KSC 2026 – Przewodnik Zgodności

📌

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz. U. 2026 poz. 252). Wdraża dyrektywę NIS2 (UE 2022/2555). Zastępuje pojęcia OUK i DUC nowymi kategoriami: podmioty kluczowe i podmioty ważne.

6 mies.

Rejestracja w wykazie

12 mies.

Wdrożenie SZBI

24 mies.

Pierwszy audyt

10M €

Max kara podm. kluczowy

🎯

Główne zmiany vs. stary KSC

Kluczowe różnice w stosunku do poprzedniej ustawy

▲Nowy zakres podmiotowy: OUK i DUC zastąpione przez "podmioty kluczowe" i "podmioty ważne" – szerszy katalog sektorów i podmiotów
▲Samoidentyfikacja: Podmioty samodzielnie oceniają czy spełniają kryteria i rejestrują się (nie czekają na decyzję organu)
▲Rozszerzony katalog obowiązków: Nowe wymogi dot. łańcucha dostaw, zarządu, weryfikacji karalności, szkoleń
▲Odpowiedzialność zarządu: Osobista odpowiedzialność finansowa kierownictwa (nowość!)
▲Wyższe kary: Do 10M EUR lub 2% obrotu (poprzednio max 1M PLN)
▲PCOC: Nowe Połączone Centrum Operacyjne Cyberbezpieczeństwa
▲Dostawca wysokiego ryzyka: Nowa procedura oceny i wycofania

📊

Struktura ustawy – kluczowe artykuły

Najważniejsze przepisy i ich przedmiot

Art. 7Definicje: podmiot kluczowy, podmiot ważny, incydent, SZBI
Art. 7b-7cKryteria przynależności do kategorii podmiotów
Art. 8Obowiązki podmiotów kluczowych i ważnych – katalog
Art. 8c-8fŚrodki zarządzania ryzykiem, SZBI, zarządzanie ryzykiem łańcucha dostaw
Art. 9-11Obsługa incydentów, zgłaszanie, CSIRT sektorowe
Art. 14-16Audyty – zakres, częstotliwość, kwalifikacje audytorów
Art. 67b-67cKary administracyjne – podmioty kluczowe i ważne
Art. 73-76eOdpowiedzialność kierownika jednostki

📅

Oś czasu – wejście w życie i terminy graniczne

Chronologiczne zestawienie kluczowych terminów

23 Stycznia 2026

Podpisanie ustawy

Ustawa KSC 2026 podpisana i opublikowana w Dz. U. 2026 poz. 252

Wejście w życie + 6 miesięcy

Rejestracja w wykazie

Podmioty spełniające kryteria muszą złożyć wniosek o wpis do wykazu podmiotów kluczowych lub ważnych

Art. 7c ust. 1

Wpis do wykazu + 12 miesięcy

Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI)

Pełne wdrożenie wszystkich środków zarządzania ryzykiem cyberbezpieczeństwa (art. 8 ust. 1)

Art. 16 pkt 1

Wpis do wykazu + 24 miesiące

Pierwszy audyt bezpieczeństwa

Przeprowadzenie pierwszego audytu bezpieczeństwa (podmiot kluczowy) – niezależny podmiot zewnętrzny, bez konfliktu interesów

Art. 16 pkt 2

Co 3 lata (po pierwszym audycie)

Kolejne audyty cykliczne

Regularne audyty bezpieczeństwa nie rzadziej niż co 3 lata

Art. 15 ust. 1

Co roku

Szkolenie kierownictwa

Roczne szkolenie z cyberbezpieczeństwa dla kierownictwa i osoby odpowiedzialnej za cyber

Art. 8e ust. 1

🔴

Podmioty Kluczowe

Art. 7b – wyższe wymogi i kary

⚠️

Podlegają surowszym wymogom nadzorczym i wyższym karom. Organ nadzoru może przeprowadzać kontrole prewencyjne.

Kryteria wielkości

✓Duże przedsiębiorstwa (≥250 pracowników LUB obrót >50M EUR i bilans >43M EUR)
✓Sektor energetyczny, transportowy, bankowy, infrastruktura rynków finansowych
✓Ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa
✓Zarządzanie usługami ICT (B2B), przestrzeń kosmiczna
✓Administracja publiczna (szczebel centralny)

Sankcje

Max 10 000 000 EUR lub 2% całkowitego obrotu Nadzór prewencyjny

🟠

Podmioty Ważne

Art. 7c – niższe progi, reaktywny nadzór

ℹ️

Nadzór reaktywny – organ działa po incydencie lub skardze. Mniejsze kary, ale te same obowiązki podstawowe.

