MediaInOne - Portal informacyjno-komunikacyjny branży medialnej
lub
lub
Urzędy

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) – najważniejsze terminy

wtorek, 14 kwietnia 2026 roku
Informacja - Ministerstwo Cyfryzacji

W życie wchodzą przepisy nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). To istotna informacja dla wszystkich podmiotów objętych nowymi regulacjami. Od teraz obowiązują terminy realizacji ustawowych zobowiązań. Ministerstwo Cyfryzacji publikuje najważniejsze daty oraz informacje dla podmiotów kluczowych i ważnych.

Terminy

13 kwietnia 2026 r. – uruchomienie wykazu podmiotów kluczowych i ważnych

Tego dnia zostanie uruchomiony wykaz podmiotów kluczowych i podmiotów ważnych (Wykaz KSC), do którego wpisywane będą podmioty objęte przepisami ustawy.

13 kwietnia – 6 maja 2026 r. – wpisy z urzędu realizowane przez Ministra Cyfryzacji

W tym okresie Minister Cyfryzacji wprowadzi do wykazu z urzędu dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmioty publiczne.

7 maja – 3 października 2026 r. – samorejestracja w wykazie podmiotów kluczowych i ważnych

Podmioty, które nie są objęte wpisem do Wykazu KSC realizowanym z urzędu, podlegają wpisowi na swój wniosek. 

Wykaz KSC będzie prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełnianie i składane w aplikacji Wykaz KSC w postaci elektronicznej i opatrywane podpisem elektronicznym.

12 czerwca 2026 r. – uruchomienie możliwości korzystania z systemu S46 dla nowych podmiotów 

Nowelizacja ustawy o KSC wprowadza obowiązek korzystania z Systemu S46 przez podmioty kluczowe i podmioty ważne. Od tej daty podmioty mogą rozpocząć korzystanie z S46, który służy m.in. do realizacji obowiązków ustawowych, w szczególności do raportowania incydentów oraz do komunikacji z właściwymi organami w ramach krajowego systemu cyberbezpieczeństwa.

3 kwietnia 2027 r. – koniec terminu na rozpoczęcie korzystania z systemu S46 i wdrożenie obowiązków (koniec okresu dostosowawczego) 

Do tego dnia podmioty, które na dzień wejścia w życie znowelizowanej ustawy o KSC spełniają przesłanki uznania za podmiot kluczowy lub podmiot ważny, mają czas na rozpoczęcie korzystania z Systemu S46 oraz wdrożenie obowiązków wynikających z ustawy.

3 kwietnia 2028 r. – pierwszy audyt SZBI (dla podmiotów kluczowych, które nie były operatorami usług kluczowych) 

Tego dnia upływa termin na przeprowadzenie pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi przez podmioty kluczowe, które dotychczas nie były operatorami usług kluczowych. 

Pozostałe podmioty kluczowe (dotychczasowi operatorzy usług kluczowych) przeprowadzają audyt co najmniej raz na 3 lata, licząc od dnia sporządzenia i podpisania raportu z ostatniego audytu. Oznacza to, że zachowany jest cykl audytowy. Do takich podmiotów nie stosuje się odroczenia obowiązku audytowego. Natomiast jeżeli termin audytu wypada przed 4 kwietnia 2027 r. podmiot przeprowadza audyt zgodności z wymaganiami określonymi w ustawie sprzed nowelizacji.

3 kwietnia 2028 r. – początek obowiązywania przepisów o karach

Kary pieniężne będą mogły być nakładane dopiero po 2 latach od wejścia w życie ustawy. Decyzja o nałożeniu kary pieniężnej poprzedzona będzie ostrzeżeniem i informowaniem podmiotu o wstępnych ustaleniach.

Co to oznacza w praktyce?

Podmioty objęte przepisami powinny już teraz w szczególności:

  • przeanalizować, czy podlegają nowym regulacjom (na podstawie załącznika nr 1 oraz nr 2 do ustawy),
  • przygotować się do wpisu do wykazu podmiotów kluczowych i ważnych,
  • zaplanować wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI),
  • rozpocząć działania organizacyjne i techniczne umożliwiające spełnienie wymogów ustawowych.

Nie warto odkładać działań na ostatnią chwilę

Choć część obowiązków zacznie obowiązywać później, kluczowe działania należy zaplanować już teraz. W szczególności dotyczy to identyfikacji statusu podmiotu i przygotowania do rejestracji w wykazie.

Dodatkowo:

Aby ułatwić przygotowanie się do nowych obowiązków, opublikowany został pierwszy zestaw Q&A. Materiał odpowiada na najczęściej pojawiające się wątpliwości i będzie sukcesywnie rozszerzany.

O autorze

Redakcja

Ministerstwo Cyfryzacji

Kontakt

karolina.najda@mediainone.pl

mediainone.pl

Adres

MediaInOne
Traugutta 25
90-113 Łódź

Media Społecznościowe

profile.php?id=61582362628589

Najnowsze wpisy

27 maja, 2026
Vectra inwestuje w przyszłość polskiego sportu
Redakcja
27 maja, 2026
Światłowód spotyka broadcast
Redakcja
27 maja, 2026
Multi-DRM jako fundament premium contentu dla operatora IPTV
Redakcja

W tym dziale

22 maja, 2026
Odpowiedzialność twórców cyfrowych – spotkanie z członkami IAA Polska
Informacja
22 maja, 2026
Więcej, szybciej, po polsku. Rodzina modeli PLLuM się powiększa
Informacja
18 maja, 2026
„Buduj cyfrowe bezpieczeństwo swojej firmy klik po kliku”. Kampania Ministerstwa Cyfryzacji skierowana do przedsiębiorców i kadry zarządzającej
Informacja