Czym jest ustawa o KSC
Ustawa o krajowym systemie cyberbezpieczeństwa (ustawa o KSC) to polski akt prawny, który stanowi kręgosłup krajowego systemu cyberbezpieczeństwa i jednocześnie transponuje do polskiego porządku prawnego unijną dyrektywę NIS. Pierwotna ustawa z dnia 5 lipca 2018 r. (Dz.U. 2018 poz. 1560) wdrażała dyrektywę NIS z 2016 r., a jej znowelizowana wersja obowiązująca od 2026 r. realizuje wymagania dyrektywy NIS 2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555).
Ustawa określa: organizację krajowego systemu cyberbezpieczeństwa, obowiązki podmiotów kluczowych i ważnych, zadania CSIRT-ów poziomu krajowego (CSIRT GOV, CSIRT MON, CSIRT NASK), kompetencje organów właściwych oraz zasady nadzoru i odpowiedzialności. To właśnie z niej wynikają wymogi w zakresie systemu zarządzania bezpieczeństwem informacji (SZBI), raportowania incydentów, audytu bezpieczeństwa i rejestracji w wykazie podmiotów.
Tekst jednolity 2026 — ISAP i Sejm
Tekst jednolity to wersja ustawy uwzględniająca wszystkie zmiany wprowadzone nowelizacjami od momentu uchwalenia. Jest to dokument referencyjny — korzystaj z niego, gdy potrzebujesz aktualnego brzmienia przepisu. Tekst jednolity jest oznaczony w metryczce jako „t.j.” i publikowany w Dzienniku Ustaw po istotnych zmianach legislacyjnych.
| Źródło | Adres | Co znajdziesz |
|---|---|---|
| ISAP (Internetowy System Aktów Prawnych) | isap.sejm.gov.pl | Oficjalny, urzędowy tekst jednolity ustawy, tabele zmian, załączniki, historia nowelizacji |
| Sejm RP — druki sejmowe | sejm.gov.pl | Projekty ustaw nowelizujących, uzasadnienia, opinie, sprawozdania komisji, przebieg procesu legislacyjnego |
| Dziennik Ustaw (Dz.U.) | dziennikustaw.gov.pl | Pierwotne publikacje ustaw i obwieszczeń z tekstami jednolitymi (np. Dz.U. 2018 poz. 1560, Dz.U. 2026 poz. 20) |
| Ministerstwo Cyfryzacji | gov.pl/web/cyfryzacja | Komunikaty, wyjaśnienia, komentarze do przepisów, harmonogramy wdrożenia |
| Rządowe Centrum Legislacji | rcl.gov.pl | Projekty aktów wykonawczych (rozporządzeń) do ustawy o KSC, konsultacje publiczne |
Na stronach Sejmu znajdziesz też pełny przebieg procesu legislacyjnego — od wniesienia projektu, przez opinie Biura Analiz Sejmowych i stanowiska organizacji branżowych, po głosowania na posiedzeniach plenarnych. Te materiały bywają kluczowe przy wątpliwościach interpretacyjnych: uzasadnienie projektu pokazuje cel danego przepisu, a sprawozdania komisji tłumaczą, dlaczego brzmienie zostało w toku prac zmienione.
Nowelizacja wdrażająca NIS2
Nowelizacja, która weszła w życie w 2026 r., nosi formalny tytuł „ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw”. Jej głównym celem jest wdrożenie do polskiego porządku prawnego dyrektywy NIS 2. Zmiana jest na tyle istotna, że w praktyce zmienia logikę ustawy — a nie tylko jej szczegóły.
| Obszar | Stan sprzed nowelizacji (NIS 1) | Stan po nowelizacji (NIS 2, 2026) |
|---|---|---|
| Kategorie podmiotów | Operatorzy usług kluczowych (OUK), dostawcy usług cyfrowych (DSP) | Podmioty kluczowe i podmioty ważne (art. 5) |
| Zakres sektorowy | Wąsko: energia, transport, bankowość, zdrowie, infrastruktura cyfrowa, woda pitna | Rozszerzony: dodatkowo m.in. odpady, produkcja, przemysł spożywczy, poczta, JST, przestrzeń kosmiczna, badania naukowe |
| Kryterium włączenia | Decyzja administracyjna dla OUK | Samoidentyfikacja na podstawie progów wielkościowych i załączników 1 i 2 |
| Rejestracja | Brak centralnego rejestru | Obowiązkowy wykaz podmiotów kluczowych i ważnych (system S46) |
| Odpowiedzialność kierownictwa | Ogólna odpowiedzialność zarządu | Dedykowane obowiązki szkoleniowe i osobista odpowiedzialność kierownika jednostki (art. 8e) |
| Maksymalne kary | Do 200 000 zł | Do 10 mln EUR lub 2% obrotu (podmioty kluczowe), do 7 mln EUR lub 1,4% obrotu (podmioty ważne) |
| Łańcuch dostaw | Marginalne wymogi | Obowiązkowe zarządzanie ryzykiem w łańcuchu dostaw i ocena dostawców wysokiego ryzyka |
Skutki tych zmian opisujemy szczegółowo w osobnych artykułach — zobacz „Podmiot kluczowy vs. podmiot ważny”, „Odpowiedzialność kierownika jednostki”, „Łańcuch dostaw w KSC” oraz „Kary pieniężne w KSC”.
