Nowelizacja ustawy o KSC: Co musi zrobić Twój biznes?
Weszły w życie kluczowe zmiany w przepisach dotyczące bezpieczeństwa cyfrowego. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2, nakłada na polskich przedsiębiorców szereg nowych obowiązków – od weryfikacji statusu firmy po obowiązkową rejestrację w państwowym wykazie. W tym artykule omawiamy, co oznacza NIS2 w Polsce w praktyce. Co istotne, NIS2 w Polsce przynosi rewolucję w podejściu do zarządzania cyberbezpieczeństwem w wielu branżach.
Poniżej przedstawiamy przewodnik krok po kroku, który pomoże Państwu przygotować organizację na nowe regulacje związane z NIS2 w Polsce.
Krok 1: Sprawdź, czy Twoja firma jest „Podmiotem Kluczowym” lub „Ważnym”
Nowe przepisy dzielą firmy na dwie kategorie: podmioty kluczowe oraz podmioty ważne. Klasyfikacja zależy od sektora gospodarki oraz wielkości przedsiębiorstwa.
- Sektory objęte ustawą: m.in. energetyka, transport, bankowość, ochrona zdrowia, produkcja żywności, wyrobów medycznych, komputerów oraz gospodarka odpadami.
- Wielkość firmy: Przepisy dotyczą zazwyczaj średnich i dużych przedsiębiorstw (powyżej 50 pracowników lub obrót powyżej 10 mln EUR).
Wyjątki: W sektorach takich jak telekomunikacja, przepisy mogą objąć firmę niezależnie od jej wielkości.
Rada eksperta: Przejrzyj załączniki do ustawy o KSC lub skonsultuj się z doradcą prawnym, aby ustalić status swojej firmy.
Krok 2: Dokonaj samoidentyfikacji
Jeśli działasz w wymienionych sektorach, musisz samodzielnie przeanalizować, czy podlegasz regulacjom. Proces ten nazywamy samoidentyfikacją. Pod uwagę należy wziąć: Praktyczne zastosowanie NIS2 w Polsce będzie zależeć właśnie od tej samoidentyfikacji.
- Dane finansowe i liczbę personelu według ostatniego sprawozdania finansowego.
- Rzeczywisty profil działalności (Składanie wniosku o wydanie interpretacji klasyfikacyjnej).
Krok 3: Zarejestruj się w Wykazie KSC (System S46)
Podmioty kluczowe i ważne mają obowiązek złożyć wniosek o wpis do specjalnego Wykazu KSC. Co więcej, NIS2 w Polsce wymusza elektroniczną rejestrację przez dedykowany system, który powstał z myślą o krajowych jednostkach.
- Gdzie? Rejestracja odbywa się elektronicznie przez system teleinformatyczny S46 prowadzony przez Ministra Cyfryzacji.
- Jak? Zalogujesz się przez profil zaufany, aplikację mObywatel lub podpis kwalifikowany.
- Termin: Możliwość samo rejestracji ruszyła 7 maja 2026 r. i potrwa do 3 października 2026 r..
Krok 4: Wdróż system zarządzania bezpieczeństwem (SZBI)
Wpis do rejestru to początek drogi. Masz 12 miesięcy na wdrożenie konkretnych środków bezpieczeństwa. Kluczowe zadania to:
- Szacowanie ryzyka: Regularne badanie zagrożeń cyfrowych.
- Obsługa incydentów: Przygotowanie procedur reagowania na ataki i zgłaszania ich do CSIRT.
- Szkolenia: Obowiązkowa edukacja personelu i kierownictwa.
- Łańcuch dostaw: Weryfikacja bezpieczeństwa dostawców oprogramowania.
Dlaczego nie warto zwlekać?
Nowelizacja wprowadza realną odpowiedzialność za brak zgodności. Za niedopełnienie obowiązków grożą wysokie kary pieniężne, a odpowiedzialność może ponieść osobiście także kierownik jednostki (np. zarząd spółki). Dlatego wdrożenie NIS2 w Polsce może być kluczowe dla uniknięcia poważnych konsekwencji finansowych.