Kryteria wielkości

✓Średnie przedsiębiorstwa (50-249 pracowników LUB obrót 10-50M EUR)
✓Sektory: pocztowy, gospodarowanie odpadami, produkcja krytyczna
✓Dostawcy usług cyfrowych (marketplace, wyszukiwarki, chmura)
✓Żywność, produkcja chemiczna, badania naukowe
✓Administracja publiczna (szczebel regionalny)

Sankcje

Max 7 000 000 EUR lub 1,4% całkowitego obrotu Nadzór reaktywny

🏭

Sektory objęte ustawą KSC 2026

Załącznik I (kluczowe) i Załącznik II (ważne) do ustawy

Załącznik I – Sektory kluczowe

⚡ Energia (elektroenergetyka, gaz, ropa, ciepło, wodór)

🚂 Transport (lotniczy, kolejowy, wodny, drogowy)

🏦 Bankowość i instytucje kredytowe

📈 Infrastruktura rynków finansowych

🏥 Ochrona zdrowia (szpitale, laboratoria, producenci)

💧 Woda pitna i ścieki

🌐 Infrastruktura cyfrowa (IXP, DNS, TLD, DC, CDN, PKI)

☁️ Zarządzanie usługami ICT (B2B – MSP, MSSP)

🏛️ Administracja publiczna (szczebel centralny)

🚀 Przestrzeń kosmiczna

Załącznik II – Sektory ważne

📮 Usługi pocztowe i kurierskie

♻️ Gospodarowanie odpadami

🧪 Produkcja chemiczna

🍎 Produkcja i dystrybucja żywności

🏭 Produkcja krytyczna (medyczna, komputerowa, pojazdy)

🔬 Badania naukowe

🛒 Dostawcy usług cyfrowych (marketplace, wyszukiwarki)

🏛️ Administracja publiczna (szczebel regionalny)

❓

Jak sprawdzić, czy dotyczy mnie ustawa?

Procedura samoidentyfikacji – Art. 7b ust. 1-3

1️⃣

Sprawdź sektor

Czy Twoja działalność wchodzi w zakres Załącznika I lub II do ustawy?

2️⃣

Sprawdź wielkość

≥250 prac. lub obrót >50M EUR → kluczowy; 50-249 prac. lub 10-50M EUR → ważny

3️⃣

Zarejestruj się

Złóż wniosek o wpis do wykazu w ciągu 6 miesięcy od spełnienia kryteriów (art. 7c ust. 1) – przez system teleinformatyczny ministra ds. cyfryzacji

⚡

Ważne: Niezależnie od wielkości ustawie podlegają podmioty: niezależnie od progu wielkości, jeśli są jedynym dostawcą danej usługi w Polsce, ich zakłócenie miałoby istotny wpływ na bezpieczeństwo publiczne, lub organ nadzorczy wskaże je z urzędu.

📋

Poniżej kompletny katalog obowiązków wynikający z Art. 8 i nast. ustawy KSC 2026. Obowiązki dotyczą zarówno podmiotów kluczowych, jak i ważnych, o ile nie zaznaczono inaczej.

🔐

1. System Zarządzania Bezpieczeństwem Informacji (SZBI)

Art. 8 ust. 1 – obowiązki; termin wdrożenia: 12 miesięcy (art. 16 pkt 1)

✓Polityki bezpieczeństwa informacji: Udokumentowane polityki dotyczące ryzyka i bezpieczeństwa systemów informacyjnych
✓Zarządzanie ryzykiem: Regularna analiza i ocena ryzyk cyberbezpieczeństwa; metodyka zarządzania ryzykiem
✓Obsługa incydentów: Procedury wykrywania, analizy, klasyfikacji i reagowania na incydenty
✓Ciągłość działania: Plany ciągłości biznesowej, zarządzanie kopiami zapasowymi, odtwarzanie po awarii
✓Bezpieczeństwo łańcucha dostaw: Ocena dostawców, klauzule umowne, procedura DHR (dostawca wysokiego ryzyka)
✓Bezpieczeństwo sieci i systemów: Segmentacja sieci, kontrola dostępu, szyfrowanie, zarządzanie podatnościami
✓Ocena skuteczności środków: Monitorowanie, pomiar i przegląd środków bezpieczeństwa
✓Higiena cyberbezpieczeństwa i szkolenia: Procedury higieny cyber, szkolenie pracowników
✓Kryptografia: Polityki dotyczące stosowania i zarządzania kryptografią i szyfrowaniem
✓Bezpieczeństwo zasobów ludzkich: Weryfikacja pracowników, kontrola dostępu, procedury offboardingu
✓Uwierzytelnianie wieloskładnikowe (MFA): Stosowanie MFA lub silnego uwierzytelniania tam gdzie możliwe
✓Bezpieczna komunikacja: Zabezpieczone kanały głosowe, video, tekstowe w nagłych sytuacjach

