Terminy6 min czytania

Terminy wdrożenia KSC 2026–2028

Przegląd kluczowych terminów

Ustawa nowelizująca KSC weszła w życie 3 kwietnia 2026 roku. Od tego momentu biegną kolejne terminy, w których podmioty muszą spełnić poszczególne obowiązki. Harmonogram rejestracji w systemie S46 jest stopniowany — od identyfikacji statusu, przez rejestrację w wykazie, wdrożenie systemu zarządzania bezpieczeństwem informacji, aż po pierwszy obowiązkowy audyt.

DataObowiązek
3 kwietnia 2026Wejście w życie znowelizowanej ustawy o KSC (art. 49 ustawy nowelizującej, Dz.U. 2026 poz. 252)
Wg komunikatu MCPierwszy wpis istniejących podmiotów do wykazu S46 — w terminach harmonogramu Ministra Cyfryzacji (art. 34 ust. 3 nowel.). Dla nowych podmiotów: 6 miesięcy od spełnienia przesłanek (art. 7c ust. 1 KSC)
3 kwietnia 2027Pełne wdrożenie obowiązków rozdziału 3 — w tym SZBI z art. 8 (art. 33 ust. 1 nowel., 12 mies. od wejścia w życie). Korzystanie z S46 przez PK/PW: 12 miesięcy od spełnienia przesłanek (art. 46 ust. 4 KSC)
3 kwietnia 2028Termin przeprowadzenia pierwszego audytu bezpieczeństwa (tylko PK — art. 33 ust. 2 nowel., 24 mies. od wejścia w życie)
Dwa tory liczenia terminów (Q&A pkt 3.1). Tabela powyżej dotyczy podmiotów istniejących w dniu wejścia w życie ustawy (3.04.2026) — terminy liczy się od tej właśnie daty. Podmioty nowe, które spełnią przesłanki kwalifikacji po 3.04.2026 r. (np. powstały później albo dopiero wtedy przekroczyły próg wielkościowy), mają analogiczne terminy (6 / 12 / 24 mies.), ale liczone od dnia spełnienia przesłanek. Przykład: firma, która osiągnie pułap średniego przedsiębiorcy 15.06.2027, ma na rejestrację czas do 15.12.2027, na wdrożenie SZBI do 15.06.2028, a na pierwszy audyt do 15.06.2029.
Kamień milowyPodmiot istniejący (od 3.04.2026)Podmiot nowy (od dnia spełnienia przesłanek)
Pierwszy wpis do wykazu S46Wg harmonogramu MC w komunikacie (art. 34 ust. 3 nowel.)6 miesięcy od spełnienia przesłanek (art. 7c ust. 1 KSC)
Wdrożenie SZBI i pełne obowiązki rozdz. 3do 3.04.2027 (art. 33 ust. 1 nowel.)12 miesięcy od spełnienia przesłanek (art. 33 ust. 1 / art. 46 ust. 4 KSC)
Pierwszy audyt bezpieczeństwa (tylko PK)do 3.04.2028 (art. 33 ust. 2 nowel.)24 miesiące od spełnienia przesłanek (art. 33 ust. 2 nowel.)

Faza I: identyfikacja i rejestracja

Pierwsza faza obejmuje okres od kwietnia do października 2026 roku. W tym czasie każdy podmiot powinien przeprowadzić samoidentyfikację — ocenić, czy spełnia kryteria podmiotu kluczowego lub ważnego na podstawie sektora działalności i progów wielkościowych. Następnie należy zarejestrować się w wykazie podmiotów przez system S46.

  1. Przeanalizuj, w jakim sektorze/podsektorze działa organizacja (załączniki 1 i 2 do ustawy).
  2. Sprawdź, czy organizacja przekracza progi wielkościowe (zatrudnienie, obrót, suma bilansowa).
  3. Ustal, czy organizacja jest podmiotem kluczowym czy ważnym.
  4. Wyznacz co najmniej 2 osoby kontaktowe ds. cyberbezpieczeństwa (art. 9 ust. 1 KSC).
  5. Zarejestruj podmiot w wykazie przez system S46 — w terminach z komunikatu Ministra Cyfryzacji wydanego na podstawie art. 34 ust. 3 ustawy nowelizującej.

Faza II: wdrożenie SZBI

Druga faza trwa od rejestracji do kwietnia 2027 roku. To okres intensywnych prac wdrożeniowych — podmiot musi opracować i wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) zgodny z wymaganiami art. 8 ustawy. Obejmuje to szacowanie ryzyka, opracowanie polityk i procedur, wdrożenie środków technicznych oraz przeszkolenie personelu.

