Prawo9 min czytania

Rozporządzenia wykonawcze do KSC 2026 — lista i status

Dlaczego rozporządzenia są kluczowe

Ustawa o KSC 2026 (tekst jednolity — Dz.U. 2026 poz. 20 i 252 ze zm.) zawiera kilkanaście delegacji ustawowych dla Rady Ministrów, Ministra Cyfryzacji i ministrów sektorowych. Bez rozporządzeń wykonawczych część obowiązków pozostaje w ogólnym zarysie — np. progi uznania incydentu za „poważny” są zróżnicowane dla każdego sektora i określane w rozporządzeniu RM, a nie w samej ustawie.

Praktyczny skutek: do dnia wydania konkretnego rozporządzenia stosujemy definicję ogólną z ustawy (np. „poważne obniżenie jakości lub przerwanie ciągłości” z art. 2 pkt 7 KSC) oraz — jeżeli są — standardy UE (np. rozp. wykonawcze Komisji 2024/2690 dla infrastruktury cyfrowej). Nie zwalnia to z obowiązku zgłaszania incydentów.

Rozporządzenia Rady Ministrów

Rada Ministrów wydaje rozporządzenia ogólne — dotyczące wszystkich sektorów lub przekrojowe. Kluczowe akty przewidziane w ustawie:

RozporządzeniePodstawa prawnaZakres regulacji
O progach incydentu poważnego — sektorowoart. 11 ust. 4 KSC (delegacja Rady Ministrów)Ilościowe i jakościowe progi uznania incydentu za „poważny” dla każdego sektora zał. 1 i 2 (liczba dotkniętych użytkowników, czas trwania, strata finansowa, zasięg geograficzny)
O szczegółowych wymaganiach dla SZBI (sektorowo)art. 8a KSC (delegacja fakultatywna Rady Ministrów)Szczegółowe wymagania dla SZBI dla danego rodzaju działalności — minimalny zakres środków, dokumentacji, przeglądów, polityk; wydawane z uwzględnieniem rekomendacji ENISA i wielkości podmiotu
Bezpośrednio stosowane wymogi techniczne dla części podmiotów cyfrowychrozp. wykonawcze Komisji (UE) 2024/2690 (art. 8b ust. 1 KSC)Wymogi techniczne i metodyczne dla DNS, TLD, chmury, CDN, MSP, MSSP, platform handlowych, wyszukiwarek i platform społecznościowych
O ocenie i klasyfikacji dostawców (DWR)art. 67b KSC (procedura administracyjna w decyzji)Postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka — wszczęcie (ust. 1), strony (ust. 3–4), opinia Kolegium (ust. 10–13), decyzja MC (ust. 15)
Stan prac (sierpień-październik 2026): większość projektów rozporządzeń RM znajduje się na etapie konsultacji publicznych lub uzgodnień międzyresortowych. Projekty publikowane są w Biuletynie Informacji Publicznej KPRM (legislacja.rcl.gov.pl). Śledzenie jest kluczowe — okres przejściowy dla zastosowania rozporządzenia wynosi zwykle 3-6 miesięcy od publikacji.

Rozporządzenia Ministra Cyfryzacji

Minister właściwy ds. informatyzacji (MC) wydaje rozporządzenia operacyjne — dotyczące wykazu S46, audytorów, wzorów formularzy, zasad wpisu i weryfikacji.

RozporządzeniePodstawa prawnaZakres regulacji
O wymaganiach dla audytorów KSCart. 15 KSC (akty wykonawcze MC, jeśli zostaną wydane)Kwalifikacje, akredytacja, lista audytorów prowadzona przez MC, odpowiedzialność zawodowa, certyfikaty uznawane (ISO 27001 LA, CISA, CISM) — w zakresie nieobjętym bezpośrednio ustawą
O systemie S46 i wykazie podmiotówart. 46 ust. 1 KSC oraz art. 32 ustawy nowelizującej (delegacje wykonawcze MC)Funkcjonalności systemu teleinformatycznego do prowadzenia wykazu, sposób dostępu, format danych — pkt 1–14 art. 7 ust. 2 wymieniają zakres danych wprost w ustawie
O wymianie informacji o cyberzagrożeniachart. 8h KSC (zasady ustawowe — porozumienia w ust. 6)Tryb wymiany informacji między podmiotami kluczowymi i ważnymi, CSIRT MON/NASK/GOV, CSIRT sektorowymi, dostawcami i organizacjami społecznymi; przekazywanie przez S46 lub porozumienia
O informacjach niejawnych w KSCart. 37 KSC (odsyłanie do ustawy o ochronie informacji niejawnych z 5 sierpnia 2010 r.)Obsługa klauzul (zastrzeżone, poufne, tajne), obowiązki podmiotów, sposób przekazywania zgodnie z odrębną ustawą

Rozporządzenia sektorowe

Ministrowie sektorowi (zdrowia, klimatu, energii, rolnictwa, finansów, spraw wewnętrznych, obrony) wydają rozporządzenia dotyczące specyfiki swojego sektora — m.in. szczegółowych progów incydentów, struktury CSIRT sektorowego, sektorowych wymogów bezpieczeństwa.

