Cześć firm objętych znowelizowaną ustawą o krajowym systemie cyberbezpieczeństwa nie zdaje sprawy z nowych obowiązków – uważają eksperci, z którymi rozmawiała PAP. Chodzi przede wszystkich o małe i mikro firmy oraz sektory, które wcześniej nie podlegały ustawie np. produkcja żywności.
Nowe sektory w krajowym systemie cyberbezpieczeństwa
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która w większości weszła w życie 3 kwietnia br., wprowadziła podział na podmioty kluczowe i ważne, a także nowe sektory, które podlegają ustawie. Chodzi m.in. o produkcję i dystrybucję żywności, czy produkcję sprzętu transportowego.
Firmy objęte znowelizowaną ustawą muszą spełnić szereg obowiązków związanych z cyberbezpieczeństwem, in tym same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego, czyli dokonać samoidentyfikacji. Jeśli odpowiedź jest pozytywna – są zobowiązane zarejestrować się w wykazie podmiotów KSC, na co mają czas do 3 października br. Jak przekazał PAP resort cyfryzacji w ciągu dwóch miesięcy od uruchomienia wpisów do wykazu z tego obowiązku wywiązało się 200 firm.
– Z mojego doświadczenia wynika, że często brak wiedzy na temat tego, że jest coś takiego jak nowelizacja UKSC, która może obowiązywać daną firmę, dotyczy branż, które do tej pory nie były objęte tą ustawą – ocenił w rozmowie z PAP radca prawny Tomasz Zalewski. Dodał, że chodzi m.in. o producentów żywności czy części samochodowych, którzy w rozmowie z nim byli zaskoczeni na wieść, że podlegają przepisom krajowego systemu cyberbezpieczeństwa.
Wyzwania samoidentyfikacji mniejszych podmiotów gospodarczych
Zdaniem ekspertki cyberebezpieczeństwa Joanny Wziątek, problem z samoidentyfikacją mogą mieć zwłaszcza małe firmy. „Z moich obserwacji wynika, że przekonanie, że skoro podmiot jest mały, to regulacja go nie dotyczy, jest dość powszechne” – przekazała w komentarzu udzielonym PAP.
Zwróciła uwagę, że według ustawy o KSC, organ właściwy do spraw cyberbezpieczeństwa może uznać za podmiot kluczowy lub ważny także taki podmiot, który jako jedyny świadczy usługę o kluczowym znaczeniu dla krytycznej działalności społecznej lub gospodarczej i jeżeli zakłócenie tej usługi mogłoby wywołać poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego albo obronności oraz jeżeli spowodowałoby ryzyko systemowe dla innych podmiotów kluczowych i ważnych, albo gdy dana usługa ma istotne znaczenie na poziomie krajowym lub wojewódzkim, lub dla dwóch lub więcej sektorów.
„Dla wielu przedsiębiorców może to być szokujące, ponieważ dotąd część z nich w ogóle nie patrzyła na swoją działalność przez pryzmat wpływu na ciągłość usług, zależności międzysektorowych ani skutków cyberincydentu dla innych uczestników rynku. W nowym modelu nie wystarczy już odpowiedzieć sobie, że firma jest mała, lokalna albo działa poza »branżą cyber«. Trzeba będzie spojrzeć szerzej i ocenić, czy przypadkiem nie jest się ogniwem łańcucha dostaw, którego awaria zatrzymuje jakiś proces gospodarczy” – zaznaczyła Wziątek.
Ryzyko zaniechania zgłoszenia a nadmierna ostrożność
Jej zdaniem, w przypadku gdy dana firma ma wątpliwości, czy podlega nowym przepisom, najlepiej zapisać się do wykazu KSC „na wyrost”, niż nie zapisać się vcale. „Podmiot wpisany do wykazu, który w rzeczywistości nie podlega ustawie, może zostać z niego wykreślony przez organ właściwy do spraw cyberbezpieczeństwa. Większym ryzykiem wydaje się zaniechanie samoidentyfikacji niż sama nadmierna ostrożność, o ile oczywiście podmiot działa w dobrej wierze i jest gotów przedstawić argumenty oraz dane uzasadniające swoją decyzję” – przekazała ekspertka.
Zwróciła też uwagę, że dla małych organizacji problemem może być nie tylko samoidentyfikacja, ale też budżet. „By dobrze zrozumieć, a następnie wdrożyć wymogi ustawy może być konieczne skorzystanie z usług specjalistów, których jest mało i których usługi są drogie. Obawiam się że mniejsze firmy, mimo obowiązku podlegania ustawie, nadal nie będą mieć ludzi, czasu ani pieniędzy, by podnieść poziom cyberbezpieczenstwa w sposób metodyczny” – oceniła ekspertka.
