KSC 2.0 — kalendarz obowiązków na 2026 i 2027

Trzy daty, które zmienią cyberbezpieczeństwo w Polsce

3 kwietnia 2026 roku ustawa KSC 2.0 weszła w życie. Nie jest to kolejna dyrektywa, która czeka na wdrożenie. To jest polskie prawo, z polskimi karami i polskimi terminami.

Problem w tym, że terminów jest kilka i mają różne konsekwencje. Jedne dotyczą rejestracji. Inne dokumentacji. Jeszcze inne audytów. A odpowiedzialność osobista zarządu? Ta obowiązuje od dnia zero.

Poniżej — konkretny kalendarz. Bez „należy rozważyć" i „warto zaplanować". Daty, obowiązki, konsekwencje.

Oś czasu KSC 2.0 — pełna mapa

Źródło: Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252).

Kwartał po kwartale — co robić

Q2 2026 (kwiecień–czerwiec): samoidentyfikacja i plan

Ustawa właśnie weszła w życie. Zegar tyka.

Pierwsza rzecz do zrobienia nie wymaga budżetu ani konsultanta. Wymaga odpowiedzi na trzy pytania: W jakim sektorze działam? Ilu mam pracowników? Jaki mam obrót?

Jeśli firma działa w jednym z 10 sektorów kluczowych (energetyka, transport, bankowość, zdrowie, woda, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna, rynki finansowe, zarządzanie usługami ICT) i zatrudnia 250+ osób lub ma obrót powyżej 50 mln EUR — jest podmiotem kluczowym.

Jeśli działa w jednym z 9 sektorów ważnych (usługi pocztowe, odpady, chemikalia, żywność, produkcja, usługi cyfrowe, badania naukowe, podmioty publiczne, energetyka jądrowa) i zatrudnia 50+ osób lub ma obrót powyżej 10 mln EUR — jest podmiotem ważnym.

Jest jeszcze trzecia kategoria, o której mało kto mówi. Dostawcy podmiotów kluczowych i ważnych nie muszą się rejestrować, ale ich kontrahenci będą od nich wymagać spełnienia standardów bezpieczeństwa. Software house z 30 osobami, który pisze system dla szpitala? NIS2 go nie obejmuje wprost, ale szpital zapuka z wymaganiami wynikającymi z ustawy.

Co zrobić w tym kwartale:

Przeprowadzić samoidentyfikację. Porównać kody PKD z załącznikami I i II ustawy. Sprawdzić progi wielkości. Powołać osobę odpowiedzialną za proces rejestracji.

I najważniejsze: zarząd powinien odbyć szkolenie z cyberbezpieczeństwa. Obowiązek szkolenia kierownika podmiotu obowiązuje od dnia wejścia ustawy. Nie od dnia rejestracji. Nie od dnia audytu. Od dnia zero.

Q3 2026 (lipiec–wrzesień): rejestracja i gap analysis

Termin rejestracji to 3 października 2026. Ale rejestracja to nie jest jednorazowe kliknięcie „zapisz się". Wykaz wymaga podania konkretnych danych: nazwa, NIP, sektor, podsektor, dane kierownika, dane dwóch osób kontaktowych dostępnych 24/7 dla CSIRT, adres do doręczeń elektronicznych.

Dwie osoby kontaktowe dostępne 24/7. To wymóg, który zaskakuje wiele firm. Nie chodzi o dyrektora, który odbierze telefon w godzinach pracy. Chodzi o kogoś, kto w sobotę o 3 w nocy odbierze telefon od CSIRT NASK i będzie wiedział, co robić.

Z naszych doświadczeń wynika, że wiele firm dopiero na tym etapie uświadamia sobie, że potrzebuje zewnętrznego wsparcia operacyjnego. Utrzymanie dwóch osób z kompetencjami bezpieczeństwa w trybie 24/7 to koszt, którego firma z 80 pracownikami raczej nie udźwignie samodzielnie.

Równolegle z rejestracją warto przeprowadzić gap analysis — porównanie aktualnego stanu bezpieczeństwa z wymaganiami art. 8 ustawy KSC 2.0. Ustawa wymaga wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującego: politykę bezpieczeństwa, procedury zarządzania ryzykiem, zarządzanie incydentami, bezpieczeństwo łańcucha dostaw, szkolenia personelu i bezpieczeństwo sprzętu i oprogramowania.

Gap analysis pokaże, ile z tego już macie, a ile trzeba zbudować. Lepiej wiedzieć to we wrześniu niż w marcu.

