacja podmiotu, mapa obowiązków, szacunkowy harmonogram

Sektory

Obsługujemy podmioty kluczowe i ważne

Wodociągi i kanalizacja

Spółki komunalne i zakłady — woda pitna i ścieki. Sprawdź wykaz podmiotów.

Ciepłownictwo i energia

Wydobywanie, elektryczność, ciepło, gaz, jądrowa, wodór. Pełny wykaz.

Opieka zdrowotna

Szpitale, apteki, laboratoria, producenci leków. Sprawdź wykaz podmiotów.

Odpady

ważnyZałącznik 2

Zbieranie, transport, przetwarzanie — tylko działalność główna. Wykaz.

Produkcja

ważnyZałącznik 2

Wyroby medyczne, elektronika, maszyny, pojazdy. Sprawdź wykaz.

MSSP / ICT

DNS, TLD, chmura, MSSP, platformy handlowe. Pełny wykaz podmiotów.

kluczowy/ważnyZałącznik 1+2

JST i podmioty publiczne

Ministerstwa, starostwa, gminy, szkoły, spółki komunalne. Wykaz.

Żywność

ważnyZałącznik 2

Produkcja, przetwarzanie, dystrybucja hurtowa żywności. Wykaz.

Harmonogram

Kluczowe terminy

Kwi 2026

Wejście w życie

Nowelizacja KSC wchodzi w życie 3 kwietnia 2026 r. Od tego dnia biegną terminy określone w przepisach przejściowych ustawy nowelizującej (art. 33–35).

Ustawa z 23.01.2026, Dz.U. 2026 poz. 252 (przepisy przejściowe: art. 33–35)

Paź 2026

Wpis do wykazu

Termin złożenia wniosku o wpis do wykazu podmiotów kluczowych i ważnych — zgodnie z harmonogramem ogłoszonym przez ministra ds. informatyzacji (art. 34 ust. 3 pkt 1 ustawy nowelizującej; art. 33 ust. 3). Dla byłych operatorów usług kluczowych obowiązek zgłaszania incydentów wg nowych zasad — 6 miesięcy (art. 33 ust. 4).

Art. 33 ust. 3–4, art. 34 ust. 3 ustawy nowelizującej

Kwi 2027

Wdrożenie SZBI

12 miesięcy na realizację obowiązków rozdziału 3 ustawy o KSC (rejestracja, SZBI z art. 8, dokumentacja, procedury incydentowe, szkolenie kierownika) — dla podmiotów istniejących w dniu wejścia w życie nowelizacji (art. 33 ust. 1 ustawy nowelizującej). Dla nowo powstających — analogicznie liczone od dnia spełnienia przesłanek (art. 16 ustawy o KSC).

Art. 33 ust. 1 ustawy nowelizującej; art. 8, art. 8e ustawy o KSC

Kwi 2028

Pierwszy audyt + start kar

24 miesiące na pierwszy audyt bezpieczeństwa — wyłącznie podmioty kluczowe istniejące w dniu wejścia w życie nowelizacji (art. 33 ust. 2). Kolejne audyty co najmniej raz na 3 lata (art. 15 ust. 1 KSC). Od tej daty mogą być po raz pierwszy nakładane kary pieniężne (art. 35 ustawy nowelizującej).

Art. 33 ust. 2, art. 35 ustawy nowelizującej; art. 15 ust. 1 ustawy o KSC