Nowelizacja KSC podpisana – pozostało tylko 6 miesięcy na działanie. Czy są Państwo gotowi?

Data: 23.02.2026

Masz pytania? Napisz do mnie!
Tomasz Janas

Data publikacji
23.02.2026

Prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), implementującą dyrektywę NIS2. Jednocześnie ustawa została skierowana do kontroli następczej przez Trybunał Konstytucyjny.

Co to oznacza w praktyce dla organizacji?

Kontrola następcza nie wstrzymuje obowiązków

Skierowanie ustawy do TK nie wstrzymuje jej wejścia w życie.
Vacatio legis biegnie, a nowe obowiązki będą egzekwowane zgodnie z harmonogramem.

Dla wielu organizacji właśnie rozpoczął się sześciomiesięczny okres intensywnych działań dostosowawczych.

Znaczące rozszerzenie katalogu podmiotów

Nowelizacja implementująca dyrektywę NIS2 Directive znacząco rozszerza katalog podmiotów objętych regulacją.

W praktyce oznacza to, że wiele organizacji, które dotychczas nie były formalnie objęte ustawą o KSC, może obecnie kwalifikować się jako:

podmiot kluczowy,
podmiot ważny.

Zakres branż oraz kryteria kwalifikacyjne zostały istotnie poszerzone, a próg wejścia do systemu obniżony.

Obowiązek samoidentyfikacji – odpowiedzialność po stronie organizacji

Nowelizacja wprowadza jednoznaczny obowiązek samoidentyfikacji.

To organizacja – nie organ nadzorczy – ma obowiązek:

ustalić swój status,
dokonać kwalifikacji,
złożyć wniosek o wpis do właściwego wykazu.

Brak przeprowadzenia rzetelnej samooceny nie zwalnia z odpowiedzialności.

Kluczowe ryzyka dla organizacji i zarządów

Nowe przepisy wprost wskazują na rolę organu zarządzającego w nadzorze nad zarządzaniem ryzykiem cyber.

Odpowiedzialność przestaje być wyłącznie operacyjna.
Staje się elementem ładu korporacyjnego i osobistej odpowiedzialności członków zarządu.

Brak działań w wymaganym terminie oznacza realne ryzyko:

regulacyjne (kary administracyjne),
finansowe,
reputacyjne,
kontraktowe.

Co należy zrobić w najbliższych 6 miesiącach?

Organizacje powinny niezwłocznie:

Ustalić swój status (podmiot kluczowy czy ważny).
Dokonać samoidentyfikacji i wpisu do rejestru.
Przeprowadzić analizę ryzyka ICT.
Zweryfikować łańcuchy dostaw ICT (w tym kwestie DWR).
Opracować i wdrożyć IRP / BCP / DRP.
Przygotować się do audytu zgodności.

W praktyce oznacza to konieczność przeprowadzenia kompleksowej analizy luki (gap analysis) względem nowych wymogów.

Skierowanie ustawy do TK – czy można poczekać?

Nie.

Postępowanie przed Trybunał Konstytucyjny może dotyczyć wybranych mechanizmów (np. zakresu kompetencji nadzorczych), ale nie wstrzymuje obowiązków wynikających z ustawy.

Z perspektywy praktycznej oznacza to jedno: działania należy rozpocząć już teraz.

Pytanie, które warto zadać dziś

Czy Państwa organizacja ma jednoznaczną odpowiedź, czy jest podmiotem kluczowym czy ważnym w rozumieniu nowych przepisów?

Jeżeli potrzebują Państwo wsparcia w zakresie:

ustalenia statusu,
przeprowadzenia analizy luki (gap analysis),
zaprojektowania modelu nadzoru zarządczego nad cyberbezpieczeństwem,
przygotowania do audytu zgodności,
zapraszamy do kontaktu.

Nasz ekspert – Tomasz Janas – jest do Państwa dyspozycji.

W obecnej sytuacji czas jest kluczowym czynnikiem ograniczającym ryzyko, dlatego rekomendujemy nie zwlekać z decyzją i kontaktem.

Szybki kontakt 1/3

W razie jakichkolwiek pytań lub wątpliwości - skontaktuj się z nami. Odpiszemy lub oddzwonimy po zapoznaniu się z treścią formularza.

Dalej

Wstecz Dalej

Skąd dowiedzieli się Państwo o PKF? ^*

Administratorem Pani / Pana danych osobowych jest PKF Consult sp. z o.o. sp. k., z siedzibą przy ul. Orzyckiej 6/1B, 02-695 Warszawa. Pani / Pana dane będą przetwarzane w celu kierowania do Pani / Pana treści marketingowych, w związku z wyrażoną przez Panią/Pana zgodą. Zgodę można wycofać w dowolnym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Dla celów dowodowych Administrator prosi o wycofywanie zgody drogą pisemną na adres siedziby Spółki lub elektroniczną pod adres pkfconsult@pkfpolska.pl. Więcej informacji na temat przetwarzania danych osobowych, w tym o przysługujących Pani / Panu prawach oraz o danych kontaktowych Administratora, znajduje się w naszej Polityce Prywatności.

Wyrażam zgodę na otrzymywanie od PKF Consult Sp. z o.o. Sp. k. komunikacji marketingowych obejmującej alerty prawne, publikacje merytoryczne, komunikaty prasowe, a także informującej o organizowanych przez Grupę wydarzeniach i eventach, promującej usługi oferowane przez PKF Consult Sp. z o.o. Sp. k., a także inne podmioty należące do Grupy PKF tj. PKF BPO Sadowska – Malczewska Sp. k.; PKF Tax & Legal Chamera Orczykowski Sp. k., PKF Advisory Sp. z o.o. oraz Consult Sp. z o.o. na podany przeze mnie adres poczty elektronicznej; Zgodę można wycofać w dowolnym czasie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Dla celów dowodowych Administrator prosi o wycofywanie zgody drogą pisemną na adres siedziby Spółki lub elektroniczną pod adres pkfconsult@pkfpolska.pl.

więcej

Wstecz Wyślij

Nasze usługi

Najważniejsze wiadomości

Nowelizacja KSC podpisana – pozostało tylko 6 miesięcy na działanie. Czy są Państwo gotowi?

Szybki kontakt 1/3