Cyberbezpieczeństwo

Ustawa o KSC: krajowy system cyberbezpieczeństwa

Ustawa o KSC — architektura krajowego systemu cyberbezpieczeństwa, CSIRT NASK/GOV/MON, podmioty kluczowe i ważne, obowiązki i kary po nowelizacji NIS2.

W jednym zdaniu. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC) buduje polską architekturę cyberbezpieczeństwa — z trzema CSIRT poziomu krajowego, organami właściwymi i Pełnomocnikiem Rządu — a jej nowelizacja wdrażająca dyrektywę NIS2 rozszerza krąg zobowiązanych podmiotów i podnosi kary.

Ustawa o KSC to krajowy fundament, na którym opiera się wdrożenie unijnych wymogów cyberbezpieczeństwa w Polsce. Ten tekst dotyczy samej ustawy — jej struktury, organów i obowiązków — a nie dyrektywy, którą wdraża; relację z dyrektywą NIS2 i przebieg transpozycji opisuję osobno w tekście o implementacji NIS2 w Polsce. Poniżej wyjaśniam, jak zbudowany jest krajowy system, kto do niego należy i jakie obowiązki oraz kary z niego wynikają.

Najważniejsze punkty

  • Podstawą jest ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
  • System opiera się na trzech CSIRT poziomu krajowego: CSIRT NASK, CSIRT GOV, CSIRT MON.
  • Nadzór sprawują organy właściwe ds. cyberbezpieczeństwa dla poszczególnych sektorów.
  • Koordynację polityki prowadzi Pełnomocnik Rządu ds. Cyberbezpieczeństwa i Kolegium.
  • Nowelizacja wdrażająca NIS2 zastępuje operatorów usług kluczowych podmiotami kluczowymi i ważnymi.
  • Po nowelizacji kary rosną do poziomu NIS2 — do 10 mln EUR lub 2% obrotu dla podmiotów kluczowych.

Architektura krajowego systemu

Ustawa o KSC nie jest zbiorem obowiązków dla firm — to przede wszystkim konstrukcja instytucjonalna, która ma zapewnić spójne reagowanie na incydenty w skali państwa. Filarem systemu są trzy CSIRT poziomu krajowego, każdy odpowiadający za inny wycinek:

  • CSIRT NASK — prowadzony przez NASK, obsługuje większość podmiotów, w tym samorząd i sektor prywatny spoza obszarów zastrzeżonych;
  • CSIRT GOV — prowadzony przez ABW, odpowiada za administrację rządową i infrastrukturę krytyczną;
  • CSIRT MON — prowadzony przez resort obrony, obejmuje sferę wojskową.

Do tego dochodzą organy właściwe do spraw cyberbezpieczeństwa — wyznaczone dla poszczególnych sektorów (energia, transport, zdrowie, bankowość i inne), które nadzorują wykonywanie obowiązków i mogą nakładać kary. Całość koordynuje Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, a strategiczne decyzje zapadają w Kolegium do Spraw Cyberbezpieczeństwa. Ta wielopoziomowa struktura odróżnia reżim KSC od RODO, gdzie nadzór skupia jeden organ — UODO; różnice obu reżimów zestawiam w tekście NIS2 vs RODO. W praktyce oznacza to, że przedsiębiorca objęty ustawą o KSC ma do czynienia z kilkoma instytucjami naraz: zgłasza incydenty do właściwego CSIRT, podlega nadzorowi organu właściwego dla swojego sektora, a w tle działają Pełnomocnik i Kolegium kształtujące politykę państwa. Zrozumienie, kto jest kim w tej strukturze, jest pierwszym warunkiem prawidłowego wypełniania obowiązków — bo błędne skierowanie zgłoszenia potrafi kosztować cenne godziny w reżimie liczonym w godzinach.

Ustawa tworzy również mechanizmy współpracy i wymiany informacji, w tym system S46 służący do przekazywania zgłoszeń i komunikacji między podmiotami krajowego systemu. Celem całej konstrukcji jest to, by informacja o zagrożeniu — nowej podatności, trwającej kampanii ataków — mogła szybko dotrzeć do podmiotów, które są na nią narażone, zanim incydent się zmaterializuje.

Kto podlega ustawie po nowelizacji NIS2

W pierwotnym brzmieniu ustawa posługiwała się pojęciami operatora usług kluczowych (wyznaczanego decyzją organu) oraz dostawcy usług cyfrowych. Nowelizacja wdrażająca dyrektywę NIS2 zmienia tę logikę: wprowadza kategorie podmiotów kluczowych i podmiotów ważnych, a przynależność do nich wynika co do zasady wprost z ustawy — z sektora i wielkości podmiotu — a nie z indywidualnej decyzji. To istotna zmiana, bo znosi wcześniejszy mechanizm “czekania na wyznaczenie” i przenosi ciężar samodzielnej oceny na przedsiębiorcę. Firma musi sama ustalić, czy mieści się w katalogu sektorów i przekracza progi wielkości, a następnie — jeśli tak — dokonać rejestracji i wdrożyć obowiązki bez czekania na jakąkolwiek decyzję organu. Bierność nie chroni: brak samodzielnej identyfikacji nie zwalnia z obowiązków ani z odpowiedzialności za ich niewykonanie.