Q4 2026 (październik–grudzień): dokumentacja i wdrożenie SZBI

Rejestracja za wami. Teraz zaczyna się właściwa praca.

SZBI to nie jeden dokument. To system — zestaw polityk, procedur i mechanizmów, które muszą ze sobą współgrać. Ustawa daje na to 12 miesięcy od wejścia w życie, czyli do 3 kwietnia 2027.

Warto zacząć od dokumentów, które wymagają zatwierdzenia przez kierownika podmiotu — bo ustawa mówi wprost, że to kierownik osobiscie odpowiada za cyberbezpieczeństwo i że nie może delegować tej odpowiedzialności na inne osoby. Polityka bezpieczeństwa informacji musi być zatwierdzona przez zarząd. Metodyka analizy ryzyka musi być zatwierdzona przez zarząd. Plan ciągłości działania musi być zatwierdzona przez zarząd.

Dokumentujcie te zatwierdzenia. Uchwała zarządu z datą, podpisami, zakresem. Jeśli dojdzie do kontroli, ta uchwała jest dowodem, że zarząd wykonał swój obowiązek.

Równolegle warto uruchomić wdrożenie techniczne — MFA na dostępie administracyjnym i zdalnym, centralne zbieranie logów, backup z kopią niemodyfikowalną. To nie jest lista życzeń. To są wymagania, które audytor będzie weryfikował.

Q1–Q2 2027 (styczeń–czerwiec): dopracowanie i podłączenie do S46

Termin podłączenia do systemu S46 — scentralizowanego systemu NASK-PIB do zgłaszania incydentów i wymiany informacji o zagrożeniach — to 3 kwietnia 2027.

S46 to nie jest formalność. To narzędzie, przez które podmiot zgłasza incydenty poważne do właściwego CSIRT. Wczesne ostrzeżenie w 24 godziny od wykrycia. Pełne zgłoszenie w 72 godziny. Sprawozdanie końcowe w miesiąc.

Żeby dotrzymać tych terminów, firma musi mieć realną zdolność wykrywania incydentów. Nie „ktoś przejrzy logi rano". Monitoring, detekcja, procedura eskalacji. Jeśli nikt nie monitoruje środowiska w nocy, nikt nie wykryje incydentu o 3 w nocy, i 24-godzinny zegar nie zacznie tykać od momentu wykrycia — ale od momentu, kiedy incydent „powinien być wykryty przy należytej staranności".

Tu warto być uczciwy: to jest obszar, gdzie wiele firm będzie potrzebować zewnętrznego SOC. Nie dlatego, że nie mają kompetencji. Ale dlatego, że monitoring 24/7 siłami wewnętrznymi kosztuje 3-4 etaty analityków plus infrastrukturę SIEM. Dla firmy z 80 pracownikami to nie jest racjonalna alokacja zasobów.

Q3–Q4 2027: testy i doskonalenie

SZBI wdrożony, S46 podłączony, dokumentacja zatwierdzona. Teraz przychodzi czas na weryfikację, czy to wszystko działa.

Ćwiczenia tabletop — symulacja incydentu na papierze, bez uruchamiania realnych systemów. Scenariusz: ransomware w piątek o 22:00. Kto odbiera telefon? Kto decyduje o izolacji? Kto pisze zgłoszenie do CSIRT? Ile czasu mija od wykrycia do wczesnego ostrzeżenia?

Z naszych doświadczeń wynika, że pierwsze ćwiczenie tabletop ujawnia luki, których nikt nie przewidział. Procedura mówi „eskaluj do dyrektora IT", ale dyrektor IT jest na urlopie i nikt nie wie, kto go zastępuje. Albo procedura mówi „wyślij wczesne ostrzeżenie do CSIRT", ale nikt nie próbował tego zrobić przez S46 i nie wie, gdzie się logować.

Lepiej odkryć to na ćwiczeniu niż na realnym incydencie.

2028: audyt i pełne kary

3 kwietnia 2028 — dwa lata od wejścia ustawy. Dwa wydarzenia jednocześnie.

Pierwsze: podmioty kluczowe muszą przeprowadzić pierwszy audyt bezpieczeństwa. Audyt musi objąć cały system informacyjny, nie tylko część związaną z usługą. Przeprowadzają go co najmniej 2 audytorzy z certyfikatami (CISA, CISSP, ISO 27001 Lead Auditor i inne z listy ustawowej) lub jednostka oceniająca zgodność. Audytor nie może być osobą, która wdrażała SZBI w tym podmiocie — ani w ciągu roku przed audytem.

