Podpisana przez Prezydent RP nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) została opublikowana w ubiegłym tygodniu w Dzienniku Ustaw.
Wchodzi ona w życie po upływie miesiąca od dnia ogłoszenia, czyli 3 kwietnia 2026 r. Tym samym podmioty, które spełniają przesłanki uznania ich za podmiot kluczowy albo ważny mają 12 miesięcy na realizację obowiązków wskazanych w ustawie, w tym m.in. dostosowanie systemów zarządzania bezpieczeństwem informacji i ich dokumentacji, wdrożenie pełnego zakresu środków technicznych i organizacyjnych przewidzianych nowelizacją, czy wyznaczenie i przeszkolenie personelu odpowiedzialnego za cyberbezpieczeństwo.
W związku z pytaniami dotyczącymi terminów wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), Ministerstwo Cyfryzacji przedstawiło kluczowy harmonogram obowiązywania nowych przepisów. Ze swojej strony do 3 maja 2026 r. Minister Cyfryzacji zobligowany jest utworzyć wykaz podmiotów kluczowych i podmiotów ważnych.
Najważniejsze daty dla instytucji i przedsiębiorstw:
- 3 października 2026 r. – termin na złożenie przez podmioty kluczowe i ważne wniosku o wpis do wykazu.
- 3 kwietnia 2027 r. – upływ terminu na wdrożenie obowiązków wynikających z ustawy przez podmioty kluczowe i ważne.
- 3 kwietnia 2028 r. – termin przeprowadzenia pierwszego obowiązkowego audytu cyberbezpieczeństwa przez podmioty kluczowe (kolejne audyty co najmniej raz na trzy lata).
Resort podkreśla, że nowe przepisy mają na celu wzmocnienie odporności cyfrowej polskiego państwa i gospodarki. Jednocześnie zapewniają one odpowiedni czas na przygotowanie się do zmian – możliwość nakładania większości administracyjnych kar pieniężnych nastąpi dopiero po upływie 2 lat od wejścia przepisów w życie, czyli po 3 kwietnia 2028 r.
