Wydawca serwisu KSC.expert: IdealData Sp. z o.o. · idealdata.pl ↗

Mapa obowiązków KSC / NIS 2

Wybierz typ podmiotu i datę spełnienia przesłanek — otrzymasz spersonalizowaną listę obowiązków z konkretnymi terminami i podstawą prawną. Całość możesz wydrukować lub zapisać jako PDF.

Typ podmiotu

Data spełnienia przesłanek

Dla podmiotów istniejących w dniu wejścia w życie nowelizacji: 3.04.2026.

Mikro/mały przedsiębiorca objęty ustawą

11 obowiązków dla: podmiot kluczowy

Mapa obowiązków — podmiot kluczowy

Data spełnienia przesłanek: 03.04.2026 · Wygenerowano na ksc.expert

ksc.EXPERT

Faza 1 — start (pierwsze 6 miesięcy)

Wpis do wykazu podmiotów (system S46)do 03.10.2026

Złóż wniosek o wpis do wykazu w terminie 6 miesięcy od spełnienia przesłanek. Wniosek elektroniczny w S46, podpisany przez kierownika, z oświadczeniem o prawdziwości danych. Zmiany danych zgłaszasz w 14 dni.

art. 7c ust. 1, 3 i 5–6 ustawy o KSCprzewodnik →

Wyznaczenie osób kontaktowych (co najmniej 2 osoby)do 03.10.2026

Wyznacz co najmniej 2 osoby odpowiedzialne za kontakt z krajowym systemem cyberbezpieczeństwa. Zapewnij użytkownikom dostęp do wiedzy o cyberzagrożeniach i kanał zgłaszania incydentów.

art. 9 ust. 1–3 ustawy o KSC

Faza 2 — wdrożenie (do 12 miesięcy)

SZBI — pełny system z art. 8 ust. 1do 03.04.2027

Wdróż system zarządzania bezpieczeństwem informacji: systematyczne szacowanie ryzyka i proporcjonalne środki — polityki, łańcuch dostaw ICT, plany ciągłości działania, monitoring ciągły, kryptografia i MFA, cyberhigiena, kontrola dostępu, zarządzanie aktywami.

art. 8 ust. 1 ustawy o KSCprzewodnik →

Dokumentacja bezpieczeństwa (normatywna + operacyjna)do 03.04.2027

Opracuj i utrzymuj dokumentację SZBI, ochrony infrastruktury, ciągłości działania i techniczną oraz zapisy operacyjne. Zapewnij nadzór nad dokumentacją i przechowywanie min. 2 lata od wycofania.

art. 10 ustawy o KSC

Procedury zgłaszania incydentów (24h / 72h / miesiąc)do 03.04.2027

Przygotuj proces: klasyfikacja incydentu poważnego wg progów, wczesne ostrzeżenie ≤ 24 h i zgłoszenie ≤ 72 h do CSIRT sektorowego przez S46, sprawozdanie końcowe ≤ 1 miesiąc, informowanie użytkowników.

art. 11–12b ustawy o KSCprzewodnik →

Bezpieczeństwo łańcucha dostaw ICTdo 03.04.2027

Oceń dostawców sprzętu i oprogramowania, wprowadź wymogi bezpieczeństwa do umów, monitoruj podatności dostawców oraz decyzje o dostawcach wysokiego ryzyka.

art. 8 ust. 1 pkt 2 lit. e i ust. 2 ustawy o KSCprzewodnik →

Weryfikacja niekaralności personelu (KRK)do 03.04.2027

Przed dopuszczeniem do zadań z art. 8 lub art. 11 odbierz od osoby informację z Krajowego Rejestru Karnego o niekaralności za przestępstwa przeciwko ochronie informacji.

art. 8f ustawy o KSCprzewodnik →

Podłączenie do systemu S46 (komunikacja z KSC)do 03.04.2027

Rozpocznij korzystanie z systemu teleinformatycznego S46 — to kanał zgłoszeń incydentów i komunikacji nadzorczej. Dostosuj systemy do wymagań technicznych opublikowanych w BIP.

art. 46 ust. 4 i 7 ustawy o KSCprzewodnik →

Faza 3 — audyt

Pierwszy audyt bezpieczeństwa (potem co 3 lata)do 03.04.2028

Przeprowadź na własny koszt audyt bezpieczeństwa systemu informacyjnego — przez akredytowaną jednostkę, co najmniej dwóch kwalifikowanych audytorów lub CSIRT sektorowy. Kopię raportu przekaż organowi właściwemu w 3 dni robocze. Kolejne audyty co najmniej raz na 3 lata.

art. 15 ust. 1–2 i art. 16 pkt 2 ustawy o KSCprzewodnik →

Obowiązki stałe (cykliczne)

Coroczne szkolenie kierownika

Kierownik podmiotu (oraz osoba, której powierzono obowiązki w zakresie cyberbezpieczeństwa) przechodzi udokumentowane szkolenie raz w roku kalendarzowym.

art. 8e ustawy o KSCprzewodnik →

Edukacja personelu i cyberhigiena

Zapewnij stałą edukację personelu z cyberbezpieczeństwa i podstawowych zasad cyberhigieny — to element SZBI podlegający ocenie skuteczności.

art. 8 ust. 1 pkt 2 lit. i–j ustawy o KSC

Materiał informacyjny i edukacyjny oparty na ustawie o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20, ze zm. poz. 252). Nie stanowi porady prawnej — klasyfikacja podmiotu i zakres obowiązków wymagają indywidualnej analizy. Wydawca: IdealData Sp. z o.o., Chwaszczyno k. Gdańska · ksc.expert

🍪 Szanujemy Twoją prywatność

Używamy niezbędnych plików cookie, a po Twojej zgodzie — także analitycznych (Google Analytics, anonimowe statystyki odwiedzin). „Odrzuć opcjonalne” wyłącza analitykę. Polityka prywatności.