  • Sektor zdrowia — Minister Zdrowia: rozporządzenie o wymaganiach dla systemów HIS/EDM, minimalnych środkach bezpieczeństwa dla szpitali, procedurach ciągłości klinicznej.
  • Sektor energetyczny — Minister Energii/Klimatu: rozporządzenie o bezpieczeństwie systemów OT (SCADA, DMS, EMS) w energetyce, wymogach segmentacji IT/OT, procedurach reagowania.
  • Sektor finansowy — Minister Finansów/KNF: akty uzupełniające DORA w obszarach nieregulowanych przez rozporządzenie UE, wymogi specyficzne dla rynku polskiego.
  • Sektor transportu — Minister Infrastruktury: rozporządzenie o bezpieczeństwie systemów transportu (lotnictwo, kolej, żegluga, drogi), współpraca z ULC/UTK.
  • Sektor wodociągowo-kanalizacyjny — Minister Klimatu: rozporządzenie o ochronie systemów SCADA w branży wodnej, współpraca z Wodami Polskimi.
  • JST i administracja — MSWiA, MC: wzorcowe polityki bezpieczeństwa dla jednostek administracji publicznej, SZBI z załącznika nr 4.
Hierarchia: w sektorze finansowym rozporządzenie UE DORA (2022/2554) ma pierwszeństwo przed polskimi aktami wykonawczymi w zakresie odporności operacyjnej cyfrowej. Akty wykonawcze KSC stosuje się uzupełniająco — tam gdzie DORA nie reguluje lub odsyła do prawa krajowego.

Praktyczne wskazówki do czasu wydania rozporządzeń

Dopóki rozporządzenia nie wejdą w życie, podmioty są zobowiązane stosować bezpośrednio ustawę oraz prawo UE. Poniższe wskazówki pomagają zachować zgodność bez czekania na akty wykonawcze.

  1. Stosuj definicję incydentu poważnego z art. 2 pkt 7 KSC — wpływ na ciągłość usługi, straty finansowe lub szkoda osób trzecich. Dokumentuj decyzję klasyfikacyjną.
  2. Dla infrastruktury cyfrowej stosuj rozporządzenie wykonawcze KE 2024/2690 (progi i procedury) — obowiązuje bezpośrednio jako prawo UE.
  3. SZBI opieraj na normach ISO 27001 i ISO 22301 — są powszechnie uznawane jako spełniające wymagania art. 8 ust. 1 KSC (stanowisko Ministerstwa Cyfryzacji, Q&A pkt 4.2).
  4. W zakresie audytora korzystaj z osoby posiadającej certyfikat ISO 27001 Lead Auditor lub CISA — do czasu wydania listy MC, te kwalifikacje są akceptowane praktycznie.
  5. Monitoruj Biuletyn Informacji Publicznej KPRM (legislacja.rcl.gov.pl) — konsultacje trwają 21-30 dni i to okazja na zgłoszenie uwag.
  6. Buduj wewnętrzne polityki z marginesem zapasowym — w razie zaostrzenia wymogów w rozporządzeniu nie trzeba będzie przemodelowywać całego SZBI.
Źródła do śledzenia: legislacja.rcl.gov.pl (konsultacje), Dziennik Ustaw (dziennikustaw.gov.pl) — publikacja, ISAP (isap.sejm.gov.pl) — wersje ujednolicone, strona MC (gov.pl/web/cyfryzacja) — komunikaty i wytyczne.
FAQ5 pytań

Najczęstsze pytania

Ile rozporządzeń wykonawczych ma wejść na podstawie KSC 2026?
Ustawa deleguje kilkanaście aktów wykonawczych — około 6-7 rozporządzeń Rady Ministrów, 5-6 rozporządzeń Ministra Cyfryzacji oraz po 1-3 aktów każdego ministra sektorowego. Łącznie pełen pakiet to 25-30 aktów wykonawczych. Stan prac można śledzić w BIP KPRM i na stronach poszczególnych resortów.
Co jeśli rozporządzenie nie zostało jeszcze wydane?
Podmioty stosują bezpośrednio ustawę o KSC oraz prawo UE (w szczególności rozporządzenia wykonawcze KE — dla infrastruktury cyfrowej to 2024/2690). W praktyce oznacza to stosowanie definicji i wymagań ogólnych, z zachowaniem dobrej wiary. Brak rozporządzenia nie zwalnia z obowiązków ustawowych — raportowania, wpisu, SZBI, audytu.
Gdzie śledzić projekty rozporządzeń do KSC?
Kluczowe źródła: (1) legislacja.rcl.gov.pl — Rządowe Centrum Legislacji, konsultacje publiczne, (2) BIP KPRM — projekty RM, (3) strona Ministerstwa Cyfryzacji (gov.pl/web/cyfryzacja) — akty MC, (4) strony poszczególnych ministerstw sektorowych. Każdy projekt ma okres konsultacji (zwykle 14-30 dni), w którym można zgłaszać uwagi.
Czy w sektorze finansowym trzeba czekać na polskie rozporządzenie?
Nie — sektor finansowy podlega bezpośrednio rozporządzeniu UE DORA (2022/2554), które obowiązuje od 17 stycznia 2025 r. Polskie akty wykonawcze KSC stosuje się uzupełniająco, tam gdzie DORA nie reguluje. Instytucje finansowe budują zgodność na bazie DORA + RTS/ITS wydanych przez EBA/ESMA/EIOPA, a KSC 2026 dodaje warstwę krajową.
Gdzie monitorować postęp prac nad rozporządzeniami wykonawczymi do KSC?
Rządowe Centrum Legislacji (rcl.gov.pl) — zakładka Rządowy Proces Legislacyjny, wyszukiwanie po słowie cyberbezpieczeństwo. Strona Ministerstwa Cyfryzacji (gov.pl/web/cyfryzacja) publikuje informacje o konsultacjach. Warto też śledzić BIP organów właściwych dla swojego sektora.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.