System S46 –podstawowe narzędzie w ramach Krajowego Systemu Cyberbezpieczeństwa

System S46 –podstawowe narzędzie w ramach Krajowego Systemu Cyberbezpieczeństwa

Słowo wstępu

Dnia 3 kwietnia 2026 r. weszła w życie znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa („Ustawa KSC”), która w perspektywie jednego roku całkowicie odmieni sposób działania wielu polskich przedsiębiorców z licznych branż, w tym telekomunikacyjnej. Zmiana przepisów nastąpiła w związku z obowiązkiem dostosowania przepisów krajowych do regulacji unijnych, zawartych w dyrektywie NIS2. 

Obowiązek wpisu do wykazu podmiotów kluczowych i ważnych

Podmioty kluczowe i ważne, czyli przedsiębiorcy, którzy: (i) wykonują działalność gospodarczą w jednym z określonych w załącznikach do Ustawy KSC sektorów kluczowych lub ważnych oraz (ii) spełniają kryteria wielkościowe wskazane w tej ustawie, muszą samodzielnie sprawdzić, czy podlegają wpisowi do wykazu podmiotów kluczowych i podmiotów ważnych („Wykaz KSC”). Wspomniany wykaz to nic innego, jak rejestr prowadzony przez Ministra Cyfryzacji, którego przeznaczeniem jest ewidencja podmiotów kluczowych i podmiotów ważnych Krajowego Systemu Cyberbezpieczeństwa. 

Jakie podmioty są wpisywane z urzędu przez Ministra Cyfryzacji do Wykazu KSC?

Ustawa KSC wprowadza obowiązek samodzielnego wpisu do Wykazu KSC przez podmioty ważne i podmioty kluczowe. Od tej zasady istnieją jednak pewne wyjątki – Minister Cyfryzacji ma obowiązek samodzielnie wpisać do ww. wykazu podlegających pod wymogi Ustawy KSC przedsiębiorców komunikacji elektronicznej, dostawców usług zaufania, podmioty publiczne, a także podmioty krytyczne. Podmioty te powinny jednak pamiętać o obowiązku uzupełnienia danych w wykazie, w terminie 6 miesięcy od dnia otrzymania wezwania – w przypadku przedsiębiorców komunikacji elektronicznej takie wezwanie może zostać doręczone przez PUE PKE. 

Charakter wpisu do Wykazu KSC

Art. 7d ust. 5 Ustawy KSC stanowi, że wpis do Wykazu KSC ma charakter deklaratoryjny. W praktyce oznacza to, iż momentem, od którego dany podmiot jest związany przepisami Ustawy KSC nie jest data wpisu do wykazu, a dzień spełnienia przesłanek wymaganych do uznania go za podmiot ważny lub podmiot kluczowy – wpis do wykazu jest jedynie potwierdzeniem istniejącego stanu faktycznego. Brak wpisu do wykazu nie będzie dawał danemu podmiotowi zwolnienia z realizacji obowiązków wynikających z Ustawy KSC, takich jak wdrożenie systemu zarządzania bezpieczeństwem informacji czy dokonywanie zgłoszeń incydentów poważnych. 

System S46 – najważniejsze informacje

System S46 to platforma teleinformatyczna, za prowadzenie której odpowiedzialny jest Minister Cyfryzacji. Umożliwia komunikację podmiotom Krajowego Systemu Cyberbezpieczeństwa, które są zobowiązane do korzystania z niej. System S46 zawiera wiele funkcjonalności, takich jak:

  • składanie wniosków o wpis do Wykazu KSC,
  • zgłaszanie incydentów poważnych (wczesnego ostrzeżenia o incydencie, zgłoszenia incydentu, raportu końcowego, raportu z przebiegu incydentu),
  • wymiana informacji o cyberzagrożeniach między podmiotami Krajowego Systemu Cyberbezpieczeństwa, 
  • przekazywania rekomendacji technicznych,
  • zbieranie i wykrywanie współzależności między incydentami i podatnościami.

Docelowo System S46 będzie mógł posłużyć do monitorowania własnej infrastruktury i zgłaszania naruszeń ochrony danych osobowych.

Daty, które warto znać 

  • 13 kwietnia 2026 r. – uruchomienie Wykazu KSC
  • 13 kwietnia – 6 maja 2026 r. –wpisy z urzędu do Wykazu KSC
  • 7 maja – 3 października 2026 r.– okres, w którym podmioty kluczowe i podmioty ważne niewpisane do Wykazu KSC z urzędu mogą dokonać samodzielnego zgłoszenia do tego wykazu
  • 12 czerwca 2026 r. – udostępnienie Systemu S46 do korzystania nowym podmiotom 
  • 3 kwietnia 2027 r. – koniec okresu dostosowawczego – najpóźniej w tym dniu podmioty, które w dniu wejścia w życie zmienionej Ustawy KSC spełniały przesłanki uznania za podmiot kluczowy lub podmiot ważny, mają obowiązek rozpocząć korzystanie z Sytemu S46

Odpowiedzialność za złożenie wniosku o wpis do Wykazu KSC. Kary finansowe

Brak uzupełnienia w terminie danych w Wykazie KSC w danych w przypadku podmiotów kluczowych i podmiotów ważnych podlegających wpisowi z urzędu, może skutkować nałożeniem na taki podmiot oraz na jego kierownika kary finansowej przez organ właściwy ds. cyberbezpieczeństwa. 

Wysokość kary pieniężnej nałożonej na podmiot:

  • w przypadku podmiotów kluczowych – nie może przekroczyć kwoty 10 mln EUR, wyrażonej w PLN lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara nie może być niższa niż 20 tys. PLN;
  • w przypadku podmiotów ważnych – nie może przekroczyć kwoty 7 mln EUR, wyrażonej w PLN lub 1,4% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara nie może być niższa niż 15 tys. PLN. 

Kara w takiej samej wysokości może zostać nałożona na podmiot, który nie dokonał samodzielnego zgłoszenia do Wykazu KSC jako niepodlegający wpisowi z urzędu lub na podmiot, który nie dokonał odpowiedniej aktualizacji danych w Wykazie KSC. 

W przypadku braku realizacji ww. obowiązków organ właściwy ds. cyberbezpieczeństwa, na kierownika podmiotu kluczowego lub podmiotu ważnego może zostać nałożona kara w kwocie maksymalnie 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. 

Więcej informacji o obowiązkach, które Ustawa KSC nakłada na podmioty kluczowe lub podmioty ważne oraz na kierowników tych podmiotów, a także przykładowe case-study w zakresie wykrywania, zgłaszania i obsługi incydentów znajdziecie Państwo w broszurze przygotowanej przez naszą kancelarię, dostępnej pod linkiem: 

Jeżeli zainteresował Państwa ten temat, uprzejmie zapraszamy do kontaktu z naszą kancelarią pod adresem mailowym info@brightspot.pl oraz numerem telefonu +48 12 311 04 42.

Zostaw odpowiedź

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

Odkryj więcej z Cyfrowy tygodnik dla operatorów

Zasubskrybuj już teraz, aby czytać dalej i uzyskać dostęp do pełnego archiwum.

Czytaj dalej