Krąg zobowiązanych znacząco się poszerza — obejmuje więcej sektorów i więcej podmiotów niż dotychczasowy reżim operatorów usług kluczowych. Stan uchwalenia i wejścia w życie nowelizacji w 2026 r. warto zweryfikować u źródła, bo prace legislacyjne nad zmianą ustawy toczyły się z opóźnieniem względem unijnego terminu transpozycji. Szczegółową analizę tego, kto staje się podmiotem kluczowym, a kto ważnym, prowadzę w tekście o implementacji NIS2 w Polsce.

Obowiązki podmiotów w systemie KSC

Podmiot objęty ustawą realizuje kilka grup obowiązków, zbieżnych z wymogami NIS2:

Obszar Obowiązek
Zarządzanie ryzykiem wdrożenie systemu zarządzania bezpieczeństwem
Środki techniczne zabezpieczenia adekwatne do ryzyka
Obsługa incydentów wykrywanie, rejestrowanie, reagowanie
Zgłaszanie powiadamianie właściwego CSIRT w wyznaczonych terminach
Dokumentacja prowadzenie dokumentacji bezpieczeństwa
Nadzór poddanie się kontroli organu właściwego

Kluczowy jest reżim zgłaszania incydentów: podmiot przekazuje wczesne ostrzeżenie i kolejne raporty do właściwego CSIRT w krótkich terminach liczonych w godzinach. Warstwa techniczna tych obowiązków jest spójna z logiką art. 32 RODO — adekwatność środków do ryzyka — choć KSC obejmuje szerszy zakres, w tym ciągłość działania i bezpieczeństwo łańcucha dostaw. Gdy incydent dotyczy jednocześnie danych osobowych, dochodzi równoległy obowiązek zgłoszenia naruszenia do UODO z art. 33. To typowa sytuacja przy ataku ransomware na podmiot z sektora krytycznego: jeden incydent uruchamia zegar wobec CSIRT i osobny zegar wobec UODO, a przeoczenie któregokolwiek z nich to samodzielne naruszenie.

Obowiązki dokumentacyjne bywają lekceważone, a to właśnie dokumentacja jest pierwszym, co sprawdza organ podczas kontroli. Podmiot musi wykazać nie tylko, że wdrożył środki, ale że robi to w sposób udokumentowany, przeglądany i aktualizowany — polityki bezpieczeństwa, analizy ryzyka, ewidencja incydentów i dowody szkoleń. System, który działa “w głowach” administratorów IT, ale nie ma odzwierciedlenia w dokumentach, jest wobec organu praktycznie niewykazywalny.

Kary i nadzór

W pierwotnym reżimie ustawa przewidywała administracyjne kary pieniężne za naruszenie obowiązków — w wysokości znacznie niższej niż w RODO. Nowelizacja wdrażająca NIS2 zaostrza sankcje, dostosowując je do pułapów dyrektywy: do 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych oraz niższych progów dla podmiotów ważnych. To skok, który realnie zmienia kalkulację ryzyka na poziomie zarządu — kara przestaje być kosztem, który łatwiej ponieść niż wdrożyć zabezpieczenia, a staje się zagrożeniem porównywalnym z sankcjami RODO.

Nowelizacja wzmacnia też odpowiedzialność kierownictwa — organ zarządzający odpowiada za wdrożenie środków zarządzania ryzykiem, a organ nadzoru dysponuje instrumentami wobec osób pełniących funkcje kierownicze. Dla porównania sankcji między reżimami warto sięgnąć do przewodnika o karach administracyjnych RODO. Uporządkowanie dokumentacji bezpieczeństwa, ewidencji incydentów i dowodów zgodności w jednym, audytowalnym systemie — zamiast w rozproszonych plikach — to obszar, w którym platformy compliance takie jak Legiscope skracają przygotowanie do kontroli organu właściwego.

FAQ

Czym różni się ustawa o KSC od dyrektywy NIS2?

NIS2 to akt unijny wyznaczający cele i minimalne wymogi, który sam w sobie nie obowiązuje przedsiębiorców bezpośrednio. Ustawa o KSC to polski akt krajowy, który te wymogi wdraża i konkretyzuje — wskazuje organy, terminy, procedury i kary. Firmy stosują przepisy ustawy o KSC, a nie dyrektywę wprost.

Który CSIRT jest właściwy dla mojej firmy?

Dla większości podmiotów prywatnych i samorządowych właściwy jest CSIRT NASK. CSIRT GOV obsługuje administrację rządową i infrastrukturę krytyczną, a CSIRT MON — sferę wojskową. Właściwość zależy od charakteru podmiotu i sektora, w którym działa, dlatego warto ustalić ją zawczasu, a nie dopiero w trakcie trwającego incydentu.

Czy nowelizacja KSC już obowiązuje?

Nowelizacja wdrażająca NIS2 była procedowana z opóźnieniem względem unijnego terminu transpozycji (17 października 2024 r.). Stan jej uchwalenia i wejścia w życie w 2026 r. należy zweryfikować u źródła, bo od tego zależy moment powstania nowych obowiązków i wyższych kar. Niezależnie od tempa prac legislacyjnych, sam kierunek zmiany jest przesądzony przez prawo unijne — organizacje z sektorów objętych NIS2 powinny przygotowywać się już teraz, nie czekając na finalne brzmienie przepisów krajowych.


Źródła: Dyrektywa NIS2 2022/2555 w EUR-Lex (CELEX 32022L2555) · Ministerstwo Cyfryzacji — gov.pl · ENISA

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →