Gmina Zbójna logo Gmina Zbójna

Nowe przepisy dotyczące krajowego systemu cyberbezpieczeństwa (KSC)

Foto nr 2873
źródło: gov.pl
Fotogaleria
Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa zaczyna obowiązywać. To ważna zmiana dla wszystkich organizacji objętych regulacjami, ponieważ od tego momentu zaczynają biec terminy związane z realizacją nowych obowiązków. Ministerstwo Cyfryzacji przedstawiło kluczowe daty oraz wskazówki dla podmiotów uznanych za kluczowe i ważne.

Najważniejsze terminy

13 kwietnia 2026 r. - uruchomienie wykazu podmiotów
Tego dnia zostanie udostępniony rejestr podmiotów kluczowych i ważnych (Wykaz KSC). To właśnie w nim będą ujmowane wszystkie jednostki podlegające przepisom ustawy.

13 kwietnia - 6 maja 2026 r. - wpisy dokonywane z urzędu
W tym czasie Minister Cyfryzacji automatycznie wpisze do wykazu m.in. dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, firmy telekomunikacyjne oraz instytucje publiczne.

7 maja - 3 października 2026 r.  samodzielna rejestracja podmiotów
Organizacje, które nie zostaną wpisane automatycznie, będą zobowiązane do samodzielnego zgłoszenia się do wykazu.

Rejestr będzie funkcjonował w ramach systemu S46 jako osobna aplikacja dostępna online. Wszystkie wnioski – dotyczące wpisu, aktualizacji danych czy usunięcia z wykazu – będą składane elektronicznie i podpisywane podpisem cyfrowym.

12 czerwca 2026 r.  dostęp do systemu S46 dla nowych podmiotów
Od tego dnia podmioty objęte ustawą mogą korzystać z systemu S46. Narzędzie to służy m.in. do zgłaszania incydentów oraz komunikacji z odpowiednimi organami w ramach systemu cyberbezpieczeństwa.

3 kwietnia 2027 r.  koniec okresu dostosowawczego
Do tego momentu wszystkie podmioty spełniające kryteria uznania za kluczowe lub ważne muszą wdrożyć wymagane rozwiązania oraz rozpocząć pracę z systemem S46.

3 kwietnia 2028 r.  pierwszy audyt dla części podmiotów
To ostateczny termin przeprowadzenia pierwszego audytu bezpieczeństwa systemów informacyjnych dla podmiotów kluczowych, które wcześniej nie były operatorami usług kluczowych.

Pozostałe podmioty (czyli wcześniejsi operatorzy usług kluczowych) zachowują dotychczasowy cykl audytowy – minimum raz na trzy lata. Jeśli termin audytu przypada przed kwietniem 2027 r., należy go przeprowadzić zgodnie z wcześniejszymi przepisami.

3 kwietnia 2028 r.  wejście w życie przepisów o karach
Dopiero po upływie dwóch lat od wprowadzenia nowych regulacji możliwe będzie nakładanie kar finansowych. Wcześniej podmioty będą informowane o nieprawidłowościach i otrzymają ostrzeżenie.

Dodatkowe informacje

Aby ułatwić przygotowanie się do zmian, udostępniono zestaw odpowiedzi na najczęściej zadawane pytania (Q&A). Materiał ten będzie stopniowo rozwijany wraz z pojawianiem się nowych wątpliwości.

Źródło: gov.pl

Administrator