Ministerstwo Cyfryzacji szacuje, że w wyniku nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) nowym regulacjom może zacząć podlegać około 38 tys. podmiotów. W tym większość, bo ok. 27 tys., to podmioty publiczne.
Nowelizacja KSC rozszerza bowiem katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Zastąpiono dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne.
Resort uczula, by podmioty z sektorów określonych w ustawie jako „kluczowe” i „ważne” sprawdziły, czy są objęte nowymi przepisami. Mają one rok na dostosowanie się do nich, gdyż znowelizowana ustawa weszła w życie 3 kwietnia 2026 r.
Ustawa zobowiązuje podmioty kluczowe i ważne do wdrożenie rozwiązań technicznych i organizacyjnych z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Za naruszenie przepisów podmiotom ważnym grozi do 7 mln euro kary (do 1,4 proc. przychodów), a kluczowym do 10 mln euro (do 2 proc. przychodów). Odpowiedzialność ponoszą także menedżerowie z zarządów.
Obecnie trwa 12-miesięczny okres dostosowawczy. To czas, który podmioty powinny wykorzystać na pełne wdrożenie obowiązków wynikających z ustawy.
13 kwietnia 2026 r. Minister Cyfryzacji rozpoczął wpisywanie z urzędu do Wykazu KSC dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmioty publiczne.
Od 7 maja 2026 r. uruchomiona zostanie możliwość wpisu do Wykazu KSC (samorejestracji) dla podmiotów, które nie są objęte wpisem realizowanym z urzędu.
Podział na sektory kluczowe i ważne
Sektory kluczowe (Załącznik nr 1 do ustawy)
- Energia:
- wydobywanie kopalin
- energia elektryczna
- ciepło
- ropa i paliwa
- gaz
- energetyka jądrowa
- wodór
- Transport:
- lotniczy
- kolejowy
- wodny
- drogowy
- Bankowość i infrastruktura rynków finansowych
- Ochrona zdrowia:
- udzielanie świadczeń zdrowotnych i zdrowie publiczne
- produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych
- Zaopatrzenie w wodę pitną i jej dystrybucja
- Zbiorowe odprowadzanie ścieków
- Infrastruktura cyfrowa:
- infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej
- komunikacja elektroniczna
- Zarządzanie usługami ICT
- Przestrzeń kosmiczna
- Podmioty publiczne
Sektory ważne (Załącznik nr 2 do ustawy)
- Usługi pocztowe
- Inwestycje energetyki jądrowej
- Gospodarowanie odpadami:
- zbieranie odpadów
- transport odpadów
- przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
- działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, wytwarzanie i dystrybucja żywności
- Produkcja:
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
- komputerów, wyrobów elektronicznych i optycznych
- urządzeń elektrycznych
- maszyn i urządzeń, gdzie indziej niesklasyfikowana
- pojazdów samochodowych, przyczep i naczep
- pozostałego sprzętu transportowego
- Dostawcy usług cyfrowych
- Badania naukowe
- Podmioty publiczne, inne niż wymienione w Załączniku nr 1
W najbliższych dniach Minister Cyfryzacji przekaże do konsultacji publicznych projekt zestawienia wymogów dokumentów normalizacyjnych, w tym norm, przydatnych dla ustalenia szczegółowych wymagań dla SZBI (System Zarządzania Bezpieczeństwem Informacji) dla poszczególnych sektorów kluczowych i sektorów ważnych w świetle KSC.
