Strona głównaStrona głównaseparatorBlogseparatorNowelizacja ustawy o KSC - co to oznacza dla NIS2?

Nowelizacja ustawy o KSC - co to oznacza dla NIS2?

ksc

Przez długi czas dyrektywa NIS2 była w Polsce tematem czysto teoretycznym. Termin jej wdrożenia minął w październiku 2024 roku, a firmy operowały w zawieszeniu, czekając na konkretne polskie przepisy. Styczeń 2026 roku przynosi przełom. Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która przenosi unijne wymogi na nasz grunt. Jeśli zarządzasz firmą w sektorze energetycznym, medycznym czy spożywczym, powinieneś przeczytać ten artykuł.

Spis treści:

  1. Nowelizacja KSC a NIS2

  2. Kogo dotyczą nowe przepisy?

  3. Czas na reakcję

  4. Dostawca wysokiego ryzyka

  5. Kary finansowe za brak przygotowania

  6. Podsumowanie

Nowelizacja KSC a NIS2

Dyrektywa NIS2 to unijny fundament, ale to nowelizacja ustawy o KSC określa, jak te zasady działają w polskich realiach. Najistotniejszą informacją z ostatnich prac sejmowych jest wydłużenie czasu na dostosowanie się do nowych wymogów. Zamiast pierwotnie planowanych 6 miesięcy, organizacje otrzymały 12 miesięcy od momentu wejścia w życie ustawy na wdrożenie niezbędnych zabezpieczeń.

To dodatkowy czas na audyty, ale nie na bezczynność. Nowelizacja wprowadza mechanizmy, które mają realnie uszczelnić polską cyberprzestrzeń, w tym m.in. formalne włączenie Prezydenta RP w strukturę zarządzania systemem oraz wzmocnienie roli zespołów CSIRT.

Kogo dotyczą nowe przepisy?

Katalog instytucji objętych rygorem KSC znacząco urósł. Nowelizacja dzieli organizacje na dwie grupy: podmioty kluczowe i podmioty ważne. Różnią się one stopniem nadzoru oraz wysokością potencjalnych kar, ale obie grupy muszą spełnić surowe normy bezpieczeństwa.

Do listy sektorów dołączyły obszary, które wcześniej nie były objęte regulacjami dotyczącymi cyberbezpieczeństwa:

  • produkcja i dystrybucja żywności,

  • usługi pocztowe i kurierskie,

  • gospodarka odpadami i ściekami,

  • produkcja chemikaliów,

  • przestrzeń kosmiczna.

Jeśli Twoja firma zatrudnia powyżej 50 pracowników i osiąga obrót wyższy niż 10 mln euro w jednym z wymienionych sektorów, prawdopodobnie właśnie stajesz się częścią Krajowego Systemu Cyberbezpieczeństwa.

Czas na reakcję

Jednym z najbardziej wymagających elementów nowej ustawy jest system raportowania incydentów. Koniec z przesyłaniem maili w wolnej chwili. Nowe prawo wprowadza trzystopniowy model zgłaszania incydentów poważnych.

  • Wczesne ostrzeżenie - masz tylko dobę od wykrycia problemu na wysłanie pierwszego sygnału do CSIRT. Musisz określić, czy incydent ma charakter bezprawny i czy może wpływać na inne kraje UE.

  • Zgłoszenie incydentu - w ciągu trzech dób musisz dostarczyć szczegółowe dane o liczbie użytkowników, których dotknęła awaria, oraz o zasięgu geograficznym problemu.

  • Sprawozdanie końcowe - miesiąc to czas na pełną analizę przyczyn, podjęte kroki naprawcze i wnioski na przyszłość.

Wymaga to posiadania sprawnego monitoringu sieci 24/7. Bez odpowiednich narzędzi technicznych dotrzymanie tych terminów jest fizycznie niemożliwe.

Dostawca wysokiego ryzyka

Nowelizacja KSC wprowadza procedurę uznania dostawcy sprzętu lub oprogramowania za „dostawcę wysokiego ryzyka” (HRV). Decyzję podejmuje Minister Cyfryzacji po analizie stopnia zależności dostawcy od państw spoza UE i NATO oraz ryzyka szpiegostwa.

Co to oznacza dla Ciebie? Jeśli korzystasz z rozwiązań firmy, która trafi na czarną listę, będziesz mieć od 4 do 7 lat na całkowite usunięcie jej produktów ze swojej infrastruktury krytycznej. To operacja wymagająca planowania budżetowego z dużym wyprzedzeniem, by uniknąć nagłej konieczności wymiany kluczowych systemów.

Kary finansowe za brak przygotowania

Ustawodawca przewidział kary, które mają motywować do działania nawet najbardziej opornych. Nie są to kwoty symboliczne. Za brak wdrożenia środków zarządzania ryzykiem lub niedopełnienie obowiązków raportowania grożą sankcje:

  • Dla podmiotów kluczowych - do 10 mln euro lub 2% całkowitego rocznego światowego obrotu.

  • Dla podmiotów ważnych - do 7 mln euro lub 1,4% obrotu.

  • Kary dzienne - od 500 zł do 100 tys. zł za każdy dzień zwłoki w wykonaniu poleceń organów nadzorczych.

Warto zauważyć, że odpowiedzialność finansowa może spaść również bezpośrednio na kierowników jednostek (np. członków zarządu), co przenosi ciężar decyzji o inwestycjach w IT na najwyższy szczebel zarządzania.

Podsumowanie

Nowelizacja ustawy o KSC to nie tylko kolejny dokument do przeczytania, ale realna zmiana w sposobie funkcjonowania biznesu w Polsce. Wymusza ona na firmach przejście z trybu „reagowanie na awarie” na tryb „zarządzanie ryzykiem”. To proces skomplikowany, ale niezbędny dla zachowania ciągłości działania w świecie, gdzie ataki na łańcuchy dostaw stają się codziennością.

W KNT Technology rozumiemy, że technologia to tylko połowa sukcesu. Drugą połową jest zgodność z przepisami i świadomość zagrożeń. Pomagamy organizacjom przejść przez proces dostosowania do NIS2 i KSC, od audytu infrastruktury, przez wdrożenie systemów monitorowania, aż po opracowanie procedur raportowania incydentów. Dzięki naszemu doświadczeniu w cyberbezpieczeństwie nowelizacja przestaje być zagrożeniem, a staje się fundamentem stabilnego rozwoju Twojej firmy.

Chcesz sprawdzić, czy Twoja infrastruktura spełnia wymogi nowej ustawy o KSC? Skontaktuj się z nami, przeprowadzimy audyt zerowy i pomożemy Ci zaplanować ścieżkę do pełnej zgodności z NIS2.