Podstawy prawne9 min czytania

Ustawa o KSC 2026 — tekst jednolity

Czym jest ustawa o KSC

Ustawa o krajowym systemie cyberbezpieczeństwa (ustawa o KSC) to polski akt prawny, który stanowi kręgosłup krajowego systemu cyberbezpieczeństwa i jednocześnie transponuje do polskiego porządku prawnego unijną dyrektywę NIS. Pierwotna ustawa z dnia 5 lipca 2018 r. (Dz.U. 2018 poz. 1560) wdrażała dyrektywę NIS z 2016 r., a jej znowelizowana wersja obowiązująca od 2026 r. realizuje wymagania dyrektywy NIS 2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555).

Ustawa określa: organizację krajowego systemu cyberbezpieczeństwa, obowiązki podmiotów kluczowych i ważnych, zadania CSIRT-ów poziomu krajowego (CSIRT GOV, CSIRT MON, CSIRT NASK), kompetencje organów właściwych oraz zasady nadzoru i odpowiedzialności. To właśnie z niej wynikają wymogi w zakresie systemu zarządzania bezpieczeństwem informacji (SZBI), raportowania incydentów, audytu bezpieczeństwa i rejestracji w wykazie podmiotów.

Potoczna nazwa „ustawa o KSC" odnosi się do tego samego aktu, co formalna „ustawa o krajowym systemie cyberbezpieczeństwa". W kontaktach urzędowych zawsze stosuj pełną nazwę — zwłaszcza gdy powołujesz się na konkretny przepis (np. „art. 8 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa").

Tekst jednolity 2026 — ISAP i Sejm

Tekst jednolity to wersja ustawy uwzględniająca wszystkie zmiany wprowadzone nowelizacjami od momentu uchwalenia. Jest to dokument referencyjny — korzystaj z niego, gdy potrzebujesz aktualnego brzmienia przepisu. Tekst jednolity jest oznaczony w metryczce jako „t.j." i publikowany w Dzienniku Ustaw po istotnych zmianach legislacyjnych.

ŹródłoAdresCo znajdziesz
ISAP (Internetowy System Aktów Prawnych)isap.sejm.gov.plOficjalny, urzędowy tekst jednolity ustawy, tabele zmian, załączniki, historia nowelizacji
Sejm RP — druki sejmowesejm.gov.plProjekty ustaw nowelizujących, uzasadnienia, opinie, sprawozdania komisji, przebieg procesu legislacyjnego
Dziennik Ustaw (Dz.U.)dziennikustaw.gov.plPierwotne publikacje ustaw i obwieszczeń z tekstami jednolitymi (np. Dz.U. 2018 poz. 1560, Dz.U. 2026 poz. 20, obwieszczenie Dz.U. 2026 poz. 252)
Ministerstwo Cyfryzacjigov.pl/web/cyfryzacjaKomunikaty, wyjaśnienia, komentarze do przepisów, harmonogramy wdrożenia
Rządowe Centrum Legislacjircl.gov.plProjekty aktów wykonawczych (rozporządzeń) do ustawy o KSC, konsultacje publiczne
W wyszukiwarce ISAP wpisz frazę „krajowy system cyberbezpieczeństwa" i w wynikach filtruj status na „obowiązujący". Pobieraj plik oznaczony jako tekst jednolity (t.j.) — nieaktualne wersje mogą zawierać uchylone przepisy, co prowadzi do błędnej interpretacji obowiązków.

Na stronach Sejmu znajdziesz też pełny przebieg procesu legislacyjnego — od wniesienia projektu, przez opinie Biura Analiz Sejmowych i stanowiska organizacji branżowych, po głosowania na posiedzeniach plenarnych. Te materiały bywają kluczowe przy wątpliwościach interpretacyjnych: uzasadnienie projektu pokazuje cel danego przepisu, a sprawozdania komisji tłumaczą, dlaczego brzmienie zostało w toku prac zmienione.

Nowelizacja wdrażająca NIS2

Nowelizacja, która weszła w życie w 2026 r., nosi formalny tytuł „ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw". Jej głównym celem jest wdrożenie do polskiego porządku prawnego dyrektywy NIS 2. Zmiana jest na tyle istotna, że w praktyce zmienia logikę ustawy — a nie tylko jej szczegóły. Towarzyszą jej akty wykonawcze — patrz: Rozporządzenia wykonawcze do ustawy o KSC.

