Standardy8 min czytania

Konsultacje zestawienia norm dla SZBI — co zawiera projekt MC?

Konsultacje publiczne — co i do kiedy

11 maja 2026 r. Ministerstwo Cyfryzacji opublikowało komunikat o uruchomieniu konsultacji publicznych pierwszego zestawienia wymogów dokumentów normalizacyjnych wspierających wykonywanie obowiązków z ustawy o krajowym systemie cyberbezpieczeństwa. Projekt obejmuje 53 dokumenty — normy ISO/PN-EN/IEC, frameworki NIST, wytyczne ENISA, CISA, standardy CIS i OWASP. Uwagi można zgłaszać do 10 czerwca 2026 r. mailem na konsultacje_cyber@cyfra.gov.pl.

Adresatami konsultacji są wszystkie podmioty objęte ustawą o KSC — w szczególności sektor prywatny, którego organizacje są mniej zaangażowane w typowe ścieżki konsultacji rządowych. MC liczy na uwagi dotyczące listy dokumentów, ich przypisania do obszarów SZBI oraz poziomu dojrzałości organizacyjnej.

Konsultacje są okazją do wskazania luk — jeśli w Twojej organizacji stosujecie normę, której w projekcie brakuje (np. specyficzną dla podsektora), warto to zgłosić. MC opracuje raport z konsultacji, w którym wskaże główne tezy zgłoszeń i ustosunkuje się do nich (art. 45 ust. 4 KSC).

Podstawa prawna i powiązanie z art. 8 KSC

Zestawienie nie pojawia się znikąd — jest realizacją uprawnienia ministra właściwego do spraw informatyzacji wynikającego wprost z ustawy. Trzy kluczowe przepisy: art. 45 ust. 3 KSC (uprawnienie do publikacji zestawienia), art. 45 ust. 4 (obowiązek 30-dniowych konsultacji publicznych i raportu), art. 45 ust. 5 (publikacja w BIP MC — bez danych osobowych osób fizycznych biorących udział w konsultacjach).

Zestawienie ma charakter pomocniczy i informacyjny — nie jest źródłem powszechnie obowiązującego prawa. Inaczej niż akt wykonawczy z art. 8a KSC (rozporządzenie Rady Ministrów określające szczegółowe wymagania SZBI dla danego rodzaju działalności) — który ma moc powszechnie wiążącą. Stosowanie norm z zestawienia dokumentuje należytą staranność, ale nie jest obowiązkowe.

Sześć obszarów SZBI z projektu zestawienia odpowiada wprost obowiązkom z art. 8 ust. 1 pkt 1–5 KSC:

Obszar zestawienia (skrót)Podstawa w art. 8 ust. 1 KSC
ZR — Zarządzanie ryzykiempkt 1: systematyczne szacowanie ryzyka i zarządzanie nim
BS — Bezpieczeństwo systemówpkt 2 lit. a–n: polityki, kontrola dostępu, MFA, kryptografia, monitoring ciągły, kontrola zasobów ludzkich
ŁD — Łańcuch dostawpkt 2 lit. e + ust. 2: podatności dostawcy, jakość produktów ICT, oceny Grupy Współpracy NIS 2
CD — Ciągłość działaniapkt 2 lit. f: plany ciągłości, awaryjne i odtworzenia
OI — Obsługa incydentówpkt 4: zarządzanie incydentami (w połączeniu z art. 11 — raportowanie 24h/72h/1 miesiąc)
TA — Testy i audytypkt 2 lit. b: testowanie systemu informacyjnego (w połączeniu z art. 15 — audyt PK co najmniej raz na 3 lata)

Zobacz też: SZBI wg Załącznika nr 4 — przewodnik dla JST oraz Audyt bezpieczeństwa KSC — kto i kiedy?.

Jak zbudowane jest zestawienie

Projekt MC porządkuje 53 dokumenty w trójwymiarowej siatce: obszar SZBI (6 kolumn), poziom dojrzałości organizacyjnej (3 poziomy) oraz typ dokumentu (3 typy). Dodatkowo każdy dokument oznaczony jest sektorem i informacją o dostępie (płatny/bezpłatny).

