Ministerstwo Cyfryzacji: nowelizacja KSC obejmie swoim zasięgiem ok. 38 tys. podmiotów

Ministerstwo Cyfryzacji szacuje, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa obejmie swoim zasięgiem około 38 tysięcy podmiotów, w tym aż 27 tysięcy jednostek publicznych. Nowe przepisy wprowadzają rygorystyczne wymogi ochrony danych oraz dotkliwe kary finansowe za brak ich przestrzegania.

Nowy podział i obowiązki dla biznesu oraz administracji

Reformacja przepisów zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych nową klasyfikacją: podmioty kluczowe oraz ważne. Zmiana ta dotyczy szerokiego spektrum branż, od energetyki i transportu, przez bankowość, aż po produkcję żywności czy wyrobów medycznych. Każda z tych organizacji jest teraz zobligowana do wdrożenia konkretnych rozwiązań technicznych i organizacyjnych, które zagwarantują bezpieczeństwo posiadanej infrastruktury oraz przetwarzanych informacji.

Czas na wdrożenie i proces rejestracji w wykazie KSC

Podmioty objęte ustawą, która weszła w życie 3 kwietnia 2026 roku, mają dokładnie dwanaście miesięcy na dostosowanie swoich systemów do nowych standardów. Resort cyfryzacji rozpoczął już proces wpisywania części organizacji do oficjalnego Wykazu KSC z urzędu, co dotyczy głównie dotychczasowych operatorów i sektora publicznego. Pozostałe firmy, które spełniają kryteria określone w załącznikach do ustawy, będą mogły dokonać samorejestracji za pośrednictwem dedykowanego systemu od 7 maja 2026 roku.

Milionowe kary i odpowiedzialność zarządów

Niedopełnienie obowiązków wynikających z znowelizowanych przepisów wiąże się z bardzo wysokimi sankcjami finansowymi, które mogą sięgać nawet 10 milionów euro lub 2 procent rocznych przychodów w przypadku podmiotów kluczowych. Dla organizacji zakwalifikowanych jako ważne, ustawodawca przewidział kary do 7 milionów euro. Co istotne, nowelizacja kładzie nacisk na osobistą odpowiedzialność kadry zarządzającej, co ma zmobilizować zarządy do priorytetowego traktowania kwestii odporności cyfrowej. Ministerstwo zapowiada również publikację szczegółowych wymogów dotyczących Systemów Zarządzania Bezpieczeństwem Informacji, co ma ułatwić firmom proces dostosowawczy.