ObszarStan sprzed nowelizacji (NIS 1)Stan po nowelizacji (NIS 2, 2026)
Kategorie podmiotówOperatorzy usług kluczowych (OUK), dostawcy usług cyfrowych (DSP)Podmioty kluczowe i podmioty ważne (art. 5)
Zakres sektorowyWąsko: energia, transport, bankowość, zdrowie, infrastruktura cyfrowa, woda pitnaRozszerzony: dodatkowo m.in. odpady, produkcja, przemysł spożywczy, poczta, JST, przestrzeń kosmiczna, badania naukowe
Kryterium włączeniaDecyzja administracyjna dla OUKSamoidentyfikacja na podstawie progów wielkościowych i załączników 1 i 2
RejestracjaBrak centralnego rejestruObowiązkowy wykaz podmiotów kluczowych i ważnych (system S46)
Odpowiedzialność kierownictwaOgólna odpowiedzialność zarząduDedykowane obowiązki szkoleniowe i osobista odpowiedzialność kierownika jednostki (art. 8e)
Maksymalne karyDo 200 000 złDo 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej (podmioty kluczowe — art. 73 ust. 3); do 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej (podmioty ważne — art. 73 ust. 4)
Łańcuch dostawMarginalne wymogiObowiązkowe zarządzanie ryzykiem w łańcuchu dostaw i ocena dostawców wysokiego ryzyka

Skutki tych zmian opisujemy szczegółowo w osobnych artykułach — zobacz „Podmiot kluczowy vs. podmiot ważny”, „Odpowiedzialność kierownika jednostki”, „Łańcuch dostaw w KSC\" oraz „Kary pieniężne w KSC”.

Jeżeli pracujesz z dokumentami sprzed 2026 r., pamiętaj, że pojęcia „operator usługi kluczowej" i „dostawca usługi cyfrowej" zostały zastąpione kategoriami „podmiot kluczowy" i „podmiot ważny”. Stare decyzje administracyjne wyznaczające OUK nie są automatycznym odpowiednikiem nowego statusu — obowiązuje samoidentyfikacja.

Struktura aktu i załączniki

Ustawa o krajowym systemie cyberbezpieczeństwa jest podzielona na rozdziały i załączniki. Przed sięgnięciem po konkretny artykuł warto zorientować się w ogólnej architekturze aktu — oszczędza to czasu przy poszukiwaniu właściwej podstawy prawnej.

ElementZakres
Rozdział 1 — Przepisy ogólneDefinicje, cel ustawy, zakres podmiotowy i przedmiotowy, zasady ogólne
Rozdział 2 — Podmioty krajowego systemu cyberbezpieczeństwaKlasyfikacja (art. 5), obowiązek rejestracji (art. 7c), dane kontaktowe (art. 7)
Rozdział 3 — Obowiązki podmiotów kluczowych i ważnychSZBI (art. 8), szkolenia kierownictwa (art. 8e), weryfikacja personelu (art. 8f), raportowanie incydentów
Rozdział 4 — Audyt bezpieczeństwaObowiązek audytu co 3 lata (art. 15), wymagania wobec audytora, raport pokontrolny
Rozdział 5 — CSIRT poziomu krajowegoZadania CSIRT GOV, CSIRT MON i CSIRT NASK, koordynacja incydentów poważnych
Rozdział 6 — Organy właściwe i nadzórMinisterstwo Cyfryzacji, sektorowe organy właściwe, uprawnienia kontrolne
Rozdział 7 — Kary pieniężneKatalog naruszeń, wysokości kar (art. 73 i nast.)
Załącznik nr 1Sektory kluczowe — dają status podmiotu kluczowego przy progu dużego przedsiębiorcy
Załącznik nr 2Sektory ważne — dają status podmiotu ważnego przy progu średniego/dużego przedsiębiorcy
Załącznik nr 3Kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług (m.in. funkcje 5G/3GPP: AMF, AUSF, UPF) — istotne przy decyzjach o dostawcy wysokiego ryzyka z art. 67c
Załącznik nr 4Wymagania SZBI — minimalny zestaw środków technicznych i organizacyjnych
Numeracja artykułów po nowelizacji nie zawsze jest ciągła — wprowadzono liczne „artykuły z literami" (np. art. 7c, art. 8e, art. 8f). Cytując przepis, zawsze podawaj pełne oznaczenie jednostki redakcyjnej wraz z numerem ustępu i punktu.