  1. Przeprowadź szacowanie ryzyka dla systemów informacyjnych wykorzystywanych do świadczenia usług.
  2. Opracuj dokumentację SZBI: polityki, procedury, instrukcje operacyjne.
  3. Wdróż środki techniczne: zarządzanie tożsamością, szyfrowanie, monitoring, kopie zapasowe.
  4. Opracuj i przetestuj procedury reagowania na incydenty (wczesne ostrzeżenie 24h, zgłoszenie 72h, raport 1 miesiąc).
  5. Przeprowadź szkolenie kierownika podmiotu z zakresu cyberbezpieczeństwa (art. 8e).
  6. Przeprowadź szkolenia personelu odpowiedzialnego za bezpieczeństwo.
  7. Podłącz podmiot do systemu S46 w celu zgłaszania incydentów.

Faza III: audyt i ciągłe doskonalenie

Trzecia faza rozpoczyna się po wdrożeniu SZBI i trwa do kwietnia 2028 roku, kiedy upływa termin przeprowadzenia pierwszego obowiązkowego audytu bezpieczeństwa. Audyt musi być przeprowadzony przez kwalifikowanego audytora i jego wyniki przekazane organowi właściwemu.

Po pierwszym audycie kolejne audyty muszą być przeprowadzane co najmniej raz na 3 lata (art. 15 ust. 1 ustawy o KSC), licząc od dnia podpisania raportu z poprzedniego audytu. Warto zaplanować audyt z wyprzedzeniem — dobry audytor może mieć kalendarz zapełniony na kilka miesięcy do przodu.
FAQ4 pytania

Najczęstsze pytania

Do kiedy trzeba wdrożyć KSC w swojej organizacji?
Ogólny harmonogram (art. 33–35 ustawy nowelizującej z 23 stycznia 2026 r., Dz.U. 2026 poz. 252 — terminy liczone od spełnienia przesłanek, dla istniejących podmiotów: od 3.04.2026): (1) rejestracja w wykazie S46: do 3 października 2026 r. (6 miesięcy), (2) wdrożenie SZBI i wszystkich obowiązków z rozdz. 3: do 3 kwietnia 2027 r. (12 miesięcy), (3) pierwszy audyt KSC (PK): do 3 kwietnia 2028 r. (24 miesiące). Podstawa: art. 33 ust. 1–2 ustawy nowelizującej.
Kiedy składać pierwszy raport SZBI w KSC?
Nie istnieje odrębny okresowy „raport SZBI" do składania w MC. SZBI musi być wdrożony w terminie 12 miesięcy od spełnienia przesłanek (art. 33 ust. 1 ustawy nowelizującej) i udokumentowany wewnętrznie. Obowiązek informacyjny wobec organu materializuje się poprzez: raportowanie incydentów (24/72h), aktualizację danych w wykazie S46, oraz dokumentację udostępnianą w razie kontroli lub audytu.
Jaki jest pełny harmonogram obowiązków KSC?
Chronologicznie: (1) samoidentyfikacja (zawsze), (2) samorejestracja 7.05-3.10.2026 (lub wpis z urzędu 13.04-6.05.2026), (3) wyznaczenie osoby ds. cyberbezpieczeństwa — od wpisu, (4) wdrożenie SZBI i obowiązków rozdz. 3 — 12 mies. od spełnienia przesłanek (art. 33 ust. 1 ustawy nowelizującej), (5) szkolenia zarządu — corocznie, (6) audyt (PK) — co 3 lata, (7) raportowanie incydentów — na bieżąco 24/72h/1 mies.
Czy istniejące podmioty mają inne terminy niż nowe?
Tak — występują dwa równoległe reżimy. Podmioty istniejące w dniu wejścia w życie nowelizacji (3.04.2026): art. 33 ust. 1 ustawy nowelizującej z 23.01.2026 (Dz.U. 2026 poz. 252) — 12 miesięcy na obowiązki rozdz. 3 (do 3.04.2027) i art. 33 ust. 2 — 24 miesiące na pierwszy audyt PK (do 3.04.2028); rejestracja zgodnie z harmonogramem ministra (art. 34 ust. 3 pkt 1, art. 33 ust. 3). Podmioty nowo powstające lub spełniające przesłanki po 3.04.2026: art. 16 pkt 1 i 2 KSC — 12 miesięcy na obowiązki rozdz. 3 i 24 miesiące na pierwszy audyt liczone od dnia spełnienia przesłanek; rejestracja w wykazie w terminie 6 miesięcy (art. 7c ust. 1 KSC).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.