1. Zmiany – od kiedy?
Ostatnia nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa istotnie zmienia sposób obejmowania przedsiębiorców obowiązkami z obszaru cyberbezpieczeństwa. Nowelizacja wdraża dyrektywę NIS2 i obejmuje regulacjami m.in. podmioty kluczowe oraz podmioty ważne. Ustawa weszła w życie 3 kwietnia 2026 r., a istotne obowiązki należy wykonać już teraz.
Ustawowy model krajowego systemu cyberbezpieczeństwa przewiduje wyodrębnienie dwóch istotnych grup podmiotów – podmiotów kluczowych oraz ważnych. Dla każdej z tych kategorii przewidziano specyficzne obowiązki.
2. Samoidentyfikacja
Jedną z najważniejszych zmian jest obowiązek samoidentyfikacji. W praktyce oznacza to, że organizacja musi samodzielnie ocenić, czy spełnia kryteria uznania jej za podmiot kluczowy lub ważny, a następnie — jeżeli podlega ustawie — dokonać wpisu do Wykazu KSC (System S46. Analiza powinna obejmować w szczególności profil działalności oraz wielkość podmiotu.
To szczególnie istotne dla firm działających w sektorach objętych regulacją, w tym m.in. dla dostawców usług IT, podmiotów leczniczych czy producentów żywności. Brak samodzielnej weryfikacji statusu może oznaczać nie tylko konieczność późniejszego wdrożenia obowiązków pod presją czasu, ale również ryzyko sankcji administracyjnych. Dla podmiotów, które w dniu 3 kwietnia 2026 r. spełniały przesłanki uznania ich za podmiot kluczowy lub ważny, obowiązek wpisu do S26 (o ile nie nastąpił z urzędu), powinien być dopełniony do dnia 3 października 2026 r.
Zachęcamy do przeprowadzenia samoidentyfikacji. Jeśli potrzebują Państwo pomocy w tym
zakresie, zapraszamy do kontaktu — pomożemy przeprowadzić samoidentyfikację, ocenić
obowiązki i przygotować organizację do wpisu do Wykazu KSC.