👔

2. Obowiązki Zarządu

Art. 8c, 8d, 8e – odpowiedzialność i zadania kierownictwa

✓Zatwierdzenie środków zarządzania ryzykiem cyberbezpieczeństwa
✓Roczne szkolenie z cyberbezpieczeństwa dla kierownictwa – raz w roku kalendarzowym (art. 8e ust. 1)
✓Nadzór nad realizacją obowiązków ustawowych
✓Osobista odpowiedzialność finansowa za naruszenia (art. 73-76e)
✓Zapewnienie zasobów do realizacji SZBI

🔍

3. Weryfikacja i Rejestracja

Art. 7c ust. 1, art. 8f – obowiązki formalne

✓Złożenie wniosku o wpis do wykazu w ciągu 6 miesięcy od spełnienia kryteriów (art. 7c ust. 1)
✓Aktualizacja danych w wykazie w ciągu 14 dni od zmiany (art. 7c ust. 3)
✓Weryfikacja karalności (KRK) – przed rozpoczęciem realizacji zadań z art. 8 i art. 11, osoba przedstawia zaświadczenie o niekaralności (art. 8f ust. 1)
✓Wyznaczenie punktu kontaktowego (osoby odpowiedzialnej za kontakt z CSIRT)
✓Rejestracja w systemie teleinformatycznym właściwego organu nadzorczego

🔎

4. Audyty Bezpieczeństwa

Art. 14-16 – obowiązek, częstotliwość, niezależność

ℹ️

Uwaga: Ustawa KSC 2026 nie wskazuje wprost wymaganych certyfikatów dla audytorów. Organ nadzorczy wskazuje podmioty uprawnione przy nakazywaniu audytu zewnętrznego (art. 15 ust. 1b). Wymogi kwalifikacyjne mogą być doprecyzowane w rozporządzeniu wykonawczym.

✓Podmiot kluczowy przeprowadza audyt na własny koszt, co najmniej raz na 3 lata (art. 15 ust. 1) – termin liczy się od daty podpisania raportu z poprzedniego audytu
✓Pierwszy audyt w ciągu 24 miesięcy od wpisu do wykazu lub otrzymania decyzji organu (art. 16)
✓Podmiot może powołać wewnętrzne struktury ds. cyberbezpieczeństwa lub zawrzeć umowę z MSSP (dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa) – art. 14
✓Zakaz konfliktu interesów (art. 15 ust. 2a): audyt nie może być przeprowadzony przez osobę realizującą zadania z art. 8 i 9-13 w audytowanym podmiocie, ani przez osobę, która robiła to w ciągu roku przed audytem
✓Audyt zewnętrzny nakazany przez organ (art. 15 ust. 1b): organ nadzorczy może w każdej chwili nakazać zewnętrzny audyt i sam wskazuje podmioty uprawnione do jego przeprowadzenia (np. po incydencie lub naruszeniu przepisów)
✓Kopia raportu przekazywana organowi właściwemu ds. cyberbezpieczeństwa w ciągu 3 dni roboczych od otrzymania (art. 15 ust. 1a)
✓Na wniosek: kopia raportu przekazywana innym uprawnionym podmiotom (art. 15 ust. 7)

🔗

5. Bezpieczeństwo Łańcucha Dostaw

Art. 8e-8f – nowe wymogi (brak w starym KSC)

✓Ocena ryzyk związanych z dostawcami usług ICT (w umowach)
✓Klauzule bezpieczeństwa w umowach z dostawcami kluczowych usług
✓Procedura identyfikacji i oceny dostawcy wysokiego ryzyka (DHR)
✓Plan wycofania produktów/usług DHR w przypadku decyzji organu
✓Monitoring ciągłości świadczenia usług przez dostawców krytycznych
✓Inwentaryzacja aktywów ICT i mapowanie dostawców

⏰

Kompletna tabela terminów KSC 2026

Wszystkie terminy wynikające z ustawy – posortowane chronologicznie

Termin	Obowiązek	Punkt startowy	Podstawa prawna	Podmiot
Niezwłocznie, max 24h	Wczesne ostrzeżenie o incydencie poważnym do właściwego CSIRT sektorowego	Wykrycie incydentu	Art. 11 ust. 1 pkt 4	Kluczowy Ważny
72 godziny	Pełne zgłoszenie incydentu poważnego do CSIRT sektorowego	Wykrycie incydentu	Art. 11 ust. 1 pkt 4a	Kluczowy Ważny
1 miesiąc	Sprawozdanie końcowe z obsługi incydentu poważnego (jeśli incydent trwa dłużej – sprawozdanie z postępu, a końcowe w ciągu miesiąca od zakończenia)	Od daty zgłoszenia 72h (art. 11 ust. 1 pkt 4c); od zakończenia obsługi (art. 12b ust. 2)	Art. 11 ust. 1 pkt 4c	Kluczowy Ważny
14 dni	Aktualizacja danych w wykazie podmiotów	Zmiana danych	Art. 7c ust. 3	Kluczowy Ważny
6 miesięcy	Rejestracja – wniosek o wpis do wykazu	Spełnienie kryteriów	Art. 7c ust. 1	Kluczowy Ważny
12 miesięcy	Realizacja obowiązków z art. 8 (pełne wdrożenie SZBI i środków zarządzania ryzykiem)	Wpis do wykazu / decyzja organu	Art. 16 pkt 1	Kluczowy Ważny
Co roku	Szkolenie kierownictwa z cyberbezpieczeństwa (kierownik + osoba odpowiedzialna za cyber)	Co roku kalendarzowe	Art. 8e ust. 1	Kluczowy Ważny
24 miesiące	Przeprowadzenie pierwszego audytu bezpieczeństwa (dotyczy podmiotu kluczowego)	Wpis do wykazu / decyzja organu	Art. 16 pkt 2	Kluczowy
Co 3 lata	Cykliczne audyty bezpieczeństwa (podmiot kluczowy, na własny koszt)	Od daty podpisania raportu poprzedniego audytu	Art. 15 ust. 1	Kluczowy
Przed objęciem stanowiska	Weryfikacja karalności (KRK) – zaświadczenie o niekaralności za przestępstwo przeciwko ochronie informacji	Przed realizacją zadań z art. 8 i art. 11	Art. 8f ust. 1	Kluczowy Ważny

📊

Wizualizacja ścieżki compliance

Kolejne kroki od identyfikacji do pełnej zgodności

Identyfikacja

Czy dotyczy Cię ustawa?

+6M

Rejestracja

Wpis do wykazu

+12M

Wdrożenie SZBI

Pełne środki

+24M

Pierwszy audyt

Certyfikacja

co 3L

Audyt cykliczny

Utrzymanie zgodności

💡

Wskazówka dla doradców: Wdrożenie ISO 27001 równolegle z KSC pozwala efektywnie zbudować SZBI wymagany przez art. 8 ustawy – struktura normy pokrywa ok. 75% obowiązków ustawowych. Ustawa nie uznaje wprost certyfikatu ISO 27001 jako automatycznego dowodu zgodności – to może wynikać z rozporządzeń wykonawczych (art. 8a) lub indywidualnej oceny organu nadzorczego. ISO 27001 pozostaje jednak najsilniejszym argumentem merytorycznym przy kontroli.

🚨

Procedura obsługi i zgłaszania incydentów

Art. 9-11 ustawy KSC 2026 – obowiązkowy proces

Oś czasu zgłaszania incydentu poważnego

Wykrycie

Identyfikacja incydentu poważnego

24h

Wczesne ostrzeżenie

Zgłoszenie do CSIRT sektorowego

72h

Pełne zgłoszenie

Szczegółowy raport incydentu

1 mies.

Sprawozdanie końcowe

Po zamknięciu incydentu

✓

Zamknięcie

Działania naprawcze + lessons learned

Co zawiera wczesne ostrzeżenie (24h)?

✓Wstępna informacja o wykryciu incydentu
✓Informacja czy incydent może być wynikiem działania bezprawnego lub złośliwego
✓Informacja czy ma skutki transgraniczne
✓Szacunkowy zakres wpływu na usługę

Co zawiera pełne zgłoszenie (72h)?

✓Aktualizacja informacji z wczesnego ostrzeżenia
✓Wstępna ocena incydentu: stopień dotkliwości i wpływ
✓Wskaźniki naruszenia bezpieczeństwa (IOC)
✓Podjęte środki zaradcze i tymczasowe

Kiedy incydent jest "poważny"? – Kryteria Art. 9

🔴

Incydent poważny – jeśli spełnione jest jedno z kryteriów:

Spowodował lub może spowodować poważne zakłócenie usługi
Spowodował lub może spowodować straty finansowe dla podmiotu
Wpłynął lub może wpłynąć na inne podmioty (efekt domina)
Spowodował szkodę materialną lub niematerialną

🟡

Próg zgłaszania – parametry mierzalne:

Liczba użytkowników dotkniętych zakłóceniem
Czas trwania incydentu i geograficzny zasięg
Zakres zakłócenia funkcjonowania podmiotu
Wpływ ekonomiczny (szacunkowe straty)

Struktura CSIRT – do kogo zgłaszać?

🏛️

CSIRT GOV

Administracja rządowa, służby specjalne, infrastruktura krytyczna

💻

CSIRT NASK

Pozostałe podmioty, dostawcy usług cyfrowych, obywatele

🎖️

CSIRT MON

Podmioty z sektora obronnego i wojskowego

✅

ISO 27001 i ISO 22301 znacząco wspierają zgodność z KSC 2026. Katalog środków SZBI wymaganych przez art. 8 ust. 1 ustawy w dużym stopniu pokrywa się z kontrolami ISO 27001. Jednak certyfikaty ISO nie zapewniają automatycznie pełnej zgodności – istnieją obszary unikalne dla KSC, nieujęte w normach ISO.

📊

Porównanie pokrycia wymagań KSC 2026

Co pokrywają ISO 27001 i ISO 22301 vs. co jest wyłącznie w KSC

~75%

ISO 27001 pokrywa KSC

~60%

ISO 22301 pokrywa KSC

~30%

Wymagania wyłącznie KSC

ISO 27001 – pokrycie wymagań KSC 2026~75%

ISO 22301 – pokrycie wymagań KSC 2026~60%

ISO 27001 + ISO 22301 łącznie~85%

🔒

Szczegółowe mapowanie: KSC 2026 → ISO 27001 → ISO 22301

Wymaganie KSC 2026	Art. KSC	ISO 27001	ISO 22301	Pokrycie
Polityki bezpieczeństwa i szacowania ryzyka	Art. 8 ust. 1 pkt 2 lit. a	Kl. 5.2, A.5.1	Kl. 5.2	✓ Pełne
Zarządzanie ryzykiem cyberbezpieczeństwa	Art. 8 ust. 1 pkt 1	Kl. 6.1, A.8	Kl. 6.1	✓ Pełne
Obsługa incydentów	Art. 8 ust. 1 pkt 4; art. 9-11	A.5.24-5.28	—	⚡ Częściowe
Terminy zgłaszania incydentów (24h/72h/1M)	Art. 11 ust. 1 pkt 4, 4a, 4c	—	—	✗ Brak
Ciągłość działania i odtwarzanie po awarii (BCP/DRP)	Art. 8 ust. 1 pkt 2 lit. f	A.5.29-5.30	Kl. 8, 9, 10	✓ Pełne (22301)
Zarządzanie kopiami zapasowymi	Art. 8 ust. 1 pkt 2 lit. f	A.8.13	Kl. 8.4	✓ Pełne
Bezpieczeństwo łańcucha dostaw ICT	Art. 8 ust. 1 pkt 2 lit. e; art. 8e-8f	A.5.19-5.22	—	⚡ Częściowe
Procedura DHR (dostawca wysokiego ryzyka)	Art. 8 ust. 1 pkt 2 lit. e (in fine)	—	—	✗ Brak – KSC-specyficzne
Monitorowanie systemów w trybie ciągłym	Art. 8 ust. 1 pkt 2 lit. g	A.8.20-8.22	—	✓ Pełne
MFA / bezpieczna komunikacja elektroniczna	Art. 8 ust. 1 pkt 2 lit. l	A.8.5	—	✓ Pełne
Kryptografia i szyfrowanie	Art. 8 ust. 1 pkt 2 lit. k	A.8.24	—	✓ Pełne
Bezpieczeństwo zasobów ludzkich (HR)	Art. 8 ust. 1 pkt 2 lit. d	A.6.1-6.6	—	✓ Pełne
Weryfikacja karalności (KRK)	Art. 8f ust. 1	A.6.1 (częściowo)	—	✗ Brak – polskie prawo
Zarządzanie podatnościami i aktualizacje	Art. 8 ust. 1 pkt 5 lit. b, d	A.8.8	—	✓ Pełne
Szkolenia – pracownicy (cyberhigiena)	Art. 8 ust. 1 pkt 2 lit. i, j	A.6.3, Kl. 7.2-7.3	Kl. 7.2	✓ Pełne
Szkolenia – zarząd (roczne, obowiązkowe)	Art. 8e ust. 1	Kl. 5.1 (ogólnie)	—	⚡ Częściowe (brak wymogu rocznego w ISO)
Odpowiedzialność osobista kierownictwa	Art. 8c ust. 1; art. 73-76e	—	—	✗ Brak – ustawowe
Rejestracja w wykazie podmiotów (6 miesięcy)	Art. 7c ust. 1	—	—	✗ Brak – administracyjne
Audyt bezpieczeństwa co 3 lata; zakaz konfliktu interesów	Art. 15 ust. 1, ust. 2a; art. 16 pkt 2	ISO 27001 nie wymaga audytu ustawowego ani zakazu konfliktu interesów w tej formie	—	✗ Specyficzne KSC
CSIRT sektorowy – wyznaczenie punktu kontaktowego	Art. 9 ust. 1 pkt 1; art. 11	—	—	✗ Brak
Zarządzanie aktywami	Art. 8 ust. 1 pkt 2 lit. m	A.5.9, A.8.1	—	✓ Pełne

⚠️

GAP Analysis: Poniżej przedstawiono wymagania KSC 2026, które NIE są pokryte przez ISO 27001 ani ISO 22301. To są obszary wymagające dodatkowych działań nawet po uzyskaniu certyfikatów ISO.

❌

Obszary POZA ISO – wymagające osobnych działań

Krytyczne luki – obowiązkowe do uzupełnienia

✗
Rejestracja w wykazie podmiotów KSC
Złożenie wniosku o wpis do wykazu w ciągu 6 miesięcy od spełnienia kryteriów (art. 7c ust. 1). Wniosek składany elektronicznie, podpisany kwalifikowanym podpisem elektronicznym. ISO 27001 nie wymaga żadnej rejestracji państwowej.
Działanie: wniosek formalno-administracyjny
✗
Terminowe zgłaszanie incydentów (24h / 72h / 1 miesiąc)
ISO 27001 (A.5.24-5.28) wymaga obsługi incydentów, ale nie definiuje ustawowych terminów zgłaszania do CSIRT. KSC nakłada sztywne ramy czasowe.
Działanie: procedura z konkretnymi progami czasowymi
✗
Weryfikacja karalności (KRK) kierownictwa i odpowiedzialnych za cyberbezpieczeństwo
Art. 8d nakłada obowiązek sprawdzenia w Krajowym Rejestrze Karnym. ISO 27001 A.6.1 wymaga background checks, ale nie precyzuje KRK jako polskiej instytucji.
Działanie: procedura weryfikacji + dokumentacja KRK
✗
Procedura Dostawcy Wysokiego Ryzyka (DHR)
Art. 8f – specyficzna procedura oceny i potencjalnego wycofania produktów/usług dostawcy uznanego za "wysokie ryzyko" przez organ. Brak odpowiednika w ISO.
Działanie: opracowanie procedury DHR + plan migracji
✗
Audyt bezpieczeństwa KSC (co 3 lata) – odrębny od recertyfikacji ISO
Art. 15 – obowiązkowy audyt podmiotu kluczowego co najmniej raz na 3 lata. Ustawa nie wskazuje wprost wymaganych certyfikatów audytora – wymogi mogą być określone w rozporządzeniu lub wskazane przez organ nadzorczy (art. 15 ust. 1b). Kluczowy wymóg: zakaz konfliktu interesów – audytor nie może realizować zadań operacyjnych w audytowanym podmiocie (art. 15 ust. 2a). Recertyfikacja ISO 27001 jest odrębna i nie zastępuje audytu KSC.
Działanie: zlecenie audytu niezależnemu podmiotowi zewnętrznemu
✗
Wyznaczenie punktu kontaktowego z CSIRT sektorowym
Formalne wyznaczenie i zgłoszenie do systemu właściwego CSIRT (GOV/NASK/MON). ISO 27001 nie wymaga kontaktu z krajowymi CSIRT.
Działanie: wyznaczenie osoby + rejestracja w CSIRT
✗
Osobista odpowiedzialność finansowa kierownictwa
Art. 73-76e – kierownik jednostki odpowiada osobiście karą do 300% miesięcznego wynagrodzenia. ISO 27001 nie generuje żadnej odpowiedzialności osobistej.
Działanie: szkolenie zarządu + dokumentacja odpowiedzialności

