1. Istotne terminy
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa oznacza dla podmiotów kluczowych i ważnych nie tylko obowiązek wpisu do Wykazu KSC, ale również konieczność realnego dostosowania organizacji do nowych wymogów. Podmioty, które 3 kwietnia 2026 r. spełniały kryteria uznania za podmiot kluczowy lub ważny, mają czas do 3 kwietnia 2027 r. na wdrożenie obowiązków z zakresu systemu zarządzania bezpieczeństwem informacji.
2. Obowiązki formalne
Ustawa wymaga podejścia systemowego: analizy ryzyk, wdrożenia odpowiednich środków organizacyjnych i technicznych, uporządkowania zasad reagowania na incydenty oraz zapewnienia zgodności procesów wewnętrznych z nowymi wymaganiami. Wykaz KSC ma służyć m.in. identyfikacji podmiotów kluczowych i ważnych, wymianie informacji o cyberbezpieczeństwie oraz czynnościom nadzorczym organów właściwych.
W praktyce oznacza to konieczność audytu obecnie funkcjonujących w organizacji procedur i polityk, a także przyjętego sposobu działania – w tym podziału odpowiedzialności i sposobu zarządzania incydentami. Dobrze zaprojektowane wdrożenie nie powinno paraliżować biznesu, lecz wzmacniać jego odporność.
Pomagamy w przełożeniu nowych obowiązków na konkretne działania: od przeglądu procesów i umów, przez ocenę dostawców, po przygotowanie dokumentacji i zasad reagowania na incydenty. Jesteśmy do dyspozycji, jeśli chcą Państwo wdrożyć nowe przepisy bez zbędnego chaosu.
