W jednym zdaniu. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC) buduje polską architekturę cyberbezpieczeństwa — z trzema CSIRT poziomu krajowego, organami właściwymi i Pełnomocnikiem Rządu — a jej nowelizacja wdrażająca dyrektywę NIS2 rozszerza krąg zobowiązanych podmiotów i podnosi kary.
Ustawa o KSC to krajowy fundament, na którym opiera się wdrożenie unijnych wymogów cyberbezpieczeństwa w Polsce. Ten tekst dotyczy samej ustawy — jej struktury, organów i obowiązków — a nie dyrektywy, którą wdraża; relację z dyrektywą NIS2 i przebieg transpozycji opisuję osobno w tekście o implementacji NIS2 w Polsce. Poniżej wyjaśniam, jak zbudowany jest krajowy system, kto do niego należy i jakie obowiązki oraz kary z niego wynikają.
Najważniejsze punkty
- Podstawą jest ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
- System opiera się na trzech CSIRT poziomu krajowego: CSIRT NASK, CSIRT GOV, CSIRT MON.
- Nadzór sprawują organy właściwe ds. cyberbezpieczeństwa dla poszczególnych sektorów.
- Koordynację polityki prowadzi Pełnomocnik Rządu ds. Cyberbezpieczeństwa i Kolegium.
- Nowelizacja wdrażająca NIS2 zastępuje operatorów usług kluczowych podmiotami kluczowymi i ważnymi.
- Po nowelizacji kary rosną do poziomu NIS2 — do 10 mln EUR lub 2% obrotu dla podmiotów kluczowych.
Architektura krajowego systemu
Ustawa o KSC nie jest zbiorem obowiązków dla firm — to przede wszystkim konstrukcja instytucjonalna, która ma zapewnić spójne reagowanie na incydenty w skali państwa. Filarem systemu są trzy CSIRT poziomu krajowego, każdy odpowiadający za inny wycinek:
- CSIRT NASK — prowadzony przez NASK, obsługuje większość podmiotów, w tym samorząd i sektor prywatny spoza obszarów zastrzeżonych;
- CSIRT GOV — prowadzony przez ABW, odpowiada za administrację rządową i infrastrukturę krytyczną;
- CSIRT MON — prowadzony przez resort obrony, obejmuje sferę wojskową.
Do tego dochodzą organy właściwe do spraw cyberbezpieczeństwa — wyznaczone dla poszczególnych sektorów (energia, transport, zdrowie, bankowość i inne), które nadzorują wykonywanie obowiązków i mogą nakładać kary. Całość koordynuje Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, a strategiczne decyzje zapadają w Kolegium do Spraw Cyberbezpieczeństwa. Ta wielopoziomowa struktura odróżnia reżim KSC od RODO, gdzie nadzór skupia jeden organ — UODO; różnice obu reżimów zestawiam w tekście NIS2 vs RODO. W praktyce oznacza to, że przedsiębiorca objęty ustawą o KSC ma do czynienia z kilkoma instytucjami naraz: zgłasza incydenty do właściwego CSIRT, podlega nadzorowi organu właściwego dla swojego sektora, a w tle działają Pełnomocnik i Kolegium kształtujące politykę państwa. Zrozumienie, kto jest kim w tej strukturze, jest pierwszym warunkiem prawidłowego wypełniania obowiązków — bo błędne skierowanie zgłoszenia potrafi kosztować cenne godziny w reżimie liczonym w godzinach.
Ustawa tworzy również mechanizmy współpracy i wymiany informacji, w tym system S46 służący do przekazywania zgłoszeń i komunikacji między podmiotami krajowego systemu. Celem całej konstrukcji jest to, by informacja o zagrożeniu — nowej podatności, trwającej kampanii ataków — mogła szybko dotrzeć do podmiotów, które są na nią narażone, zanim incydent się zmaterializuje.
Kto podlega ustawie po nowelizacji NIS2
W pierwotnym brzmieniu ustawa posługiwała się pojęciami operatora usług kluczowych (wyznaczanego decyzją organu) oraz dostawcy usług cyfrowych. Nowelizacja wdrażająca dyrektywę NIS2 zmienia tę logikę: wprowadza kategorie podmiotów kluczowych i podmiotów ważnych, a przynależność do nich wynika co do zasady wprost z ustawy — z sektora i wielkości podmiotu — a nie z indywidualnej decyzji. To istotna zmiana, bo znosi wcześniejszy mechanizm “czekania na wyznaczenie” i przenosi ciężar samodzielnej oceny na przedsiębiorcę. Firma musi sama ustalić, czy mieści się w katalogu sektorów i przekracza progi wielkości, a następnie — jeśli tak — dokonać rejestracji i wdrożyć obowiązki bez czekania na jakąkolwiek decyzję organu. Bierność nie chroni: brak samodzielnej identyfikacji nie zwalnia z obowiązków ani z odpowiedzialności za ich niewykonanie.
Krąg zobowiązanych znacząco się poszerza — obejmuje więcej sektorów i więcej podmiotów niż dotychczasowy reżim operatorów usług kluczowych. Stan uchwalenia i wejścia w życie nowelizacji w 2026 r. warto zweryfikować u źródła, bo prace legislacyjne nad zmianą ustawy toczyły się z opóźnieniem względem unijnego terminu transpozycji. Szczegółową analizę tego, kto staje się podmiotem kluczowym, a kto ważnym, prowadzę w tekście o implementacji NIS2 w Polsce.