⚡

Obszary CZĘŚCIOWO pokryte przez ISO

Wymagają rozszerzenia lub adaptacji dla KSC

~
Obsługa incydentów – ISO 27001 A.5.24-5.28 vs. KSC Art. 9-11
ISO daje ramy procesu, ale KSC dodaje: klasyfikację jako "poważny", terminy 24h/72h/1M, obowiązek zgłoszenia do CSIRT, format raportu.
Działanie: dostosowanie procedury incydentowej do KSC
~
Bezpieczeństwo łańcucha dostaw – ISO 27001 A.5.19-5.22 vs. KSC Art. 8e-8f
ISO wymaga zarządzania relacjami z dostawcami, ale KSC precyzuje obowiązek oceny ryzyka DHR i planu migracji dla dostawcy wycofanego.
Działanie: rozszerzenie procedury o DHR i plan awaryjny
~
Szkolenia zarządu – ISO 27001 Kl. 5.1 vs. KSC Art. 8e ust. 1
ISO wymaga zaangażowania kierownictwa i świadomości, ale nie precyzuje rocznego obowiązku szkolenia najwyższego kierownictwa z cyberbezpieczeństwa.
Działanie: wprowadzenie cyklu rocznych szkoleń dla zarządu z dokumentacją
~
Bezpieczna komunikacja w sytuacjach nagłych – KSC Art. 8 ust. 1 pkt 2 lit. l
ISO 27001 A.8.20 obejmuje bezpieczeństwo komunikacji, ale KSC wymaga specyficznie zabezpieczonych kanałów kryzysowych (voice, video, text).
Działanie: rozszerzenie o plan komunikacji kryzysowej
~
Zarządzanie ryzykiem łańcucha dostaw ICT – szczegółowość
ISO 27001 A.5.21 pokrywa ICT supply chain, ale KSC wymaga inwentaryzacji wszystkich dostawców krytycznych i oceny ryzyka w kontekście ustawowym.
Działanie: rejestr dostawców krytycznych z oceną ryzyka KSC

✅

Plan uzupełniania luk – priorytety działań

Rekomendowana kolejność wdrożenia dodatkowych środków

#	Działanie	Priorytet	Termin	Odpowiedzialny
1	Samoidentyfikacja: czy podmiot spełnia kryteria ustawy	Krytyczny	Natychmiast	Zarząd / Prawnik
2	Złożenie wniosku o wpis do wykazu podmiotów	Krytyczny	Do 6 miesięcy	Zarząd
3	Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo + rejestracja w CSIRT	Krytyczny	Przy rejestracji	HR / IT Security
4	Weryfikacja KRK kierownictwa i osoby odpowiedzialnej za cyber	Krytyczny	Przy rejestracji	HR
5	Aktualizacja procedury incydentowej o terminy 24h/72h/1M	Wysoki	Do 12 miesięcy	CISO / IT Security
6	Opracowanie procedury DHR i rejestru dostawców krytycznych	Wysoki	Do 12 miesięcy	CISO / Procurement
7	Wdrożenie rocznego szkolenia zarządu z cyberbezpieczeństwa	Wysoki	Do 12 miesięcy	CISO / HR
8	Zlecenie pierwszego audytu KSC niezależnemu podmiotowi zewnętrznemu (bez konfliktu interesów – art. 15 ust. 2a); wymagania kwalifikacyjne wg rozporządzenia lub wskazania organu	Średni	Do 24 miesięcy	Zarząd / CISO
9	Opracowanie planu komunikacji kryzysowej	Średni	Do 12 miesięcy	BCP Manager
10	Dokumentacja odpowiedzialności osobistej kierownictwa	Średni	Do 12 miesięcy	Prawnik / Zarząd

10 000 000 EUR

lub 2% całkowitego rocznego obrotu

PODMIOT KLUCZOWY

Art. 67b ustawy KSC 2026. Organ stosuje wyższą z kwot. Nadzór prewencyjny. Możliwość zawieszenia działalności.

7 000 000 EUR

lub 1,4% całkowitego rocznego obrotu

PODMIOT WAŻNY

Art. 67c ustawy KSC 2026. Organ stosuje wyższą z kwot. Nadzór reaktywny (po incydencie lub skardze).

300%

miesięcznego wynagrodzenia

KIEROWNIK JEDNOSTKI

Art. 73-76e ustawy KSC 2026. Odpowiedzialność osobista. Dotyczy niewykonania obowiązku nadzoru nad wdrożeniem wymagań.

⚖️

Za co grożą kary? – Katalog naruszeń

Art. 67b-67c – lista naruszeń podlegających sankcjom

Naruszenie	Kluczowy	Ważny	Podstawa
Brak rejestracji w wykazie podmiotów	Do 10M EUR / 2%	Do 7M EUR / 1,4%	Art. 67b pkt 1
Niezgłoszenie incydentu poważnego (24h/72h)	Do 10M EUR / 2%	Do 7M EUR / 1,4%	Art. 67b pkt 3
Brak wdrożenia środków zarządzania ryzykiem (SZBI)	Do 10M EUR / 2%	Do 7M EUR / 1,4%	Art. 67b pkt 2
Brak lub nienależyte przeprowadzenie audytu	Do 10M EUR / 2%	Do 7M EUR / 1,4%	Art. 67b pkt 4
Niezastosowanie się do decyzji organu nadzorczego	Do 10M EUR / 2%	Do 7M EUR / 1,4%	Art. 67b pkt 5
Brak weryfikacji karalności (KRK)	Do 10M EUR / 2%	—	Art. 67b pkt 6
Naruszenie przez kierownika – brak nadzoru	Do 300% wynagrodzenia	Do 300% wynagrodzenia	Art. 73-76e

