Krajowy system cyberbezpieczeństwa

Od 7 maja 2026 roku polskie firmy będą musiały samodzielnie dokonać wpisu do nowego Wykazu Krajowego Systemu Cyberbezpieczeństwa. Nowelizacja ustawy o KSC wprowadza obowiązek samoidentyfikacji dla podmiotów objętych regulacją. Brak rejestracji wiąże się z rygorystycznymi karami.

Kluczowe daty i kary:

• Brak wpisu do wykazu pomimo spełnienia ustawowych przesłanek będzie traktowany jako naruszenie przepisów ustawy o krajowym systemie cyberbezpieczeństwa.
• Kary za brak wpisu dla podmiotów kluczowych wynoszą od 20 tys. zł do 10 mln euro.
• Kary dla podmiotów ważnych wynoszą od 15 tys. zł do 7 mln euro.
• Aplikacja do samorejestracji uruchomiona zostanie 7 maja 2026 roku, a okres na dokonanie samorejestracji kończy się 3 października 2026 roku.

Ministerstwo Cyfryzacji opublikowało szczegółową instrukcję samoidentyfikacji. Proces ten składa się z trzech kroków: weryfikacja sektora, określenie wielkości podmiotu oraz analiza artykułu 5 ustawy. Przedsiębiorcy telekomunikacyjni, niezależnie od wielkości, podlegają nowym regulacjom.

Nowelizacja KSC jest wynikiem wdrożenia unijnej dyrektywy NIS2. Adam Grabek stwierdził: „Nowe regulacje nie są bowiem wymysłem stworzonym w próżni, tylko formalizacją dobrych praktyk.” Ministerstwo Cyfryzacji dodało: „Brak świadomości nie zwalnia z obowiązku.”

KSC porządkuje system, zamiast go zmieniać. To ważny krok w kierunku zwiększenia bezpieczeństwa cybernetycznego w Polsce. Wprowadzenie Wykazu KSC ma na celu lepsze monitorowanie i kontrolowanie podmiotów działających na rynku telekomunikacyjnym oraz zapewnienie zgodności z obowiązkami cyberbezpieczeństwa.