Metodyczne zarządzanie ryzykiem i procedury bezpieczeństwa
Radzi więc, by firma z niewielkim budżetem ocenił tzw. apetyt na ryzyko, czyli odpowiedziała sobie na pytanie, jakie ryzyko jest w stanie zaakceptować, a jakie musi ograniczyć bezwzględnie. „Organizacja musi znać swoje aktywa, ryzyka i zagrożenia, dobrać adekwatne środki techniczne i organizacyjne ograniczające ryzyko oraz mieć wdrożone, przetestowane i realnie stosowane procedury zarządzania incydentami. Należy podkreślić, że sama kupiona dokumentacja, podpisana przez zarząd i schowana do segregatora z napisem »UKSC«, nie zapewnia cyberbezpieczeństwa” – zaznaczyła Wziątek.
Według ekspertki małe firmy powinny zacząć od trzech rzeczy: spokojnej samoidentyfikacji, mapy procesów krytycznych oraz sprawdzenia, od których systemów i dostawców faktycznie zależy ciągłość działania.
Resort cyfryzacji pytany przez PAP, jak dociera do firm, które podlegają nowym przepisom, a mogą o tym nie wiedzieć, przekazał, że robi to przez działania informacyjne, tj. publikowanie w internecie komunikatów czy materiałów Q&A. Ministerstwo Cyfryzacji organizuje też „liczne wydarzenia, w trakcie których przekazywana jest wiedza dotycząca obowiązków wynikających z nowych regulacji oraz zasad samoidentyfikacji podmiotów” – dodano.
– Dobrze byłoby, gdyby Ministerstwo Cyfryzacji rozpoczęło jakąś szerszą kampanię nakierowaną na konkretne branże, które wcześniej nie podegały ustawie o KSC. Dobrze byłoby docierać do firm z tych sektorów poprzez izby handlowe czy organizacje branżowe. Myślę, że to jest najlepszy sposób na to, żeby wszyscy zainteresowani się dowiedzieli o nowych regulacjach – ocenił w rozmowie z PAP Tomasz Zalewski.
Wdrożenie dyrektywy NIS 2 oraz harmonogram kar finansowych
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrożyła w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, in tym m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Do nowych obowiązków należy również wdrożenie środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka. Nowela zakłada także, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46.
Nowymi przepisami objętych jest część podmiotów publicznych, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze i Polska Agencja Prasowa.
Podmioty kluczowe i ważne mają czas na dostosowanie się do nowych przepisów do 3 kwietnia 2027. Za niewywiązanie się z nowych obowiązków przedsiębiorcom grożą kary finansowe, które będą mogły być nakładane od 3 kwietnia 2028 r.
![]()
🔍 Do kiedy firmy muszą zarejestrować się w wykazie podmiotów KSC?
Przedsiębiorcy, którzy w ramach samoidentyfikacji uznają, że spełniają kryteria podmiotu kluczowego lub ważnego, mają obowiązek zarejestrować się w wykazie KSC do 3 października br.
🔍 Jakie nowe sektory zostały objęte ustawą o KSC?
Nowelizacja rozszerzyła katalog podmiotów m.in. o sektory, które wcześniej nie podlegały tym przepisom, takie jak produkcja i dystrybucja żywności oraz produkcja sprzętu transportowego.
🔍 Jaki jest ostateczny termin na dostosowanie się do nowych przepisów i kiedy wejdą kary?
Podmioty kluczowe i ważne mają czas na pełne dostosowanie procedur do 3 kwietnia 2027 r. Z kolei administracyjne kary finansowe za niewywiązanie się z obowiązków będą nakładane od 3 kwietnia 2028 r.
![ad1a KGO kompleksowa 2026 [17.06.-02.09.26]](https://portalkomunalny.pl/wp-content/uploads/2026/06/baner_kgo_2026_abrys1320-x-250-px-1.png?pas=15862786482607131052)
depositphotos ![AD1B FORUM RECYKLINGU 2026 [01.07-27.10.26]](https://portalkomunalny.pl/wp-content/uploads/2026/07/forum-recyklingu-2026-1320-x-250-px.png?pas=6274102772607131052)
![ad1c abrys wydarzenia [od 03.03.25]](https://portalkomunalny.pl/wp-content/uploads/2025/03/wydarzenia.abrys_.pl-320-x-520-px.png?pas=16299279032607131052)












![ad2 KGO kompleksowa 2026 [02.06.-02.09.26]](https://portalkomunalny.pl/wp-content/uploads/2026/06/baner_kgo_2026_abrys1320-x-250-px.png?pas=21245354862607131052)
![ad1d odpady z kanalizacji webinar [22.06-14.07.26]](https://portalkomunalny.pl/wp-content/uploads/2026/06/odpady-z-kanalizacji-1320-x-250-px.jpg?pas=16933610562607131052)











Komentarze (0)