Terminy6 min czytania

Kalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotów

Przegląd kluczowych terminów

Ustawa nowelizująca KSC weszła w życie 3 kwietnia 2026 roku. Od tego momentu biegną kolejne terminy, w których podmioty muszą spełnić poszczególne obowiązki. Harmonogram jest stopniowany — od identyfikacji statusu, przez rejestrację w wykazie, wdrożenie systemu zarządzania bezpieczeństwem informacji, aż po pierwszy obowiązkowy audyt.

DataObowiązek
3 kwietnia 2026Wejście w życie znowelizowanej ustawy o KSC
3 października 2026Termin rejestracji w wykazie podmiotów (6 miesięcy)
3 kwietnia 2027Termin wdrożenia SZBI i podłączenia do systemu S46 (12 miesięcy)
3 kwietnia 2028Termin przeprowadzenia pierwszego audytu bezpieczeństwa (24 miesiące)
Terminy są liczone od dnia wejścia w życie ustawy (3 kwietnia 2026 r.) dla podmiotów już istniejących. Nowe podmioty, które spełnią kryteria po tej dacie, mają własne terminy liczone od momentu spełnienia przesłanek.

Faza I: identyfikacja i rejestracja

Pierwsza faza obejmuje okres od kwietnia do października 2026 roku. W tym czasie każdy podmiot powinien przeprowadzić samoidentyfikację — ocenić, czy spełnia kryteria podmiotu kluczowego lub ważnego na podstawie sektora działalności i progów wielkościowych. Następnie należy zarejestrować się w wykazie przez system S46.

  1. Przeanalizuj, w jakim sektorze/podsektorze działa organizacja (załączniki 1 i 2 do ustawy).
  2. Sprawdź, czy organizacja przekracza progi wielkościowe (zatrudnienie, obrót, suma bilansowa).
  3. Ustal, czy organizacja jest podmiotem kluczowym czy ważnym.
  4. Wyznacz osobę kontaktową ds. cyberbezpieczeństwa.
  5. Zarejestruj podmiot w wykazie przez system S46 przed 3 października 2026 r.

Faza II: wdrożenie SZBI

Druga faza trwa od rejestracji do kwietnia 2027 roku. To okres intensywnych prac wdrożeniowych — podmiot musi opracować i wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) zgodny z wymaganiami art. 8 ustawy. Obejmuje to szacowanie ryzyka, opracowanie polityk i procedur, wdrożenie środków technicznych oraz przeszkolenie personelu.

  1. Przeprowadź szacowanie ryzyka dla systemów informacyjnych wykorzystywanych do świadczenia usług.
  2. Opracuj dokumentację SZBI: polityki, procedury, instrukcje operacyjne.
  3. Wdróż środki techniczne: zarządzanie tożsamością, szyfrowanie, monitoring, kopie zapasowe.
  4. Opracuj i przetestuj procedury reagowania na incydenty (wczesne ostrzeżenie 24h, zgłoszenie 72h, raport 1 miesiąc).
  5. Przeprowadź szkolenie kierownika podmiotu z zakresu cyberbezpieczeństwa (art. 8e).
  6. Przeprowadź szkolenia personelu odpowiedzialnego za bezpieczeństwo.
  7. Podłącz podmiot do systemu S46 w celu zgłaszania incydentów.

Faza III: audyt i ciągłe doskonalenie

Trzecia faza rozpoczyna się po wdrożeniu SZBI i trwa do kwietnia 2028 roku, kiedy upływa termin przeprowadzenia pierwszego obowiązkowego audytu bezpieczeństwa. Audyt musi być przeprowadzony przez kwalifikowanego audytora i jego wyniki przekazane organowi właściwemu.

Po pierwszym audycie kolejne audyty muszą być przeprowadzane co najmniej raz na 3 lata (art. 15 ust. 1 ustawy o KSC), licząc od dnia podpisania raportu z poprzedniego audytu. Warto zaplanować audyt z wyprzedzeniem — dobry audytor może mieć kalendarz zapełniony na kilka miesięcy do przodu.
Spis treści
Przegląd kluczowych terminów
Faza I: identyfikacja i rejestracja
Faza II: wdrożenie SZBI
Faza III: audyt i ciągłe doskonalenie
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.