28 stycznia 2026 r. Senat bez poprawek przyjął nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), po Sejmie który uczynił to kilka dni wcześniej (23 stycznia). Jest to zwieńczenie 7 lat oczekiwania, które miało dotychczas miejsce w kontekście ustawy o KSC.
Projekt trafił do prezydenta Karola Nawrockiego – po podpisie (o ile ten istotnie nastąpi) zakładane vacatio legis powinno trwać do lipca 2026. Pełne wdrożenie ustawy ma nastąpić do 17.10.2027. Ustawa jest praktyczną implementacją dyrektywy NIS2, która to nakłada wymogi w zakresie monitorowania infrastruktury sieciowej przedsiębiorstwa oraz raportowania incydentów. Szczególny nacisk został tu położony na elementy infrastruktury krytycznej.
Implikacje dla biznesu i przemysłu:
Firmy z 18 sektorów (wskazanych w załącznikach dyrektywy) zyskują obowiązki: monitorowania infrastruktury sieciowej w trybie ciągłym, zarządzania ryzykiem cyber, posiadania planów ciągłości (BCP), wykonywania audyty i raporty incydentów (24h wstępny, 72h szczegółowy).
MŚP w łańcuchach dostaw – weryfikacja w kontraktach. Zakaz „dostawców wysokiego ryzyka”. Koszty compliance szacowane są na setki tys. zł rocznie, co może okazać się wyzwaniem dla wielu firm. Brak zastosowania się do wymogów dyrektywy NIS2/ ustawy KSC jest zagrożone karą do 10 mln EUR lub 2% obrotu (w zależności, która wartość jest wartością wyższą). Przewidziana jest również odpowiedzialność majątkowa oraz osobista po stronie członków zarządów.
Na co zwrócić uwagę:
– Przeprowadź analizę luk (gap analysis) do 2027 r.
– Dodaj klauzule cyber do umów z dostawcami.
– Wdróż szkolenia, BCP i politykę zarządzania ryzykiem oraz odpowiednie procedury bezpieczeństwa .
– Monitoruj rozporządzenia MC/KNF.
#KSC #NIS2 #Cyberbezpieczeństwo