🔴

Ważne: Dla podmiotów kluczowych organ może dodatkowo: (1) tymczasowo zawiesić certyfikaty i zezwolenia, (2) tymczasowo zakazać pełnienia funkcji kierowniczych osobie odpowiedzialnej za naruszenie, (3) publicznie ogłosić naruszenie (tzw. naming and shaming). Dotyczy to wyłącznie podmiotów kluczowych.

🔢

Czynniki wpływające na wysokość kary

Art. 67 ust. 3 – kryteria miarkowania kary

Czynniki łagodzące

✓Szybkie usunięcie naruszenia po wykryciu
✓Współpraca z organem nadzorczym
✓Dobrowolne zgłoszenie naruszenia
✓Posiadanie certyfikacji (ISO 27001, ISO 22301)
✓Brak poprzednich naruszeń

Czynniki zaostrzające

✗Umyślność lub rażące niedbalstwo
✗Powtarzające się naruszenia
✗Poważne szkody dla użytkowników lub innych podmiotów
✗Naruszenia transgraniczne (wpływ na inne państwa UE)
✗Brak współpracy z organem podczas kontroli

🔗

Bezpieczeństwo łańcucha dostaw to jeden z najbardziej wymagających nowych obszarów KSC 2026 (Art. 8e-8f). Wprowadza procedurę "Dostawcy Wysokiego Ryzyka" (DHR) – specyficzne dla polskiego prawa i niemające odpowiednika w ISO.

🔗

Obowiązki w zakresie łańcucha dostaw

Art. 8e – wymagania dla wszystkich podmiotów

✓Inwentaryzacja wszystkich dostawców usług ICT, produktów ICT i usług zarządzanych
✓Ocena ryzyka dostawcy – analiza przed nawiązaniem współpracy i cyklicznie
✓Klauzule umowne obejmujące bezpieczeństwo informacji i prawo do audytu
✓Minimalne wymagania bezpieczeństwa dla kluczowych dostawców ICT
✓Monitorowanie ciągłości i bezpieczeństwa dostawców krytycznych
✓Plan zastąpienia dostawcy w przypadku utraty dostępności lub naruszenia bezpieczeństwa

🚫

Procedura Dostawcy Wysokiego Ryzyka (DHR)

Art. 8f – unikalna procedura polska / KSC

Krok 1

Wszczęcie postępowania przez ministra ds. cyfryzacji

Minister może wszcząć postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka (z urzędu lub na wniosek)

Krok 2

Ocena techniczna i geopolityczna

Analiza: powiązania dostawcy z państwem trzecim, historia naruszeń, luki w produktach, praktyki dostawcy

Krok 3

Decyzja o uznaniu za DHR

Minister wydaje decyzję. Dostawca wpisany na listę DHR.

Krok 4 – dla podmiotów KSC

Obowiązek opracowania planu wycofania

Podmioty kluczowe i ważne muszą opracować plan zastąpienia produktów/usług DHR w określonym terminie (do 7 lat w zależności od kategorii)

Krok 5

Realizacja planu migracji

Wdrożenie alternatywnych rozwiązań. Nowe zamówienia produktów DHR są zakazane od dnia decyzji.

📋

Wymagania dotyczące umów z dostawcami ICT

Minimalne klauzule bezpieczeństwa wg Art. 8e KSC 2026

✓Wymóg stosowania przez dostawcę środków bezpieczeństwa adekwatnych do ryzyka
✓Obowiązek zgłaszania incydentów bezpieczeństwa dotyczących świadczonej usługi
✓Prawo do audytu dostawcy przez podmiot lub uprawnioną stronę trzecią
✓Prawo do rozwiązania umowy w przypadku decyzji DHR

✓Obowiązek informowania o zmianach w łańcuchu dostaw dostawcy
✓Wymóg spełniania przez dostawcę minimalnych wymagań cyberbezpieczeństwa
✓Procedura przekazania danych i dokumentacji po zakończeniu współpracy
✓Kary umowne za naruszenie wymagań bezpieczeństwa

Ustawa o Krajowym Systemie Cyberbezpieczeństwa 2026