MC: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) – najważniejsze terminy (komunikat)

- Ministerstwo Cyfryzacji informuje:

W życie wchodzą przepisy nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). To istotna informacja dla wszystkich podmiotów objętych nowymi regulacjami. Od teraz obowiązują terminy realizacji ustawowych zobowiązań. Ministerstwo Cyfryzacji publikuje najważniejsze daty oraz informacje dla podmiotów kluczowych i ważnych.

Terminy

13 kwietnia 2026 r. – uruchomienie wykazu podmiotów kluczowych i ważnych

Tego dnia zostanie uruchomiony wykaz podmiotów kluczowych i podmiotów ważnych (Wykaz KSC), do którego wpisywane będą podmioty objęte przepisami ustawy.

13 kwietnia – 6 maja 2026 r. – wpisy z urzędu realizowane przez Ministra Cyfryzacji

W tym okresie Minister Cyfryzacji wprowadzi do wykazu z urzędu dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmioty publiczne.

7 maja – 3 października 2026 r. – samorejestracja w wykazie podmiotów kluczowych i ważnych

Podmioty, które nie są objęte wpisem do Wykazu KSC realizowanym z urzędu, podlegają wpisowi na swój wniosek.

Wykaz KSC będzie prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełnianie i składane w aplikacji Wykaz KSC w postaci elektronicznej i opatrywane podpisem elektronicznym.

12 czerwca 2026 r. – uruchomienie możliwości korzystania z systemu S46 dla nowych podmiotów

Nowelizacja ustawy o KSC wprowadza obowiązek korzystania z Systemu S46 przez podmioty kluczowe i podmioty ważne. Od tej daty podmioty mogą rozpocząć korzystanie z S46, który służy m.in. do realizacji obowiązków ustawowych, w szczególności do raportowania incydentów oraz do komunikacji z właściwymi organami w ramach krajowego systemu cyberbezpieczeństwa.

3 kwietnia 2027 r. – koniec terminu na rozpoczęcie korzystania z systemu S46 i wdrożenie obowiązków (koniec okresu dostosowawczego)

Do tego dnia podmioty, które na dzień wejścia w życie znowelizowanej ustawy o KSC spełniają przesłanki uznania za podmiot kluczowy lub podmiot ważny, mają czas na rozpoczęcie korzystania z Systemu S46 oraz wdrożenie obowiązków wynikających z ustawy.

3 kwietnia 2028 r. – pierwszy audyt SZBI (dla podmiotów kluczowych, które nie były operatorami usług kluczowych)

Tego dnia upływa termin na przeprowadzenie pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi przez podmioty kluczowe, które dotychczas nie były operatorami usług kluczowych.

Pozostałe podmioty kluczowe (dotychczasowi operatorzy usług kluczowych) przeprowadzają audyt co najmniej raz na 3 lata, licząc od dnia sporządzenia i podpisania raportu z ostatniego audytu. Oznacza to, że zachowany jest cykl audytowy. Do takich podmiotów nie stosuje się odroczenia obowiązku audytowego. Natomiast jeżeli termin audytu wypada przed 4 kwietnia 2027 r. podmiot przeprowadza audyt zgodności z wymaganiami określonymi w ustawie sprzed nowelizacji.

3 kwietnia 2028 r. – początek obowiązywania przepisów o karach

Kary pieniężne będą mogły być nakładane dopiero po 2 latach od wejścia w życie ustawy. Decyzja o nałożeniu kary pieniężnej poprzedzona będzie ostrzeżeniem i informowaniem podmiotu o wstępnych ustaleniach.

Co to oznacza w praktyce?

Podmioty objęte przepisami powinny już teraz w szczególności:

- przeanalizować, czy podlegają nowym regulacjom (na podstawie załącznika nr 1 oraz nr 2 do ustawy), - przygotować się do wpisu do wykazu podmiotów kluczowych i ważnych, - zaplanować wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), - rozpocząć działania organizacyjne i techniczne umożliwiające spełnienie wymogów ustawowych.

Nie warto odkładać działań na ostatnią chwilę

Choć część obowiązków zacznie obowiązywać później, kluczowe działania należy zaplanować już teraz. W szczególności dotyczy to identyfikacji statusu podmiotu i przygotowania do rejestracji w wykazie.

Dodatkowo

Aby ułatwić przygotowanie się do nowych obowiązków, opublikowany został pierwszy zestaw Q&A (https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-zaczyna-obowiazywac). Materiał odpowiada na najczęściej pojawiające się wątpliwości i będzie sukcesywnie rozszerzany.

UWAGA: komunikaty publikowane są w serwisie PAP bez wprowadzania przez PAP SA jakichkolwiek zmian w ich treści, w formie dostarczonej przez nadawcę. Nadawca komunikatu ponosi odpowiedzialność za jego treść – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe.(PAP)

kom/ hkdw/ amac/