3 kwietnia 2026 roku weszła w życie większość przepisów znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa (KSC), czyli polska implementacja unijnej dyrektywy NIS2. Tego samego dnia Ministerstwo Cyfryzacji opublikowało dokument, który może okazać się ważniejszy niż sama ustawa dla tych, którzy muszą ją stosować: zestaw pytań i odpowiedzi liczący 83 strony. Dokument nie ma mocy prawnej. Ale właśnie dlatego jest użyteczny, bo mówi wprost, a nie językiem przepisów.
Skąd wziął się ten poradnik?
Ustawa o KSC nakłada obowiązki na dziesiątki tysięcy podmiotów w osiemnastu sektorach gospodarki. Wiele z nich nigdy wcześniej nie funkcjonowało w systemie cyberbezpieczeństwa państwa, nie były operatorami usług kluczowych, nie miały doświadczenia z CSIRT-ami, nie wiedziały nawet, że mogą podlegać nowym przepisom. Ministerstwo wybrało model samoidentyfikacji: to sam podmiot musi ocenić, czy kwalifikuje się jako podmiot kluczowy lub ważny, i sam złożyć wniosek o wpis do wykazu. To rozsądne podejście, ale tylko wtedy, gdy podmioty wiedzą, jak przeprowadzić taką analizę. Stąd FAQ.
Co zawiera dokument?
Poradnik jest zorganizowany w dwanaście tematycznych rozdziałów. Warto wiedzieć, co w nich jest, zanim sięgnie się po ustawę.
Pierwszy i najobszerniejszy rozdział dotyczy identyfikacji, czyli pytania, które zadaje sobie każdy podmiot: czy w ogóle podlegam tej ustawie? Ministerstwo tłumaczy krok po kroku, jak określić wielkość przedsiębiorstwa (z uwzględnieniem firm partnerskich i powiązanych), co znaczy działalność faktyczna kontra zadeklarowane kody PKD, kiedy uczelnia staje się organizacją badawczą w rozumieniu ustawy, i co się dzieje, jeśli podmiot dokona błędnej samoidentyfikacji.
Drugi rozdział omawia sam wykaz; kiedy i jak złożyć wniosek, kto zostanie wpisany z urzędu (przedsiębiorcy telekomunikacyjni, dostawcy usług zaufania, podmioty publiczne, dotychczasowi operatorzy usług kluczowych), a kto musi działać samodzielnie.
Trzeci i prawdopodobnie najważniejszy dla operatorów, rozdział opisuje obowiązki. Ministerstwo nie poprzestaje na przytoczeniu przepisów. Tłumaczy, co oznacza w praktyce „proporcjonalne środki techniczne i organizacyjne”, jak zidentyfikować systemy informacyjne wymagające objęcia systemem zarządzania bezpieczeństwem informacji (SZBI), co powinna zawierać dokumentacja SZBI i, co szczególnie trafne, że kupiona gotowa dokumentacja „schowana w szafie NIS2″ nie zapewni realnego cyberbezpieczeństwa. To zdanie warte zapamiętania.
Rozdział czwarty poświęcono obowiązkom kierownika podmiotu, czyli osoby zarządzającej, nie działu IT. Ustawa nakłada na kierownika osobistą odpowiedzialność za wdrożenie systemu zarządzania bezpieczeństwem informacji i obowiązkowe szkolenie z cyberbezpieczeństwa. To zmiana kulturowa, nie tylko prawna.
Kolejne rozdziały omawiają zgłaszanie incydentów, z rozróżnieniem na wczesne ostrzeżenie, zgłoszenie incydentu poważnego i sprawozdanie końcowe, wraz z konkretnymi terminami oraz system S46, czyli platformę teleinformatyczną, przez którą odbywać się będzie cała komunikacja z CSIRT-ami. Osobny rozdział poświęcono wymianie informacji o cyberzagrożeniach między podmiotami, w tym dopuszczalności tworzenia struktur ISAC.
Rozdziały o audytach, nadzorze i karach domykają obraz systemu. Podmiot kluczowy musi przeprowadzać audyt co trzy lata i na żądanie organu. Podmiot ważny – wyłącznie na żądanie. Kary mogą sięgać dziesiątek milionów złotych, a organ może nałożyć je również na kierownika podmiotu osobiście.
Trzy terminy, które trzeba zapamiętać
Ustawa wprowadza harmonogram wdrożenia rozłożony na dwa lata. Pierwszy i najważniejszy termin to 3 października 2026 roku – do tego dnia podmioty kluczowe i ważne muszą złożyć wniosek o wpis do wykazu. Następnie 3 kwietnia 2027 roku – podłączenie do systemu S46 i wdrożenie SZBI. Wreszcie 3 kwietnia 2028 roku – pierwszy obowiązkowy audyt dla podmiotów kluczowych. Sześć miesięcy na samoidentyfikację i rejestrację to więcej, niż się wydaje, ale mniej, niż potrzeba na zbudowanie systemu zarządzania bezpieczeństwem informacji od zera.
Dlaczego to ważne dla operatorów infrastruktury krytycznej?
Ustawa obejmuje osiemnaście sektorów i branż gospodarki, ujętych w dwóch załącznikach do ustawy. W każdym z nich duże przedsiębiorstwa trafią do kategorii podmiotów kluczowych, średnie – podmiotów ważnych.
Dla wielu operatorów z tych branż ustawa o KSC to pierwsze zetknięcie z systemowym obowiązkiem zarządzania bezpieczeństwem informacji. Obowiązki dotyczą nie tylko systemów informatycznych, ale też łańcuchów dostaw, personelu, dokumentacji, planów ciągłości działania i regularnych audytów.
Poradnik nie zastąpi prawnika ani specjalisty ds. bezpieczeństwa. Ale pozwoli zadać właściwe pytania i zrozumieć, czego ustawa faktycznie wymaga – zanim nadejdą pierwsze terminy.
Poradnik dostępny jest na stronie gov.pl: https://www.gov.pl/attachment/4a661bd4-712c-4faf-8025-bcad437e5a29