Jak czytać ustawę w praktyce

  1. Zaczynaj od załączników. Jeśli Twój sektor nie znajduje się w załączniku nr 1 ani nr 2, ustawa raczej nie nałoży na Ciebie obowiązków podmiotu kluczowego/ważnego. Dopiero potem czytaj art. 5.
  2. Cytuj zawsze tekst jednolity z ISAP, a nie pierwotną wersję z 2018 r. Wiele przepisów po 2026 r. ma inne brzmienie lub zostało uchylonych.
  3. Przy wątpliwościach interpretacyjnych sięgaj do uzasadnienia projektu nowelizacji (druk sejmowy) i do komunikatów Ministerstwa Cyfryzacji — pokażą cel przepisu.
  4. W dokumentacji wewnętrznej firmy podawaj podstawę prawną w formacie: „art. X ust. Y pkt Z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20 i 252 ze zm.)”.
  5. Trzymaj lokalnie zapisaną wersję tekstu jednolitego z datą pobrania — to zabezpieczenie przy audytach i sporach, gdy po kolejnej nowelizacji treść przepisu się zmieni.

Jeżeli dopiero zaczynasz pracę z ustawą, rekomendujemy kolejność lektury: (1) definicje w rozdziale 1, (2) art. 5 i załączniki nr 1–2 (klasyfikacja), (3) art. 8 i załącznik nr 4 (SZBI), (4) przepisy o raportowaniu incydentów, (5) rozdział o karach. Równolegle sprawdź, czy podlegasz — skorzystaj z artykułu „Czy podlegam pod KSC?\" oraz „Terminy wdrożenia KSC”.

Ustawa o krajowym systemie cyberbezpieczeństwa jest aktem podstawowym, ale nie wyczerpującym. Do pełnego wdrożenia potrzebujesz również: rozporządzeń wykonawczych, przepisów sektorowych (np. rozporządzenie DORA dla sektora finansowego), przepisów o ochronie danych osobowych (RODO) oraz własnej dokumentacji SZBI — wszystkie te warstwy muszą być spójne.
FAQ5 pytań

Najczęstsze pytania

Gdzie znaleźć tekst jednolity ustawy o KSC 2026?
Oficjalne źródła: (1) Dziennik Ustaw 2026 poz. 20 — tekst jednolity ogłoszony obwieszczeniem Marszałka Sejmu, (2) Dz.U. 2026 poz. 252 — nowelizacja transponująca NIS2, (3) serwis ISAP (Internetowy System Aktów Prawnych) — isap.sejm.gov.pl, (4) ELI (European Legislation Identifier) — eli.gov.pl. Zaleca się korzystanie z ISAP jako autoryzowanego źródła z funkcją „wersji historycznych”.
Jakie są główne zmiany w KSC 2026 vs wcześniejszą wersją?
Pięć kluczowych zmian: (1) rozszerzenie sektorów objętych ustawą — z 7 sektorów NIS1 do 18 sektorów NIS2 (zał. 1 i 2), (2) wprowadzenie dwóch kategorii podmiotów (kluczowe i ważne) zamiast OUK/DUC, (3) zaostrzenie kar — do 10 mln EUR lub 2% przychodów + kary osobiste kierownika, (4) nadzór ex-ante dla PK, (5) publiczny wykaz S46 z samoidentyfikacją i samorejestracją.
Czy NIS2 i KSC 2026 to to samo?
KSC 2026 to polska transpozycja dyrektywy NIS2 (2022/2555). Dyrektywa NIS2 nakłada na państwa UE obowiązek wdrożenia do 17.10.2024 r. — Polska spóźniła się z transpozycją, ustawa wdrażająca weszła w życie w 2026 r. Oznacza to, że wymagania materialne są identyczne jak NIS2, ale polska ustawa dodaje szczegóły krajowe (organy właściwe, procedury, kary, sektory specyficzne).
Kiedy dokładnie wchodzi w życie nowelizacja KSC?
Nowelizacja (Dz.U. 2026 poz. 252) weszła w życie 3 kwietnia 2026 r. Tekst jednolity (Dz.U. 2026 poz. 20) obowiązuje od tej samej daty. Obowiązki dla podmiotów wchodzą stopniowo (art. 33–35 ustawy nowelizującej z 23 stycznia 2026 r., Dz.U. 2026 poz. 252 — terminy od spełnienia przesłanek): rejestracja — do 3.10.2026 (6 mies.), wdrożenie SZBI i obowiązków rozdz. 3 — do 3.04.2027 (12 mies.), pierwszy audyt PK — do 3.04.2028 (24 mies.).
Jak szybko znaleźć konkretny przepis w ustawie o KSC?
Najszybszy sposób to wyszukiwarka PDF — otwórz tekst ze strony ISAP i użyj Ctrl+F z numerem artykułu (np. art. 8) lub hasłem kluczowym. W strukturze ustawy: rozdział 1 to definicje i zakres, rozdział 2 — obowiązki podmiotów (art. 8–16), rozdział 3 — CSIRT-y, rozdział 4 — organy nadzorcze, rozdział 5 — kary.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.