Struktura aktu i załączniki
Ustawa o krajowym systemie cyberbezpieczeństwa jest podzielona na rozdziały i załączniki. Przed sięgnięciem po konkretny artykuł warto zorientować się w ogólnej architekturze aktu — oszczędza to czasu przy poszukiwaniu właściwej podstawy prawnej.
| Element | Zakres |
|---|---|
| Rozdział 1 — Przepisy ogólne | Definicje, cel ustawy, zakres podmiotowy i przedmiotowy, zasady ogólne |
| Rozdział 2 — Podmioty krajowego systemu cyberbezpieczeństwa | Klasyfikacja (art. 5), obowiązek rejestracji (art. 7c), dane kontaktowe (art. 7) |
| Rozdział 3 — Obowiązki podmiotów kluczowych i ważnych | SZBI (art. 8), szkolenia kierownictwa (art. 8e), weryfikacja personelu (art. 8f), raportowanie incydentów |
| Rozdział 4 — Audyt bezpieczeństwa | Obowiązek audytu co 3 lata (art. 15), wymagania wobec audytora, raport pokontrolny |
| Rozdział 5 — CSIRT poziomu krajowego | Zadania CSIRT GOV, CSIRT MON i CSIRT NASK, koordynacja incydentów poważnych |
| Rozdział 6 — Organy właściwe i nadzór | Ministerstwo Cyfryzacji, sektorowe organy właściwe, uprawnienia kontrolne |
| Rozdział 7 — Kary pieniężne | Katalog naruszeń, wysokości kar (art. 73 i nast.) |
| Załącznik nr 1 | Sektory kluczowe — dają status podmiotu kluczowego przy progu dużego przedsiębiorcy |
| Załącznik nr 2 | Sektory ważne — dają status podmiotu ważnego przy progu średniego/dużego przedsiębiorcy |
| Załącznik nr 3 | Rodzaje usług, dla których świadczenia uznaje się za zależność krytyczną |
| Załącznik nr 4 | Wymagania SZBI — minimalny zestaw środków technicznych i organizacyjnych |
Jak czytać ustawę w praktyce
- Zaczynaj od załączników. Jeśli Twój sektor nie znajduje się w załączniku nr 1 ani nr 2, ustawa raczej nie nałoży na Ciebie obowiązków podmiotu kluczowego/ważnego. Dopiero potem czytaj art. 5.
- Cytuj zawsze tekst jednolity z ISAP, a nie pierwotną wersję z 2018 r. Wiele przepisów po 2026 r. ma inne brzmienie lub zostało uchylonych.
- Przy wątpliwościach interpretacyjnych sięgaj do uzasadnienia projektu nowelizacji (druk sejmowy) i do komunikatów Ministerstwa Cyfryzacji — pokażą cel przepisu.
- W dokumentacji wewnętrznej firmy podawaj podstawę prawną w formacie: „art. X ust. Y pkt Z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20 ze zm.)”.
- Trzymaj lokalnie zapisaną wersję tekstu jednolitego z datą pobrania — to zabezpieczenie przy audytach i sporach, gdy po kolejnej nowelizacji treść przepisu się zmieni.
Jeżeli dopiero zaczynasz pracę z ustawą, rekomendujemy kolejność lektury: (1) definicje w rozdziale 1, (2) art. 5 i załączniki nr 1–2 (klasyfikacja), (3) art. 8 i załącznik nr 4 (SZBI), (4) przepisy o raportowaniu incydentów, (5) rozdział o karach. Równolegle sprawdź, czy podlegasz — skorzystaj z artykułu „Czy podlegam pod KSC?” oraz „Terminy wdrożenia KSC”.