Obowiązki podmiotów w systemie KSC
Podmiot objęty ustawą realizuje kilka grup obowiązków, zbieżnych z wymogami NIS2:
| Obszar | Obowiązek |
|---|---|
| Zarządzanie ryzykiem | wdrożenie systemu zarządzania bezpieczeństwem |
| Środki techniczne | zabezpieczenia adekwatne do ryzyka |
| Obsługa incydentów | wykrywanie, rejestrowanie, reagowanie |
| Zgłaszanie | powiadamianie właściwego CSIRT w wyznaczonych terminach |
| Dokumentacja | prowadzenie dokumentacji bezpieczeństwa |
| Nadzór | poddanie się kontroli organu właściwego |
Kluczowy jest reżim zgłaszania incydentów: podmiot przekazuje wczesne ostrzeżenie i kolejne raporty do właściwego CSIRT w krótkich terminach liczonych w godzinach. Warstwa techniczna tych obowiązków jest spójna z logiką art. 32 RODO — adekwatność środków do ryzyka — choć KSC obejmuje szerszy zakres, w tym ciągłość działania i bezpieczeństwo łańcucha dostaw. Gdy incydent dotyczy jednocześnie danych osobowych, dochodzi równoległy obowiązek zgłoszenia naruszenia do UODO z art. 33. To typowa sytuacja przy ataku ransomware na podmiot z sektora krytycznego: jeden incydent uruchamia zegar wobec CSIRT i osobny zegar wobec UODO, a przeoczenie któregokolwiek z nich to samodzielne naruszenie.
Obowiązki dokumentacyjne bywają lekceważone, a to właśnie dokumentacja jest pierwszym, co sprawdza organ podczas kontroli. Podmiot musi wykazać nie tylko, że wdrożył środki, ale że robi to w sposób udokumentowany, przeglądany i aktualizowany — polityki bezpieczeństwa, analizy ryzyka, ewidencja incydentów i dowody szkoleń. System, który działa “w głowach” administratorów IT, ale nie ma odzwierciedlenia w dokumentach, jest wobec organu praktycznie niewykazywalny.
Kary i nadzór
W pierwotnym reżimie ustawa przewidywała administracyjne kary pieniężne za naruszenie obowiązków — w wysokości znacznie niższej niż w RODO. Nowelizacja wdrażająca NIS2 zaostrza sankcje, dostosowując je do pułapów dyrektywy: do 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych oraz niższych progów dla podmiotów ważnych. To skok, który realnie zmienia kalkulację ryzyka na poziomie zarządu — kara przestaje być kosztem, który łatwiej ponieść niż wdrożyć zabezpieczenia, a staje się zagrożeniem porównywalnym z sankcjami RODO.
Nowelizacja wzmacnia też odpowiedzialność kierownictwa — organ zarządzający odpowiada za wdrożenie środków zarządzania ryzykiem, a organ nadzoru dysponuje instrumentami wobec osób pełniących funkcje kierownicze. Dla porównania sankcji między reżimami warto sięgnąć do przewodnika o karach administracyjnych RODO. Uporządkowanie dokumentacji bezpieczeństwa, ewidencji incydentów i dowodów zgodności w jednym, audytowalnym systemie — zamiast w rozproszonych plikach — to obszar, w którym platformy compliance takie jak Legiscope skracają przygotowanie do kontroli organu właściwego.
FAQ
Czym różni się ustawa o KSC od dyrektywy NIS2?
NIS2 to akt unijny wyznaczający cele i minimalne wymogi, który sam w sobie nie obowiązuje przedsiębiorców bezpośrednio. Ustawa o KSC to polski akt krajowy, który te wymogi wdraża i konkretyzuje — wskazuje organy, terminy, procedury i kary. Firmy stosują przepisy ustawy o KSC, a nie dyrektywę wprost.
Który CSIRT jest właściwy dla mojej firmy?
Dla większości podmiotów prywatnych i samorządowych właściwy jest CSIRT NASK. CSIRT GOV obsługuje administrację rządową i infrastrukturę krytyczną, a CSIRT MON — sferę wojskową. Właściwość zależy od charakteru podmiotu i sektora, w którym działa, dlatego warto ustalić ją zawczasu, a nie dopiero w trakcie trwającego incydentu.
Czy nowelizacja KSC już obowiązuje?
Nowelizacja wdrażająca NIS2 była procedowana z opóźnieniem względem unijnego terminu transpozycji (17 października 2024 r.). Stan jej uchwalenia i wejścia w życie w 2026 r. należy zweryfikować u źródła, bo od tego zależy moment powstania nowych obowiązków i wyższych kar. Niezależnie od tempa prac legislacyjnych, sam kierunek zmiany jest przesądzony przez prawo unijne — organizacje z sektorów objętych NIS2 powinny przygotowywać się już teraz, nie czekając na finalne brzmienie przepisów krajowych.
Źródła: Dyrektywa NIS2 2022/2555 w EUR-Lex (CELEX 32022L2555) · Ministerstwo Cyfryzacji — gov.pl · ENISA
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial