Prawo9 min czytania

Rozporządzenia wykonawcze do KSC 2026 — lista i status

Dlaczego rozporządzenia są kluczowe

Ustawa o KSC 2026 (tekst jednolity — Dz.U. 2026 poz. 20 i 252 ze zm.) zawiera kilkanaście delegacji ustawowych dla Rady Ministrów, Ministra Cyfryzacji i ministrów sektorowych. Bez rozporządzeń wykonawczych część obowiązków pozostaje w ogólnym zarysie — np. progi uznania incydentu za „poważny” są zróżnicowane dla każdego sektora i określane w rozporządzeniu RM, a nie w samej ustawie.

Praktyczny skutek: do dnia wydania konkretnego rozporządzenia stosujemy definicję ogólną z ustawy (np. „poważne obniżenie jakości lub przerwanie ciągłości” z art. 2 pkt 7 KSC) oraz — jeżeli są — standardy UE (np. rozp. wykonawcze Komisji 2024/2690 dla infrastruktury cyfrowej). Nie zwalnia to z obowiązku zgłaszania incydentów.

Rozporządzenia Rady Ministrów

Rada Ministrów wydaje rozporządzenia ogólne — dotyczące wszystkich sektorów lub przekrojowe. Kluczowe akty przewidziane w ustawie:

RozporządzeniePodstawa prawnaZakres regulacji
O progach incydentu poważnego — sektorowoart. 11 ust. 4 KSCIlościowe i jakościowe progi uznania incydentu za „poważny” dla każdego sektora zał. 1 i 2 (liczba dotkniętych użytkowników, czas trwania, strata finansowa, zasięg geograficzny)
O wymaganiach dla SZBIart. 8 ust. 8 KSCSzczegółowe wymogi techniczne i organizacyjne SZBI — minimalny zakres kontroli, dokumentacji, przeglądów, polityk
O przeprowadzaniu kontroli i audytówart. 54 ust. 5 KSCMetodyka kontroli organu właściwego, zakres uprawnień, dokumentacja, procedury skarg
O CSIRT sektorowychart. 26 ust. 5 KSCOrganizacja, zasięg, uprawnienia, współpraca z CSIRT krajowymi, wymiana informacji
O ocenie i klasyfikacji dostawcówart. 67b ust. 6 KSCProcedura oceny i kwalifikacji dostawcy jako HRV, kryteria oceny technicznej i nietechnicznej
O wykazie podmiotów kluczowych i ważnych (szczegóły)art. 7 ust. 9 KSCDane zbierane w wykazie S46, format, sposób aktualizacji, dostęp publiczny vs wewnętrzny
Stan prac (sierpień-październik 2026): większość projektów rozporządzeń RM znajduje się na etapie konsultacji publicznych lub uzgodnień międzyresortowych. Projekty publikowane są w Biuletynie Informacji Publicznej KPRM (legislacja.rcl.gov.pl). Śledzenie jest kluczowe — okres przejściowy dla zastosowania rozporządzenia wynosi zwykle 3-6 miesięcy od publikacji.

Rozporządzenia Ministra Cyfryzacji

Minister właściwy ds. informatyzacji (MC) wydaje rozporządzenia operacyjne — dotyczące wykazu S46, audytorów, wzorów formularzy, zasad wpisu i weryfikacji.

RozporządzeniePodstawa prawnaZakres regulacji
O wymaganiach dla audytorów KSCart. 15 ust. 5 KSCKwalifikacje, akredytacja, lista audytorów prowadzona przez MC, odpowiedzialność zawodowa, certyfikaty uznawane (ISO 27001 LA, CISA, CISM)
O wzorze wniosku do wykazu S46art. 7 ust. 10 KSCFormularz wniosku o wpis/aktualizację/wykreślenie, wymagane pola, załączniki, sposób składania
O osobie ds. cyberbezpieczeństwaart. 22 ust. 5 KSCWymogi kwalifikacyjne, zakres obowiązków, forma wyznaczenia, zasady zgłaszania do wykazu
O współpracy i wymianie informacjiart. 30 ust. 8 KSCStandardy wymiany informacji o zagrożeniach (TLP, MISP, format STIX), zasady ochrony informacji poufnych
O postępowaniu z informacjami niejawnymiart. 37 KSCObsługa klauzul (zastrzeżone, poufne, tajne), obowiązki podmiotów, sposób przekazywania

Rozporządzenia sektorowe

Ministrowie sektorowi (zdrowia, klimatu, energii, rolnictwa, finansów, spraw wewnętrznych, obrony) wydają rozporządzenia dotyczące specyfiki swojego sektora — m.in. szczegółowych progów incydentów, struktury CSIRT sektorowego, sektorowych wymogów bezpieczeństwa.

  • Sektor zdrowia — Minister Zdrowia: rozporządzenie o wymaganiach dla systemów HIS/EDM, minimalnych środkach bezpieczeństwa dla szpitali, procedurach ciągłości klinicznej.
  • Sektor energetyczny — Minister Energii/Klimatu: rozporządzenie o bezpieczeństwie systemów OT (SCADA, DMS, EMS) w energetyce, wymogach segmentacji IT/OT, procedurach reagowania.
  • Sektor finansowy — Minister Finansów/KNF: akty uzupełniające DORA w obszarach nieregulowanych przez rozporządzenie UE, wymogi specyficzne dla rynku polskiego.
  • Sektor transportu — Minister Infrastruktury: rozporządzenie o bezpieczeństwie systemów transportu (lotnictwo, kolej, żegluga, drogi), współpraca z ULC/UTK.
  • Sektor wodociągowo-kanalizacyjny — Minister Klimatu: rozporządzenie o ochronie systemów SCADA w branży wodnej, współpraca z Wodami Polskimi.
  • JST i administracja — MSWiA, MC: wzorcowe polityki bezpieczeństwa dla jednostek administracji publicznej, SZBI z załącznika nr 4.
Hierarchia: w sektorze finansowym rozporządzenie UE DORA (2022/2554) ma pierwszeństwo przed polskimi aktami wykonawczymi w zakresie odporności operacyjnej cyfrowej. Akty wykonawcze KSC stosuje się uzupełniająco — tam gdzie DORA nie reguluje lub odsyła do prawa krajowego.

Praktyczne wskazówki do czasu wydania rozporządzeń

Dopóki rozporządzenia nie wejdą w życie, podmioty są zobowiązane stosować bezpośrednio ustawę oraz prawo UE. Poniższe wskazówki pomagają zachować zgodność bez czekania na akty wykonawcze.

  1. Stosuj definicję incydentu poważnego z art. 2 pkt 7 KSC — wpływ na ciągłość usługi, straty finansowe lub szkoda osób trzecich. Dokumentuj decyzję klasyfikacyjną.
  2. Dla infrastruktury cyfrowej stosuj rozporządzenie wykonawcze KE 2024/2690 (progi i procedury) — obowiązuje bezpośrednio jako prawo UE.
  3. SZBI opieraj na normach ISO 27001 i ISO 22301 — są powszechnie uznawane jako domniemanie zgodności (art. 14 ust. 5a KSC).
  4. W zakresie audytora korzystaj z osoby posiadającej certyfikat ISO 27001 Lead Auditor lub CISA — do czasu wydania listy MC, te kwalifikacje są akceptowane praktycznie.
  5. Monitoruj Biuletyn Informacji Publicznej KPRM (legislacja.rcl.gov.pl) — konsultacje trwają 21-30 dni i to okazja na zgłoszenie uwag.
  6. Buduj wewnętrzne polityki z marginesem zapasowym — w razie zaostrzenia wymogów w rozporządzeniu nie trzeba będzie przemodelowywać całego SZBI.
Źródła do śledzenia: legislacja.rcl.gov.pl (konsultacje), Dziennik Ustaw (dziennikustaw.gov.pl) — publikacja, ISAP (isap.sejm.gov.pl) — wersje ujednolicone, strona MC (gov.pl/web/cyfryzacja) — komunikaty i wytyczne.
FAQ4 pytania

Najczęstsze pytania

Ile rozporządzeń wykonawczych ma wejść na podstawie KSC 2026?
Ustawa deleguje kilkanaście aktów wykonawczych — około 6-7 rozporządzeń Rady Ministrów, 5-6 rozporządzeń Ministra Cyfryzacji oraz po 1-3 aktów każdego ministra sektorowego. Łącznie pełen pakiet to 25-30 aktów wykonawczych. Stan prac można śledzić w BIP KPRM i na stronach poszczególnych resortów.
Co jeśli rozporządzenie nie zostało jeszcze wydane?
Podmioty stosują bezpośrednio ustawę o KSC oraz prawo UE (w szczególności rozporządzenia wykonawcze KE — dla infrastruktury cyfrowej to 2024/2690). W praktyce oznacza to stosowanie definicji i wymagań ogólnych, z zachowaniem dobrej wiary. Brak rozporządzenia nie zwalnia z obowiązków ustawowych — raportowania, wpisu, SZBI, audytu.
Gdzie śledzić projekty rozporządzeń do KSC?
Kluczowe źródła: (1) legislacja.rcl.gov.pl — Rządowe Centrum Legislacji, konsultacje publiczne, (2) BIP KPRM — projekty RM, (3) strona Ministerstwa Cyfryzacji (gov.pl/web/cyfryzacja) — akty MC, (4) strony poszczególnych ministerstw sektorowych. Każdy projekt ma okres konsultacji (zwykle 14-30 dni), w którym można zgłaszać uwagi.
Czy w sektorze finansowym trzeba czekać na polskie rozporządzenie?
Nie — sektor finansowy podlega bezpośrednio rozporządzeniu UE DORA (2022/2554), które obowiązuje od 17 stycznia 2025 r. Polskie akty wykonawcze KSC stosuje się uzupełniająco, tam gdzie DORA nie reguluje. Instytucje finansowe budują zgodność na bazie DORA + RTS/ITS wydanych przez EBA/ESMA/EIOPA, a KSC 2026 dodaje warstwę krajową.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.