Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – jak wdrożyć nowe obowiązki?

Wejście w życie ustawy z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej jako: „Ustawa”) oznacza dla wielu przedsiębiorców konieczność podjęcia w najbliższych miesiącach szeregu działań mających na celu dostosowanie organizacji do nowych wymogów w zakresie cyberbezpieczeństwa.

Poniżej prezentujemy najważniejsze zagadnienia, które powinny zostać przeanalizowane przez podmioty objęte regulacjami Ustawy. Przede wszystkim jest to istotny temat dla członków zarządu, wspólników spółek osobowych oraz dla przedsiębiorców prowadzących jednoosobową działalność gospodarczą, w ramach podmiotów, które można sklasyfikować jako podmioty kluczowe lub ważne.

Na końcu artykułu zamieściliśmy również praktyczną instrukcję krok po kroku, wskazującą działania, które należy podjąć lub rozważyć w celu zapewnienia zgodność z nowymi przepisami.

Wpis do rejestru

O tym w jaki sposób ustalić, czy dany podmiot jest podmiotem kluczowym lub ważnym, na który Ustawa nakłada obowiązki z zakresu cyberbezpieczeństwa informowaliśmy już w poprzednim artykule.

NIS 2 – Kogo obejmą nowe obowiązki z zakresu cyberbezpieczeństwa?

Jeżeli przedsiębiorca stwierdzi, że spełnia kryteria  uznania za podmiot kluczowy lub ważny, powinien podjąć działania zmierzające do dokonania stosownego wpisu do właściwego wykazu.

Podmioty, które spełniają kryteria uznania za podmiot kluczowy lub ważny już w dniu wejścia w życie Ustawy, są zobowiązane do dokonania wpisu do dnia 3 października 2026 roku. Natomiast podmioty, które zaczną spełniać kryteria uznania za podmiot kluczowy lub ważny już po wejściu Ustawy w życie powinny dokonać wpisu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.

Link, pod którym można dokonać wpisu do wykazu to: https://wykaz-ksc.gov.pl/login.

Co do zasady każdy podmiot ważny lub kluczowy ma obowiązek dokonać wpisu, z wyłączeniem sytuacji, kiedy wpis zostanie dokonany z urzędu przez właściwego ministra. W takiej sytuacji podmiot wpisany otrzyma zawiadomienie o wpisie wraz z ewentualnym wezwaniem do uzupełnienia brakujących informacji.

Wpis do wykazu może dokonać kierownik podmiotu kluczowego lub ważnego albo ustanowiony przez niego pełnomocnik.

Kto jest odpowiedzialny za dokonanie wpisu do rejestru?

Ustawa przewiduje, że w przypadku, jeśli osób uprawionych do reprezentacji podmiotu jest więcej niż jedna, to z ich grona może zostać wybrana jedna osoba, która będzie pełnić obowiązki kierownika z zakresu cyberbezpieczeństwa. W przypadku braku porozumienia w tym zakresie, to wszyscy członkowie organu zarządczego albo jego wspólnicy (w spółkach osobowych) będą zobowiązani do wykonywania obowiązków z zakresu cyberbezpieczeństwa przewidzianych przez Ustawę i ponoszenia odpowiedzialności w tym zakresie (m.in. za dokonanie wpisu do wykazu, wdrożenie systemu zarządzania informacją w podmiocie, uczestnictwo w corocznych szkoleniach).

Wybór jednego kierownika (np. jednego członka zarządu w przypadku spółki z ograniczoną odpowiedzialnością albo jednego wspólnika w przypadku spółki komandytowej) jako osoby odpowiedzialnej za wykonywanie obowiązków w zakresie cyberbezpieczeństwa powinien zostać potwierdzony stosownymi dokumentami określającymi zakres przekazanych obowiązków.

Niezależnie od powyższego kierownik lub kierownicy podmiotu mogą również wyznaczyć osobę, która będzie zobowiązana do wspierania organizacji w zakresie obowiązków związanych z zapewnieniem cyberbezpieczeństwa wynikających z Ustawy, w tym może pomóc w dokonaniu wpisu w wykazie. Nie zmienia to jednak tego, że to kierownik ds. cyberbezpieczeństwa będzie odpowiedzialny za dopilnowanie, żeby wpis został dokonany w terminie. Za brak dokonania wpisu będzie ponosił odpowiedzialność.

Czy można przekazać obowiązki z zakresu cyberbezpieczeństwa innej osobie?