Poziom dojrzałościDla kogoOdpowiednik
PodstawowyPodmioty wdrażające SZBI po raz pierwszyGrupa Wdrożeniowa IG1 w CIS Controls v8
ŚredniPodmioty z działającym SZBI, pogłębiające zakresIG2
ZaawansowanyDuże podmioty aspirujące do wysokiej dojrzałości operacyjnejIG3
Typ dokumentuCharakterPrzykład
CertyfikowalnaWymagania weryfikowalne przez akredytowaną jednostkę certyfikującą; certyfikacja może stanowić dowód zgodnościISO/IEC 27001, ISO 22301, IEC 62443-4-1
WytyczneZalecenia i dobre praktyki bez certyfikacji; stosowanie dokumentuje należytą starannośćISO/IEC 27002, NIST SP 800-61, wytyczne ENISA
FrameworkRamy strukturalne — organizacja wypełnia je konkretnymi wymaganiami; służy do gap analysisNIST CSF 2.0, CIS Controls v8, NIST RMF
Bezpłatne są przede wszystkim materiały NIST (w polskich tłumaczeniach jako seria NSC 800-xx), wytyczne ENISA, CISA oraz CIS Controls v8. Normy ISO i IEC są płatne — wydaje je PKN, ISO, IEC. Dla małych organizacji to istotne kryterium wyboru ścieżki wdrożenia.

Przegląd 53 dokumentów w grupach

Projekt obejmuje 53 pozycje. Poniżej najważniejsze grupy dla podmiotów kluczowych i ważnych.

A. Fundamenty SZBI (poziom Podstawowy, sektor Ogólny):

  • PN-EN ISO/IEC 27001:2023 — certyfikowalna norma wymagań podstawowych dla SZBI (ZR + BS).
  • PN-EN ISO/IEC 27002:2023 — katalog 93 środków bezpieczeństwa: organizacyjnych, personalnych, fizycznych, technologicznych (BS).
  • PN-EN ISO 22301:2020 — certyfikowalna norma systemów zarządzania ciągłością działania (CD).
  • ISO/IEC 27035-1:2023 i 27035-2:2023 — zarządzanie incydentami: zasady, procesy i planowanie reagowania (OI).
  • NIST CSF 2.0 — framework z 6 funkcjami: Govern, Identify, Protect, Detect, Respond, Recover (ZR). Bezpłatny.
  • NSC 800-30 / 800-61 / 800-34 — polskie tłumaczenia NIST SP (ZR, OI, CD). Bezpłatne.
  • CIS Controls v8 — 18 grup priorytetowych zabezpieczeń z grupami wdrożeniowymi IG1–IG3 (BS + ZR). Bezpłatny.
  • ETSI EN 303 645 + ENISA Good Practices for IoT — wymagania bazowe dla urządzeń IoT (BS, sektor Produkcja). Bezpłatne.
  • CISA ICT SCRM Essentials — lista kontrolna zarządzania ryzykiem łańcucha dostaw ICT (ŁD). Bezpłatny.

B. Pogłębienie SZBI (poziom Średni):

  • ISO/IEC 27005:2022 — wytyczne zarządzania ryzykiem IS (ZR).
  • PN-EN ISO 27007:2022 — wytyczne audytu SZBI (TA).
  • ISO/IEC 27036-1/2/3/4 — bezpieczeństwo relacji z dostawcami i łańcucha dostaw IT (ŁD); cz. 4 dotyczy usług chmurowych.
  • PN-EN ISO/IEC 29147:2020 + 30111:2020 — ujawnianie podatności i procesy ich obsługi (TA). Relevant dla art. 26a KSC (koordynacja ujawniania podatności przez CSIRT NASK).
  • ISO/IEC 27031:2011 — gotowość ICT dla ciągłości działania (CD).
  • ISO/IEC 27032:2023 — wytyczne bezpieczeństwa Internetu — cyberbezpieczeństwo i koordynacja (ZR + BS).
  • PN-EN IEC 62443 (cz. 2-4, 3-2, 3-3, 4-1, 4-2) — bezpieczeństwo systemów IACS (Energia, Produkcja). Kluczowe dla podsektora energii elektrycznej w kontekście rozporządzenia delegowanego (UE) 2024/1366 (art. 8b ust. 3 KSC).
  • PN-EN IEC 81001-5-1:2022 i 80001-1:2022 — bezpieczeństwo oprogramowania medycznego i sieci IT z wyrobami medycznymi (Zdrowie).
  • PN-EN IEC 63154:2021 — cyberbezpieczeństwo urządzeń morskich (Transport).
  • CLC/TS 50701 — cyberbezpieczeństwo w aplikacjach kolejowych (Transport).
  • PN-EN ISO/IEC 27011:2020 — zabezpieczenia dla organizacji telekomunikacyjnych (rozszerzenie ISO 27002).
  • NSC 800-53 (katalog zabezpieczeń) + NSC 800-53 MAP (mapowanie na ISO 27001). Bezpłatne.
  • NIST RMF — 7-krokowy proces zarządzania ryzykiem. Bezpłatny.
  • ISO/IEC 42001:2023 — certyfikowalna norma systemu zarządzania AI (odpowiedź na AI Act) (ZR + BS).
  • OWASP ASVS — standard weryfikacji bezpieczeństwa aplikacji w 3 poziomach L1/L2/L3 (TA + BS). Bezpłatny.
  • ENISA Supply Chain Threat Landscape — taksonomia zagrożeń łańcucha dostaw ICT z metodami mitygacji w kontekście NIS 2 (ŁD). Bezpłatny.
  • PCI DSS v4.0 — bezpieczeństwo danych kart płatniczych (Finanse).
  • ENISA Guidelines for MSPs — wytyczne dla dostawców usług zarządzanych (ŁD + BS, Telekomunikacja). Bezpłatne.

C. Dojrzałość Zaawansowana:

  • PN-EN ISO/IEC 27037:2016 — wytyczne dotyczące cyfrowego materiału dowodowego (OI).
  • PN-EN ISO/IEC 19790:2020 — wymagania bezpieczeństwa dla modułów kryptograficznych (odpowiednik FIPS 140-3) (BS).
  • PN-EN ISO/IEC 15408-1-5:2024 (Common Criteria) — kryteria oceny zabezpieczeń produktów i systemów IT (TA + BS).
  • ISO/IEC 27010:2015 — bezpieczeństwo IS dla komunikacji międzysektorowej (ZR).
  • ISO/IEC 20243-1/2:2023 (O-TTPS) — standard zaufanego dostawcy technologii — wymagania i ocena łańcucha dostaw (ŁD).
  • NSC 800-207 — Zero Trust — architektura bezpieczeństwa w modelu zerowego zaufania (BS). Bezpłatny.
  • IEC 62351 (seria cz. 1–14) — bezpieczeństwo komunikacji w systemach energetycznych, SCADA i IEC 61850/60870 (Energia).
  • TIBER-EU Framework — framework UE dla testów odporności sektora finansowego (TLPT) (TA, Finanse). Bezpłatny.
  • 3GPP TS 33.501 — wymagania bezpieczeństwa dla architektur sieci 5G (BS, Telekomunikacja). Bezpłatny. Relevant w kontekście Załącznika nr 3 do KSC (kategorie funkcji krytycznych 5G — AMF, AUSF, UDM, UPF, SMF, PCF, NSSF, NRF, NEF, SEPP).

Co zestawienie zmienia, a czego nie zmienia

Publikacja zestawienia (po zakończeniu konsultacji) wprowadzi cztery praktyczne zmiany:

  1. Jednolite mapowanie norm na obowiązki ustawowe. Po publikacji finalnej wersji wiadomo będzie, której normy MC oczekuje (lub akceptuje) jako dowód realizacji konkretnego obszaru SZBI z art. 8 ust. 1 KSC.
  2. Ułatwiona ocena dojrzałości. Trzypoziomowy podział (Podstawowy / Średni / Zaawansowany) pomaga organizacji zaplanować ścieżkę wdrożenia od minimalnego zestawu IG1 do pełnej dojrzałości operacyjnej.
  3. Wsparcie wyboru dla małych podmiotów. Wyraźne oznaczenie dokumentów bezpłatnych (NIST, ENISA, CISA, CIS) ułatwia start podmiotom o ograniczonym budżecie.
  4. Komunikacja z organem nadzorczym. Powołanie się na dokument z zestawienia w procesie kontroli (art. 53 KSC) lub audytu (art. 15 KSC) wzmacnia argument o należytej staranności.

Równocześnie zestawienie nie zmienia pięciu kluczowych spraw:

  1. Stosowanie normy nie zwalnia z obowiązków ustawowych. MC wyraźnie wskazuje, że „wdrożenie wybranej normy nie zwalnia podmiotu z obowiązku realizacji pozostałych wymagań ustawowych". Zestawienie wspiera, ale nie zastępuje obowiązków z art. 7c (rejestracja w wykazie), art. 8 (SZBI), art. 11 (raportowanie incydentów), art. 15 (audyt), art. 67c (decyzje o dostawcy wysokiego ryzyka).
  2. Zestawienie nie tworzy prawa. W odróżnieniu od rozporządzenia RM z art. 8a KSC (które określa szczegółowe wymagania SZBI i ma moc powszechnie obowiązującą), zestawienie z art. 45 ust. 3 jest jedynie pomocniczym wskazaniem dobrych praktyk.
  3. Nie zastępuje aktów wykonawczych KE. Dostawcy DNS, rejestry TLD, dostawcy chmury, MSP, MSSP, dostawcy CDN, platform i wyszukiwarek nadal muszą stosować rozporządzenie wykonawcze (UE) 2024/2690 (art. 8b ust. 1 KSC). Podmioty z podsektora energii elektrycznej — dodatkowo rozporządzenie delegowane (UE) 2024/1366 (art. 8b ust. 3 KSC).
  4. Nie zmienia terminów wdrożeniowych: 3 października 2026 r. (rejestracja w wykazie — art. 7c ust. 1 KSC), 3 kwietnia 2027 r. (SZBI dla podmiotów istniejących — art. 16 pkt 1 i art. 33 ustawy nowelizującej), 3 kwietnia 2028 r. (pierwszy audyt PK — art. 16 pkt 2). Sprawdź pełny harmonogram terminów wdrożenia KSC.
  5. Nie chroni przed karami. Wysokość sankcji (do 10 mln EUR lub 2% przychodów dla PK; do 7 mln EUR lub 1,4% dla PW; do 300% wynagrodzenia kierownika — art. 73 i art. 73a KSC) jest niezależna od tego, czy podmiot stosuje normy z zestawienia. Zob. kary finansowe w ustawie o KSC.

Jak zgłosić uwagi do konsultacji

Termin zgłoszenia uwag mija 10 czerwca 2026 r. — to 30 dni od opublikowania projektu 11 maja 2026 r., zgodnie z art. 45 ust. 4 KSC. Kanał: poczta elektroniczna na adres konsultacje_cyber@cyfra.gov.pl.

Dobre praktyki przy formułowaniu stanowiska:

  1. Wskaż konkretną pozycję zestawienia (numer wiersza, nazwa dokumentu) i obszar SZBI, którego dotyczy uwaga.
  2. Argumentuj sektorowo. Jeśli prowadzisz działalność w sektorze regulowanym dodatkowo (np. finanse — DORA, energetyka — rozp. 2024/1366, zdrowie — wyroby medyczne), wskaż relację między normą a tymi reżimami.
  3. Zaproponuj normy do uzupełnienia. Brakuje np. norm z serii ISO/IEC 38500 (ład IT) czy szczegółowych standardów ENISA dla sektora wodno-kanalizacyjnego — zgłoś to.
  4. Wskaż błędy klasyfikacji. Jeśli uważasz, że dokument na poziomie „Średni" powinien być Podstawowy (lub odwrotnie) — uzasadnij praktyką wdrożeniową.
  5. Zaznacz, czy stanowisko jest publiczne, czy zawiera dane wrażliwe. MC publikuje uwagi w BIP, z wyłączeniem danych osobowych (art. 45 ust. 5 KSC).
Co dzieje się dalej: MC opracowuje raport z konsultacji wskazujący główne tezy zgłoszeń i ustosunkowuje się do nich, a następnie publikuje finalną wersję zestawienia na stronie podmiotowej BIP Ministerstwa Cyfryzacji (art. 45 ust. 5 KSC).
FAQ5 pytań

Najczęstsze pytania

Czy stosowanie norm z zestawienia jest obowiązkowe po jego publikacji?
Nie. Zestawienie z art. 45 ust. 3 KSC ma charakter pomocniczy i informacyjny — nie jest źródłem powszechnie obowiązującego prawa. Obowiązkowe pozostają wymagania ustawowe (art. 8 ust. 1, art. 11, art. 15) oraz przepisy wydane na podstawie art. 8a KSC (rozporządzenie RM dla danego rodzaju działalności) i akty wykonawcze Komisji Europejskiej (rozporządzenie wykonawcze (UE) 2024/2690 dla wymienionych typów dostawców usług cyfrowych; rozporządzenie delegowane (UE) 2024/1366 dla energii elektrycznej — art. 8b KSC).
Czy wdrożenie ISO/IEC 27001 zwalnia z innych obowiązków KSC?
Nie zwalnia w całości. Certyfikacja ISO 27001 (norma certyfikowalna w zestawieniu) może stanowić dowód zgodności z częścią wymagań technicznych i organizacyjnych z art. 8 ust. 1 KSC — głównie w obszarach Zarządzanie ryzykiem i Bezpieczeństwo systemów. Jednak obowiązki dotyczące rejestracji w wykazie (art. 7c), raportowania incydentów 24h/72h/1 miesiąc (art. 11), audytu bezpieczeństwa co 3 lata (art. 15), współpracy z CSIRT i organem właściwym oraz reakcji na decyzje o dostawcy wysokiego ryzyka (art. 67c) — są niezależne i pozostają w mocy.
Czy dla małej organizacji jest sensowna ścieżka oparta wyłącznie na bezpłatnych dokumentach?
Tak, w szczególności przy mniejszych podmiotach (np. urzędach gmin poniżej 50 FTE — które są podmiotami ważnymi z art. 5 ust. 2 pkt 8 KSC). Projekt zestawienia uwzględnia ścieżkę „IG1" z CIS Controls v8 jako minimalny zestaw, uzupełnioną o NIST CSF 2.0, polskie tłumaczenia NSC 800-30/61/34, wytyczne ENISA i CISA — wszystkie bezpłatne. Dla podmiotów publicznych alternatywą jest SZBI z Załącznika nr 4 KSC (art. 8 ust. 3), który nie wymaga certyfikacji.
Do kiedy i w jaki sposób zgłaszać uwagi?
Do 10 czerwca 2026 r. mailem na konsultacje_cyber@cyfra.gov.pl. Konsultacje trwają 30 dni od publikacji projektu (11 maja 2026 r.), zgodnie z art. 45 ust. 4 KSC. Po zakończeniu konsultacji MC publikuje w BIP raport z konsultacji, zgłoszone uwagi (bez danych osobowych osób fizycznych) oraz finalną wersję zestawienia (art. 45 ust. 5 KSC).
Co zestawienie zmienia dla podmiotów, które już posiadają certyfikaty ISO 27001 lub ISO 22301?
Niewiele bezpośrednio — certyfikaty pozostają silnym dowodem dochowania należytej staranności, niezależnie od publikacji zestawienia. Zyskują natomiast porządek: zestawienie wyraźnie wskazuje, które obszary art. 8 ust. 1 KSC są pokryte przez ISO 27001 (Zarządzanie ryzykiem + Bezpieczeństwo systemów), a które wymagają uzupełnienia — np. ISO 22301 dla Ciągłości działania, ISO/IEC 27035 dla Obsługi incydentów, ISO/IEC 27036 dla Łańcucha dostaw, ISO/IEC 27007 dla Testów i audytów. To pomaga w gap analysis przed audytem z art. 15 KSC.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.