Słowo wstępu
Dnia 3 kwietnia 2026 r. weszła w życie znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa („Ustawa KSC”), która w perspektywie jednego roku całkowicie odmieni sposób działania wielu polskich przedsiębiorców z licznych branż, w tym telekomunikacyjnej. Zmiana przepisów nastąpiła w związku z obowiązkiem dostosowania przepisów krajowych do regulacji unijnych, zawartych w dyrektywie NIS2.
Obowiązek wpisu do wykazu podmiotów kluczowych i ważnych
Podmioty kluczowe i ważne, czyli przedsiębiorcy, którzy: (i) wykonują działalność gospodarczą w jednym z określonych w załącznikach do Ustawy KSC sektorów kluczowych lub ważnych oraz (ii) spełniają kryteria wielkościowe wskazane w tej ustawie, muszą samodzielnie sprawdzić, czy podlegają wpisowi do wykazu podmiotów kluczowych i podmiotów ważnych („Wykaz KSC”). Wspomniany wykaz to nic innego, jak rejestr prowadzony przez Ministra Cyfryzacji, którego przeznaczeniem jest ewidencja podmiotów kluczowych i podmiotów ważnych Krajowego Systemu Cyberbezpieczeństwa.
Jakie podmioty są wpisywane z urzędu przez Ministra Cyfryzacji do Wykazu KSC?
Ustawa KSC wprowadza obowiązek samodzielnego wpisu do Wykazu KSC przez podmioty ważne i podmioty kluczowe. Od tej zasady istnieją jednak pewne wyjątki – Minister Cyfryzacji ma obowiązek samodzielnie wpisać do ww. wykazu podlegających pod wymogi Ustawy KSC przedsiębiorców komunikacji elektronicznej, dostawców usług zaufania, podmioty publiczne, a także podmioty krytyczne. Podmioty te powinny jednak pamiętać o obowiązku uzupełnienia danych w wykazie, w terminie 6 miesięcy od dnia otrzymania wezwania – w przypadku przedsiębiorców komunikacji elektronicznej takie wezwanie może zostać doręczone przez PUE PKE.
Charakter wpisu do Wykazu KSC
Art. 7d ust. 5 Ustawy KSC stanowi, że wpis do Wykazu KSC ma charakter deklaratoryjny. W praktyce oznacza to, iż momentem, od którego dany podmiot jest związany przepisami Ustawy KSC nie jest data wpisu do wykazu, a dzień spełnienia przesłanek wymaganych do uznania go za podmiot ważny lub podmiot kluczowy – wpis do wykazu jest jedynie potwierdzeniem istniejącego stanu faktycznego. Brak wpisu do wykazu nie będzie dawał danemu podmiotowi zwolnienia z realizacji obowiązków wynikających z Ustawy KSC, takich jak wdrożenie systemu zarządzania bezpieczeństwem informacji czy dokonywanie zgłoszeń incydentów poważnych.
System S46 – najważniejsze informacje
System S46 to platforma teleinformatyczna, za prowadzenie której odpowiedzialny jest Minister Cyfryzacji. Umożliwia komunikację podmiotom Krajowego Systemu Cyberbezpieczeństwa, które są zobowiązane do korzystania z niej. System S46 zawiera wiele funkcjonalności, takich jak:
- składanie wniosków o wpis do Wykazu KSC,
- zgłaszanie incydentów poważnych (wczesnego ostrzeżenia o incydencie, zgłoszenia incydentu, raportu końcowego, raportu z przebiegu incydentu),
- wymiana informacji o cyberzagrożeniach między podmiotami Krajowego Systemu Cyberbezpieczeństwa,
- przekazywania rekomendacji technicznych,
- zbieranie i wykrywanie współzależności między incydentami i podatnościami.
Docelowo System S46 będzie mógł posłużyć do monitorowania własnej infrastruktury i zgłaszania naruszeń ochrony danych osobowych.
Daty, które warto znać
- 13 kwietnia 2026 r. – uruchomienie Wykazu KSC
- 13 kwietnia – 6 maja 2026 r. –wpisy z urzędu do Wykazu KSC
- 7 maja – 3 października 2026 r.– okres, w którym podmioty kluczowe i podmioty ważne niewpisane do Wykazu KSC z urzędu mogą dokonać samodzielnego zgłoszenia do tego wykazu
- 12 czerwca 2026 r. – udostępnienie Systemu S46 do korzystania nowym podmiotom
- 3 kwietnia 2027 r. – koniec okresu dostosowawczego – najpóźniej w tym dniu podmioty, które w dniu wejścia w życie zmienionej Ustawy KSC spełniały przesłanki uznania za podmiot kluczowy lub podmiot ważny, mają obowiązek rozpocząć korzystanie z Sytemu S46
Odpowiedzialność za złożenie wniosku o wpis do Wykazu KSC. Kary finansowe
Brak uzupełnienia w terminie danych w Wykazie KSC w danych w przypadku podmiotów kluczowych i podmiotów ważnych podlegających wpisowi z urzędu, może skutkować nałożeniem na taki podmiot oraz na jego kierownika kary finansowej przez organ właściwy ds. cyberbezpieczeństwa.
Wysokość kary pieniężnej nałożonej na podmiot:
- w przypadku podmiotów kluczowych – nie może przekroczyć kwoty 10 mln EUR, wyrażonej w PLN lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara nie może być niższa niż 20 tys. PLN;
- w przypadku podmiotów ważnych – nie może przekroczyć kwoty 7 mln EUR, wyrażonej w PLN lub 1,4% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara nie może być niższa niż 15 tys. PLN.
Kara w takiej samej wysokości może zostać nałożona na podmiot, który nie dokonał samodzielnego zgłoszenia do Wykazu KSC jako niepodlegający wpisowi z urzędu lub na podmiot, który nie dokonał odpowiedniej aktualizacji danych w Wykazie KSC.
W przypadku braku realizacji ww. obowiązków organ właściwy ds. cyberbezpieczeństwa, na kierownika podmiotu kluczowego lub podmiotu ważnego może zostać nałożona kara w kwocie maksymalnie 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
Więcej informacji o obowiązkach, które Ustawa KSC nakłada na podmioty kluczowe lub podmioty ważne oraz na kierowników tych podmiotów, a także przykładowe case-study w zakresie wykrywania, zgłaszania i obsługi incydentów znajdziecie Państwo w broszurze przygotowanej przez naszą kancelarię, dostępnej pod linkiem:
Jeżeli zainteresował Państwa ten temat, uprzejmie zapraszamy do kontaktu z naszą kancelarią pod adresem mailowym info@brightspot.pl oraz numerem telefonu +48 12 311 04 42.