Realizacja obowiązków wynikających z Ustawy może stanowić duże wyzwanie dla osób kierujących przedsiębiorstwami, zwłaszcza jeśli dotychczas nie zajmowały się zagadnieniami związanymi z cyberbezpieczeństwem. Wymagania przewidziane przez Ustawę mają bowiem przede wszystkim charakter praktyczny. Do ich wdrożenia nie będzie wystarczające przygotowanie samej dokumentacji bez jej faktycznego wdrożenia oraz bez wybrania adekwatnych zabezpieczeń.

W związku z powyższym ustawodawca dopuścił możliwość powierzenia przez kierownika lub kierowników podmiotu, realizacji obowiązków z zakresu cyberbezpieczeństwa innej osobie. Rozwiązanie to ma na celu zapewnienie odpowiedniego wsparcia organizacjom przy wykonywaniu tych zadań.

Należy mieć jednak na uwadze, że mimo tego, że Ustawa przewiduje możliwość zaangażowania dodatkowej osoby jako wsparcia w zakresie wykonywania obowiązków z zakresu cyberbezpieczeństwa, to nie zwalnia to kierownika lub kierowników z odpowiedzialności za wykonywanie tych obowiązków. Osoba zaangażowana jako wsparcie w tym zakresie powinna dawać gwarancje, że będzie rzeczywiście wykonywać poprawnie swoje zadania.

Ustawa przewiduje możliwość nałożenia kar pieniężnych nie tylko na podmiot kluczowy lub ważny, ale również na jego kierownika, który nie wykonywał swoich obowiązków. Odpowiedzialność ta może dotyczyć w szczególności naruszenia obowiązków polegających na:

• terminowym złożeniu wniosku o wpis do wykazu podmiotów kluczowych i ważnych,
• wdrożeniu systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot,
• uczestniczeniu w szkoleniach z zakresu cyberbezpieczeństwa co najmniej raz w roku,
• opracowaniu, stosowaniu i aktualizowaniu dokumentacji dotyczącej bezpieczeństwa systemu informatycznego wykorzystywanego w procesie świadczenia usługi;
• ustanowieniu nadzoru nad dokumentacją dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (zapewnienie dokumentów wyłącznie dla osób upoważnionych, ochrona dokumentów przed ich uszkodzeniem, zniszczeniem, utratą, nieuprawionym dostępem, niewłaściwym użyciem lub utratą integralności, oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian w tych dokumentach).

W jaki sposób powierzyć wykonywanie obowiązków z zakresu cyberbezpieczeństwa innej osobie i co powinna zawierać umowa ze specjalistą z zakresu cyberbezpieczeństwa?

Powierzenie wykonywania obowiązków z zakresu cyberbezpieczeństwa innej osobie, powinno być potwierdzone stosownym dokumentem np. umową. W zależności od tego jaki status ma dana osoba (np. czy jest zewnętrznym podmiotem świadczącym usługi wsparcia w zakresie cyberbezpieczeństwa, czy jest pracownikiem podmiotu) potrzebne dokumenty mogą różnić się od siebie.

Z perspektywy kierowników podmiotów kluczowych lub ważnych szczególne znaczenie ma wybór osoby posiadającej odpowiednie kwalifikacje oraz doświadczenie w zakresie cyberbezpieczeństwa. Powierzenie obowiązków kompetentnemu specjaliście pozwala ograniczyć ryzyko nieprawidłowej realizacji wymagań ustawowych, a tym samym zmniejszyć ryzyko odpowiedzialności osób zarządzających organizacją.

Umowa ze specjalistą powinna zawierać precyzyjnie opisane obowiązki wynikające z Ustawy, procedury informowania o incydentach oraz postanowienia o odpowiedzialności. W umowie można wskazać za jakie działania dana osoba ponosi odpowiedzialność i do jakiej wysokości.

Można wprowadzić również obowiązek, żeby dana osoba posiadała odpowiednią polisę ubezpieczeniową obejmującą szkody wynikające z braku zapewnienia cyberbezpieczeństwa w organizacji. Przed zawarciem umowy z takim podmiotem polisa ubezpieczeniowa powinna zostać dokładnie przeanalizowana pod kątem tego, czy obejmuje szkody powstałe w związku z naruszeniami Ustawy, jak i również, czy pokrywa koszty nałożonych kar administracyjnych.

Obowiązki z zakresu cyberbezpieczeństwa

Realizacja obowiązków z zakresu cyberbezpieczeństwa wymaga podjęcia  działań zarówno o charakterze formalno-prawnym, tj. przygotowanie odpowiednich dokumentów potwierdzających wdrożenie stosownych procedur oraz technicznym, czyli ustalenie jakie środki techniczne powinny zostać wdrożone oraz nadzorowanie ich stosowania.