Podmioty ważne nie mają obowiązku cyklicznego audytu. Ale mogą zostać poddane audytowi ad hoc przez organ właściwy — jednak wyłącznie ex post, po stwierdzeniu naruszenia.

Drugie: kończy się moratorium na kary administracyjne. Od tego dnia organ właściwy może nałożyć pełne kary: do 10 mln EUR lub 2% obrotu dla podmiotów kluczowych, do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych. Minimalna kara: 20 000 zł (kluczowe) lub 15 000 zł (ważne). Kary dzienne za niewykonanie decyzji: od 500 do 100 000 zł.

Jest jeszcze kara ekstraordynaryjna — do 100 mln zł — ale ta dotyczy poważnych naruszeń zagrażających obronności, bezpieczeństwu państwa, życiu lub zdrowiu ludzi. To nie scenariusz dla typowej firmy produkcyjnej, ale warto o nim wiedzieć.

Pułapka moratorium

Wiele firm patrzy na datę 3 kwietnia 2028 i myśli: „mamy dwa lata spokoju".

To niebezpieczne uproszczenie. Moratorium odracza wyłącznie kary administracyjne nakładane na organizację. Nie odracza:

• Odpowiedzialności osobistej kierownika podmiotu (kara do 300% wynagrodzenia w sektorze prywatnym, do 100% w publicznym)
• Obowiązku rejestracji w wykazie
• Obowiązku wdrożenia SZBI
• Obowiązku zgłaszania incydentów poważnych
• Obowiązku wyznaczenia dwóch osób kontaktowych dostępnych 24/7

Kierownik podmiotu, który 3 kwietnia 2026 roku nie rozpoczął procesu wdrożenia, od tego dnia ponosi odpowiedzialność osobistą. Jeśli w sierpniu 2026 dojdzie do incydentu, a zarząd nie wdrożył nawet podstawowych środków zarządzania ryzykiem — moratorium nie pomoże.

Procedura przed karą — to nie jest wyrok z zaskoczenia

Warto wiedzieć, że ustawa przewiduje procedurę przed nałożeniem kary. Organ właściwy najpierw ostrzega — wysyła pismo z terminem naprawy. Podmiot ma 7 dni na przedstawienie stanowiska. Organ może odstąpić od kary, jeśli waga naruszenia jest znikoma lub podmiot naprawił wyrządzoną szkodę.

To oznacza, że firmy, które podejmą działania — nawet z opóźnieniem — mają lepszą pozycję niż firmy, które nie zrobiły nic. Częściowa zgodność jest lepsza niż żadna zgodność. A udokumentowany plan wdrożenia jest lepszy niż brak planu.

Co robić teraz

Jeśli czytasz ten artykuł w Q2 2026, masz 5 miesięcy do terminu rejestracji. To wystarczająco dużo czasu, żeby przeprowadzić samoidentyfikację, przeprowadzić gap analysis i zacząć budować SZBI.

Jeśli czytasz go później — nie odkładaj. Ustawa przewiduje procedurę naprawczą, ale im dłużej czekasz, tym więcej rzeczy musisz zrobić jednocześnie, tym wyższe ryzyko błędów i tym trudniej udowodnić „należytą staranność" przed organem nadzorczym.

Trzy rzeczy, które zarząd powinien zrobić w tym tygodniu:

Jedna — ustalić, czy firma podlega pod KSC 2.0. Porównać kody PKD z załącznikami ustawy, sprawdzić progi wielkości. Szczegóły opisaliśmy w artykule o tym, kogo dotyczą nowe przepisy.

Dwa — wyznaczyć osobę odpowiedzialną za proces. Nie „powołać komitet". Jedną osobę, z mandatem zarządu i dostępem do budżetu.

Trzy — zarezerwować termin szkolenia dla zarządu. Obowiązek jest formalny i obowiązuje od dnia wejścia ustawy. Im szybciej zarząd go spełni, tym szybciej znika jedno z ryzyk odpowiedzialności osobistej.

Reszta — gap analysis, dokumentacja, wdrożenie techniczne, rejestracja — to kwestia kolejnych tygodni i miesięcy. Ale te trzy rzeczy można zrobić w tym tygodniu.

Źródła

• Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o KSC (Dz.U. 2026 poz. 252) — pełny tekst nowelizacji
• Q&A Ministerstwa Cyfryzacji — nowelizacja KSC — pytania i odpowiedzi, interpretacje przepisów
• Dyrektywa NIS2 — pełny tekst (EUR-Lex) — dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555