Nadzór8 min czytania

Nadzór nad podmiotami KSC — tryb ex ante i ex post

Nadzór ex ante vs. ex post

Ustawa o KSC wprowadza dwupoziomowy system nadzoru, różnicujący intensywność kontroli w zależności od statusu podmiotu. Podmioty kluczowe podlegają nadzorowi proaktywnemu (ex ante) — organy właściwe mogą prowadzić kontrole planowe i doraźne bez konieczności uprzedniego wystąpienia incydentu. Podmioty ważne podlegają nadzorowi reaktywnemu (ex post) — kontrola jest podejmowana dopiero po uzyskaniu informacji o możliwym naruszeniu.

AspektPodmiot kluczowy (ex ante)Podmiot ważny (ex post)
Inicjatywa kontroliZ urzędu — kontrole planowe i doraźnePo uzyskaniu informacji o naruszeniu
Audyty na żądanieTak — organ może nakazać audytTak — ale tylko w reakcji na informację
Urzędnik monitorującyMożliwe wyznaczenie na stałeNie przewidziano
Kontrole planoweTak — w ramach rocznego planu kontroliNie
Tymczasowe wstrzymanie działalnościTak — w szczególnych przypadkachNie

Zakres i przebieg kontroli

Kontrola może obejmować weryfikację dokumentacji SZBI, ocenę skuteczności wdrożonych środków bezpieczeństwa, sprawdzenie procedur raportowania incydentów oraz zgodności z wymaganiami ustawy. Organ właściwy może żądać udostępnienia dokumentów, systemów informatycznych, a także przeprowadzić wizytację w siedzibie podmiotu.

  • Weryfikacja dokumentacji SZBI i polityk bezpieczeństwa
  • Ocena wyników szacowania ryzyka i adekwatności środków zaradczych
  • Kontrola procedur zgłaszania incydentów i terminowości zgłoszeń
  • Sprawdzenie wyników audytów bezpieczeństwa i realizacji zaleceń poaudytowych
  • Weryfikacja bezpieczeństwa łańcucha dostaw i umów z dostawcami ICT
  • Ocena szkoleń personelu i świadomości cyberbezpieczeństwa

Środki nadzorcze

W przypadku stwierdzenia naruszeń organ właściwy dysponuje szerokim katalogiem środków nadzorczych — od ostrzeżeń i zaleceń pokontrolnych, przez wiążące nakazy, aż po tymczasowe wstrzymanie certyfikacji lub działalności (wyłącznie wobec podmiotów kluczowych).

  • Ostrzeżenie o naruszeniu obowiązków ustawowych
  • Wiążące polecenia dotyczące usunięcia stwierdzonych naruszeń z wyznaczonym terminem
  • Nakaz poinformowania użytkowników usług o zagrożeniu
  • Nakaz wdrożenia zaleceń z audytu bezpieczeństwa w określonym terminie
  • Nałożenie kary pieniężnej
  • Tymczasowe wstrzymanie lub ograniczenie certyfikacji lub zezwolenia (tylko podmioty kluczowe)
  • Tymczasowy zakaz pełnienia funkcji kierowniczych przez osobę odpowiedzialną (tylko podmioty kluczowe)
Tymczasowe wstrzymanie działalności lub zakaz pełnienia funkcji kierowniczych to środki ostateczne, stosowane wyłącznie wobec podmiotów kluczowych i tylko w przypadku poważnych lub powtarzających się naruszeń.

Prawa kontrolowanego podmiotu

Podmiot objęty kontrolą ma prawo do przedstawienia swojego stanowiska przed wydaniem decyzji, odwołania się od decyzji organu oraz do udziału w czynnościach kontrolnych. Organ ma obowiązek doręczenia protokołu kontroli i umożliwienia zgłoszenia zastrzeżeń.

  • Prawo do informacji o zakresie i przedmiocie kontroli
  • Prawo do obecności podczas czynności kontrolnych
  • Prawo do zgłoszenia zastrzeżeń do protokołu kontroli
  • Prawo do przedstawienia stanowiska przed wydaniem decyzji
  • Prawo do odwołania od decyzji do organu wyższego stopnia
  • Prawo do skargi na decyzję do wojewódzkiego sądu administracyjnego
Spis treści
Nadzór ex ante vs. ex post
Zakres i przebieg kontroli
Środki nadzorcze
Prawa kontrolowanego podmiotu
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.