Istotnym elementem procesu jest również właściwe dokumentowanie podejmowanych działań, w tym m.in. archiwizowanie dokumentów potwierdzających udział kierownika podmiotu w szkoleniach z zakresu cyberbezpieczeństwa, a także prowadzenie regularnej analizy ryzyka wystąpienia incydentów oraz zarządzanie tym ryzykiem itp. W przypadku ewentualnej kontroli lub audytu to właśnie dokumentacja będzie stanowić jedną z podstaw oceny stopnia realizacji nałożonych obowiązków.

Co powinien zrobić kierownik lub kierownicy podmiotu, żeby wdrożyć obowiązki wynikające z Ustawy?

Poniżej wskazujemy, krok po kroku, jakie działania powinny zostać podjęte przez osoby uprawione do reprezentacji danego przedsiębiorcy, żeby wdrożyć obowiązki z zakresu cyberbezpieczeństwa:

1. Ustalenie statusu podmiotu
   Zweryfikowanie, czy dany podmiot jest podmiotem kluczowym lub ważnym.
2. Dokonanie wpisu do wykazu
   Jeśli podmiot jest podmiotem kluczowym lub ważnym (a nie podlega wpisowi z urzędu) należy dokonać wpisu do wykazu do dnia 3 października 2026 roku lub w terminie 6 miesięcy od dnia uzyskania tego statusu.
3. Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo
   W przypadku wieloosobowego organu zarządzającego należy ustalić, czy obowiązki będą wykonywane przez jedną wyznaczoną osobę, czy przez wszystkich członków organu.
4. Podjęcie decyzji o sposobie realizacji obowiązków
   Należy rozważyć, czy obowiązki z zakresu cyberbezpieczeństwa będą wykonywanie samodzielnie czy zaangażowany zostanie do tego specjalista.
5. Uregulowanie współpracy ze specjalistą ds. cyberbezpieczeństwa
   W przypadku zaangażowania zewnętrznego specjalisty, warto:
   • zawrzeć umowę regulującą szczegółowo kwestie obowiązków oraz odpowiedzialności;
   • zweryfikować posiadaną przez specjalistę polisę ubezpieczeniową, czy obejmuje ryzyka związane z niewykonaniem lub nienależytym wykonaniem obowiązków z zakresu cyberbezpieczeństwa.
6. Wdrożenie wymaganych środków organizacyjnych i technicznych
   Wdrożenie obowiązków z zakresu cyberbezpieczeństwa wynikających z Ustawy, w tym przygotowanie odpowiedniej dokumentacji z tym związanej i regularne monitorowanie, czy należy wdrożyć odpowiednie zmiany w procedurach.
7. Terminowa realizacja obowiązków cyklicznych
   W przypadku działań cyklicznych (np. corocznych szkoleń, audytów podmiotu ważnego) – pilnowanie, by były one wykonywane w odpowiednich terminach i by były odpowiednio dokumentowane.

Podsumowanie

Ustawa powoduje, że osoby zarządzające przedsiębiorstwami muszą być świadome, że mogą ponosić odpowiedzialność za wdrożenie i przestrzeganie zasad cyberbezpieczeństwa w organizacji.

Ustawodawca przewidział pewne ułatwienia we wdrażaniu tych obowiązków, m.in. poprzez możliwość ustanowienia pełnomocnika do dokonania wpisu do wykazu lub wyznaczenia osoby wspierającej kierownika lub kierowników podmiotu w wykonywaniu obowiązków z zakresu cyberbezpieczeństwa.

Kancelaria świadczy kompleksowe wsparcie zarówno przy ustaleniu, czy dany podmiot może zostać uznany za podmiot kluczowy lub ważny, jak i przy przygotowaniu dokumentacji związanej z cyberbezpieczeństwem, w tym polityk, rejestrów i wykazów. Wspieramy również klientów w przygotowaniu i weryfikacji umów z ekspertami w dziedzinie cyberbezpieczeństwa tak, żeby kierownicy podmiotów mogli korzystać z realnego wsparcie w realizacji obowiązków wynikających z Ustawy.

Źródła:

• Ustawa z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026.252);
• Komunikat Ministra Cyfryzacji z dnia 8 kwietnia 2026 roku w sprawie harmonogramu złożenia wniosków o wpis do wykazu podmiotów kluczowych i podmiotów ważnych oraz rozpoczęcia korzystania z systemu teleinformatycznego przez podmioty kluczowe lub podmioty ważne.

Autorzy:

Iga Ciesielska, radca prawny

Łukasz Jankowski, adwokat