Wdrożenie10 min czytaniaOpublikowano: 14 maja 2026

Nowelizacja ustawy o KSC 2026 — co się zmieniło (NIS 2)

Czym jest nowelizacja KSC 2026

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa została uchwalona 23 stycznia 2026 r. i opublikowana w Dz.U. 2026 poz. 252. Weszła w życie 3 kwietnia 2026 r. Jej podstawowym celem jest transpozycja dyrektywy NIS 2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) do polskiego porządku prawnego. Po nowelizacji obowiązuje tekst jednolity całej ustawy ogłoszony w Dz.U. 2026 poz. 20. Zobacz też gdzie znaleźć tekst jednolity ustawy o KSC.

W skrócie: nowelizacja KSC 2026 to największa zmiana w polskim cyberbezpieczeństwie od 2018 r. Zastępuje model „operatorów usług kluczowych" (OUK) nowymi kategoriami podmiotów kluczowych i ważnych, rozszerza liczbę objętych sektorów, podnosi kary, wprowadza osobistą odpowiedzialność kierownictwa i obowiązek samoidentyfikacji.

Najważniejsze zmiany wprowadzone przez nowelizację

Nowelizacja wprowadza kilkanaście fundamentalnych zmian. Najważniejsze z punktu widzenia firm i instytucji:

Nowe kategorie podmiotów — zamiast „operatorów usług kluczowych" i „dostawców usług cyfrowych" wprowadzono podmioty kluczowe i podmioty ważne (art. 5 KSC).
Samoidentyfikacja — podmiot sam ocenia, czy podlega ustawie, i rejestruje się w wykazie (art. 7c). Wcześniej status nadawała decyzja administracyjna organu.
Rozszerzenie sektorów — z kilku sektorów do 18 obszarów gospodarki w załącznikach nr 1 i 2 (m.in. nowe: produkcja, gospodarka odpadami, żywność, chemikalia, przestrzeń kosmiczna, badania naukowe).
Wykaz w systemie S46 — centralny wykaz podmiotów kluczowych i ważnych prowadzony przez ministra właściwego ds. informatyzacji (art. 7).
Wyższe kary — do 10 mln EUR lub 2% przychodów dla podmiotów kluczowych; do 7 mln EUR lub 1,4% dla ważnych; w skrajnych przypadkach do 100 mln zł (art. 73).
Osobista odpowiedzialność kierownika — kara do 300% wynagrodzenia (do 100% dla kierownika podmiotu publicznego), obowiązkowe coroczne szkolenie (art. 8e, art. 73a).
Raportowanie incydentów w modelu 24h / 72h / 1 miesiąc (art. 11) — wczesne ostrzeżenie, zgłoszenie, sprawozdanie końcowe.
Bezpieczeństwo łańcucha dostaw — obowiązek uwzględnienia podatności dostawców ICT w SZBI (art. 8 ust. 2).
Instytucja dostawcy wysokiego ryzyka — możliwość uznania dostawcy sprzętu/oprogramowania za wysokiego ryzyka i nakaz wycofania jego produktów (art. 67b–67c).
Obowiązkowy audyt co 3 lata dla podmiotów kluczowych (art. 15).

Stara ustawa vs znowelizowana — porównanie

Porównanie najważniejszych różnic między ustawą sprzed nowelizacji a stanem po 3 kwietnia 2026 r.:

Obszar	Przed nowelizacją	Po nowelizacji (NIS 2)
Kategorie podmiotów	Operatorzy usług kluczowych (OUK) + dostawcy usług cyfrowych	Podmioty kluczowe i podmioty ważne
Nadawanie statusu	Decyzja administracyjna organu	Samoidentyfikacja + wpis do wykazu (art. 7c)
Liczba sektorów	Kilka sektorów usług kluczowych	18 sektorów (załączniki nr 1 i 2)
Rejestr	Rejestr OUK	Centralny wykaz w systemie S46 (art. 7)
Maks. kara (podmiot)	Do 1 mln zł	Do 10 mln EUR / 2% przychodów (PK); do 100 mln zł w skrajnych przypadkach
Odpowiedzialność kierownika	Brak kar osobistych	Do 300% wynagrodzenia + obowiązkowe szkolenie (art. 8e, 73a)
Raportowanie incydentów	Pojedyncze zgłoszenie	Trzyetapowo: 24h / 72h / 1 miesiąc (art. 11)
Łańcuch dostaw	Brak wyraźnego obowiązku	Obowiązek uwzględnienia ryzyka dostawców (art. 8 ust. 2)
Dostawca wysokiego ryzyka	Brak instytucji	Procedura uznania + wycofanie produktów (art. 67b–67c)

Kogo dotyczą nowe przepisy

Nowelizacja znacząco rozszerza krąg podmiotów objętych ustawą. Obejmuje teraz średnie i duże przedsiębiorstwa z 18 sektorów oraz podmioty publiczne. Pełną listę branż znajdziesz w artykule jakie sektory obejmuje KSC i NIS 2, a procedurę sprawdzenia statusu w artykule czy podlegam pod KSC.

Najważniejsza zmiana praktyczna: to podmiot sam musi ocenić, czy podlega ustawie (samoidentyfikacja). Nikt nie przyśle decyzji ani zawiadomienia jako warunku powstania obowiązków — odpowiedzialność za prawidłową klasyfikację i terminową rejestrację spoczywa na samym podmiocie i jego kierowniku.

Terminy wynikające z nowelizacji

Nowelizacja wprowadza przepisy przejściowe (art. 33–35 ustawy nowelizującej), które wyznaczają terminy dostosowania dla podmiotów istniejących w dniu wejścia w życie (3 kwietnia 2026 r.):

Termin	Obowiązek	Podstawa
3 kwietnia 2026 r.	Wejście w życie nowelizacji	Dz.U. 2026 poz. 252
3 października 2026 r.	Rejestracja w wykazie S46 (6 miesięcy)	art. 7c ust. 1 + art. 33 ust. 1 nowelizacji
3 kwietnia 2027 r.	Wdrożenie SZBI i obowiązków rozdz. 3 (12 miesięcy)	art. 16 pkt 1 + art. 33 ust. 1 nowelizacji
3 kwietnia 2028 r.	Pierwszy audyt podmiotów kluczowych (24 miesiące)	art. 16 pkt 2 + art. 33 ust. 2 nowelizacji

Terminy są nieprzesuwalne i liczone od dnia wejścia w życie nowelizacji dla podmiotów już istniejących. Nowe podmioty (spełniające przesłanki po 3 kwietnia 2026 r.) liczą terminy od dnia spełnienia przesłanek. Zob. pełny harmonogram wdrożenia KSC 2026–2028.

Spis treści

Czym jest nowelizacja KSC 2026 Najważniejsze zmiany wprowadzone przez nowelizację Stara ustawa vs znowelizowana — porównanie Kogo dotyczą nowe przepisy Terminy wynikające z nowelizacji

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST Wdrożenie131 pytań Ministerstwa Cyfryzacji o KSC WdrożenieWdrożenie KSC — kompletny plan działania dla Twojej firmy WdrożenieWdrożenie NIS 2 w Gdyni — porty, MSP, logistyka KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status

FAQ5 pytań

Najczęstsze pytania

Co to jest nowelizacja KSC 2026?

Nowelizacja KSC 2026 to ustawa zmieniająca ustawę o krajowym systemie cyberbezpieczeństwa, uchwalona 23 stycznia 2026 r. (Dz.U. 2026 poz. 252), która weszła w życie 3 kwietnia 2026 r. Jej celem jest wdrożenie do polskiego prawa dyrektywy NIS 2 (dyrektywa (UE) 2022/2555). Wprowadza nowe kategorie podmiotów (kluczowe i ważne), rozszerza liczbę objętych sektorów do 18, podnosi kary, wprowadza osobistą odpowiedzialność kierownictwa i obowiązek samoidentyfikacji. Po nowelizacji obowiązuje tekst jednolity z Dz.U. 2026 poz. 20.

Czy nowelizacja KSC to to samo co NIS2?

Nie są tożsame, ale są ściśle powiązane. NIS 2 to dyrektywa Unii Europejskiej (dyrektywa (UE) 2022/2555), która nie obowiązuje firm bezpośrednio — wymaga wdrożenia (transpozycji) do prawa krajowego każdego państwa członkowskiego. Nowelizacja ustawy o KSC z 2026 r. jest właśnie polskim aktem transponującym NIS 2. To znaczy: obowiązki dla polskich firm wynikają wprost z ustawy o KSC (a nie bezpośrednio z dyrektywy), choć ich źródłem merytorycznym jest NIS 2.

Kiedy weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa?

Nowelizacja została uchwalona 23 stycznia 2026 r., opublikowana w Dz.U. 2026 poz. 252 i weszła w życie 3 kwietnia 2026 r. Od tej daty biegną terminy dostosowania dla podmiotów istniejących: rejestracja w wykazie S46 do 3 października 2026 r., wdrożenie SZBI do 3 kwietnia 2027 r., pierwszy audyt podmiotów kluczowych do 3 kwietnia 2028 r.

Jakie są najważniejsze zmiany w nowelizacji KSC 2026?

Najważniejsze zmiany: (1) zastąpienie operatorów usług kluczowych nowymi kategoriami podmiotów kluczowych i ważnych; (2) samoidentyfikacja zamiast decyzji administracyjnej; (3) rozszerzenie do 18 sektorów (zał. 1 i 2); (4) centralny wykaz w systemie S46; (5) wyższe kary — do 10 mln EUR lub 2% przychodów dla podmiotów kluczowych; (6) osobista odpowiedzialność kierownika do 300% wynagrodzenia i obowiązkowe coroczne szkolenie; (7) raportowanie incydentów 24h/72h/1 miesiąc; (8) bezpieczeństwo łańcucha dostaw; (9) instytucja dostawcy wysokiego ryzyka; (10) obowiązkowy audyt co 3 lata dla podmiotów kluczowych.

Gdzie znaleźć tekst nowelizacji KSC 2026?

Tekst ustawy nowelizującej został opublikowany w Dzienniku Ustaw — Dz.U. 2026 poz. 252. Tekst jednolity całej ustawy o krajowym systemie cyberbezpieczeństwa (uwzględniający nowelizację) to Dz.U. 2026 poz. 20. Oba dokumenty są dostępne bezpłatnie w serwisie ISAP (Internetowy System Aktów Prawnych — isap.sejm.gov.pl) oraz przez identyfikator ELI (eli.gov.pl). Do bieżącej pracy rekomendujemy tekst jednolity (Dz.U. 2026 poz. 20), bo zawiera pełne, aktualne brzmienie wszystkich przepisów.

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.