REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Sektor publiczny » Wiadomości » Już wszystko wiadomo z KSC i dyrektywą NIS2? Ministerstwo Cyfryzacji oficjalnie podało, które podmioty podlegają nowej ustawie o krajowym systemie cyberbezpieczeństwa

Już wszystko wiadomo z KSC i dyrektywą NIS2? Ministerstwo Cyfryzacji oficjalnie podało, które podmioty podlegają nowej ustawie o krajowym systemie cyberbezpieczeństwa

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
30 kwietnia 2026, 09:11
Tomasz Piwowarski
Tomasz Piwowarski
Radca prawny z kilkunastoletnim prawniczym doświadczeniem, specjalizujący się w prawie cywilnym, gospodarczym, nieruchomości, pracy. Fan motoryzacji oraz Włoch, a od nie tak dawna – motocyklista.
nowelizacja ustawy KSC, krajowy system cyberbezpieczeństwa, dyrektywa NIS2, podmioty kluczowe, podmioty ważne, wykaz KSC, cyfryzacja, obowiązki
Kto podlega pod KSC po dużej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, implementującej dyrektywę NIS2?
Shutterstock

REKLAMA

REKLAMA

To może dotyczyć także twojej organizacji i nie ma od tego ucieczki. Ministerstwo Cyfryzacji wskazało właśnie, kto podlega nowym obowiązkom wynikającym z NIS2. Według resortu nawet 38 tys. podmiotów, głównie publicznych, ale też tysiące firm prywatnych, będzie musiało spełnić rygorystyczne wymogi cyberbezpieczeństwa. Sprawdzenie, czy jesteś na liście to już twój problem.

rozwiń >

Ministerstwo Cyfryzacji publikuje podsumowanie: kto podlega nowelizacji KSC?

20 kwietnia 2026 roku – czyli zaledwie wczoraj – Ministerstwo Cyfryzacji opublikowało na swojej stronie krótkie, ale niezwykle istotne podsumowanie dotyczące nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Komunikat wyjaśnia, jakie sektory gospodarcze mogą być objęte nowymi obowiązkami w zakresie ochrony przed cyberatakami.

REKLAMA

REKLAMA

Kluczowe jest jednak zastrzeżenie: samo ustalenie, czy dany podmiot podlega przepisom ustawy o KSC, a jeśli tak – to czy jako podmiot kluczowy, czy ważny – spoczywa na samym podmiocie. Ministerstwo podaje tylko ogólne kryteria sektorowe. Reszta to już odpowiedzialność każdej firmy i instytucji.

NIS2 W POLSCE. JAK PRZYGOTOWAĆ FIRMĘ NA NOWE WYMOGI CYBERBEZPIECZEŃSTWA

Dyrektywa NIS2 zmienia zasady – koniec z operatorami usług kluczowych

Nowelizacja wdraża unijną dyrektywę NIS2, która radykalnie poszerza zakres podmiotów objętych obowiązkami cyberbezpieczeństwa. Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych został zastąpiony nowym systemem: podmioty kluczowe i podmioty ważne.

Dlaczego to istotne? Bo nowe przepisy obejmują znacznie szerszą grupę podmiotów działających w sektorach istotnych dla funkcjonowania państwa, gospodarki oraz obywateli. Ministerstwo szacuje, że łącznie KSC może objąć około 38 tysięcy podmiotów, z czego aż około 27 tysięcy to podmioty publiczne – urzędy, szpitale, uczelnie, samorządy.

REKLAMA

12 miesięcy na dostosowanie – czas już ucieka

Nowelizacja przewiduje 12-miesięczny okres dostosowawczy. To czas, który podmioty powinny wykorzystać na pełne wdrożenie obowiązków wynikających z ustawy: od przeprowadzenia audytu cyberbezpieczeństwa, przez wdrożenie systemów zarządzania bezpieczeństwem informacji (SZBI), po przeszkolenie kadry i wyznaczenie osób odpowiedzialnych.

Dalszy ciąg materiału pod wideo

Równocześnie trwa proces wpisywania podmiotów do oficjalnego Wykazu KSC. Minister Cyfryzacji rozpoczął już 13 kwietnia 2026 roku wpis z urzędu dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmiotów publicznych. Natomiast od 7 maja 2026 roku uruchomiona zostanie możliwość samorejestracji dla podmiotów, które nie są objęte wpisem realizowanym z urzędu.

Sektory kluczowe – najwyższy poziom wymogów cyberbezpieczeństwa

Ministerstwo Cyfryzacji opublikowało pełną listę sektorów kluczowych, które podlegają najostrzejszym wymogom w zakresie cyberbezpieczeństwa. Znalazły się na niej sektory z załącznika nr 1 do ustawy:

  • Energia:
    • wydobywanie kopalin
    • energia elektryczna
    • ciepło
    • ropa i paliwa
    • gaz
    • energetyka jądrowa
    • wodór
  • Transport:
    • lotniczy
    • kolejowy
    • wodny
    • drogowy
  • Bankowość i infrastruktura rynków finansowych
  • Ochrona zdrowia:
    • udzielanie świadczeń zdrowotnych i zdrowie publiczne
    • produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych
  • Zaopatrzenie w wodę pitną i jej dystrybucja
  • Zbiorowe odprowadzanie ścieków
  • Infrastruktura cyfrowa:
    • infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej
    • komunikacja elektroniczna
  • Zarządzanie usługami ICT
  • Przestrzeń kosmiczna
  • Podmioty publiczne

Sektory ważne – również objęte obowiązkami, ale z nieco mniejszym rygorem

Równolegle Ministerstwo wskazało sektory ważne, które również muszą wdrożyć systemy cyberbezpieczeństwa, choć wymogi wobec nich są nieco łagodniejsze. Lista obejmuje sektory z załącznika nr 2 do ustawy, m.in.:

  • Usługi pocztowe
  • Inwestycje energetyki jądrowej
  • Gospodarowanie odpadami:
    • zbieranie odpadów
    • transport odpadów
    • przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
    • działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, wytwarzanie i dystrybucja żywności
  • Produkcja:
    • wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
    • komputerów, wyrobów elektronicznych i optycznych
    • urządzeń elektrycznych
    • maszyn i urządzeń, gdzie indziej niesklasyfikowana
    • pojazdów samochodowych, przyczep i naczep
    • pozostałego sprzętu transportowego
  • Dostawcy usług cyfrowych
  • Badania naukowe
  • Podmioty publiczne, inne niż wymienione w Załączniku nr 1

Samodzielna ocena obowiązkowa – to ty musisz ustalić, czy podlegasz KSC

Trzeba pamiętać, że sama identyfikacja, czy dany podmiot podlega ustawie o KSC, spoczywa na danym podmiocie. To każda firma, instytucja, szpital, uczelnia czy urząd musi przeanalizować, czy działa w jednym z wymienionych sektorów, czy spełnia kryteria ustawowe – i na tej podstawie zdecydować, czy musi wdrożyć wymagania ustawy.

Brak takiej oceny nie zwalnia z odpowiedzialności. Jeśli podmiot podlega KSC, a nie wdroży odpowiednich zabezpieczeń, może zostać ukarany – a w przypadku incydentu cybernetycznego – także pociągnięty do odpowiedzialności prawnej.

Ministerstwo szykuje dalsze wytyczne – konsultacje już niebawem

Ministerstwo Cyfryzacji zapowiedziało, że w najbliższych dniach przekaże do konsultacji publicznych projekt zestawienia wymogów dokumentów normalizacyjnych, w tym norm, przydatnych dla ustalenia szczegółowych wymagań dla systemów zarządzania bezpieczeństwem informacji (SZBI) dla poszczególnych sektorów kluczowych i ważnych.

To będzie kolejny praktyczny dokument, który pomoże podmiotom objętym KSC w rzeczywistym wdrożeniu wymagań ustawy. Warto jednak działać już teraz – 12 miesięcy minie szybko, a wymogi są rozległe.

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie
Autopromocja

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie

Sprawdź

PODSUMOWANIE W PYTANIACH I ODPOWIEDZIACH (FAQ)

Ilu podmiotów dotyczy nowelizacja ustawy o KSC i ile z nich to podmioty publiczne?

Ministerstwo szacuje, że łącznie KSC może objąć około 38 tysięcy podmiotów, z czego aż około 27 tysięcy to podmioty publiczne – urzędy, szpitale, uczelnie, samorządy.

Kto ustala, czy dany podmiot podlega ustawie o krajowym systemie cyberbezpieczeństwa (KSC)?

Sama identyfikacja, czy dany podmiot podlega ustawie o KSC, spoczywa na danym podmiocie. Ministerstwo Cyfryzacji podaje tylko ogólne kryteria sektorowe.

Jakie są sektory kluczowe z załącznika nr 1 do ustawy o krajowym systemie cyberbezpieczeństwa (KSC)?

Załącznik nr 1 obejmuje: Energię, Transport (lotniczy, kolejowy, wodny, drogowy), Bankowość i infrastrukturę rynków finansowych, Ochronę zdrowia, Zaopatrzenie w wodę pitną i jej dystrybucję, Zbiorowe odprowadzanie ścieków, Infrastrukturę cyfrową, Komunikację elektroniczną, Zarządzanie usługami ICT, Przestrzeń kosmiczną, Podmioty publiczne.

Jaki jest okres dostosowawczy i jakie działania trzeba podjąć według nowelizacji ustawy o KSC?

Nowelizacja przewiduje 12-miesięczny okres dostosowawczy. W tym czasie należy przeprowadzić audyt cyberbezpieczeństwa, wdrożyć SZBI, przeszkolić kadrę i wyznaczyć osoby odpowiedzialne.

Jakie są terminy wpisu do Wykazu KSC i samorejestracji w 2026 roku?

Minister Cyfryzacji rozpoczął 13 kwietnia 2026 roku wpis z urzędu operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmiotów publicznych. Od 7 maja 2026 roku rusza samorejestracja dla pozostałych podmiotów.

Źródło: Ministerstwo Cyfryzacji

Powiązane
Ustawa o zarządzaniu danymi podpisana - nowe przepisy, zasady i kary, od teraz dostęp do danych działa inaczej
Ustawa o zarządzaniu danymi podpisana - nowe przepisy, zasady i kary, od teraz dostęp do danych działa inaczej
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) 2026: od 7 maja obowiązkowa samoidentyfikacja i wpis do wykazu KSC, czas tylko do 3 października
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) 2026: od 7 maja obowiązkowa samoidentyfikacja i wpis do wykazu KSC, czas tylko do 3 października
MEN dopuszcza oficjalnie narzędzie AI do pomocy uczniom w rozwiązywaniu zadań z matematyki - a nawet zrobiło na ten temat badania, wyniki zaskoczyły
MEN dopuszcza oficjalnie narzędzie AI do pomocy uczniom w rozwiązywaniu zadań z matematyki - a nawet zrobiło na ten temat badania, wyniki zaskoczyły
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Sektor publiczny
Karta parkingowa ze zmianami. Ułatwienie czy ryzyko nadużyć?
19 maja 2026

Przepisy, nad którymi pracuje resort rodziny, zakładają odstąpienie od konieczności osobistego składania wniosku o kartę parkingową. To duże ułatwienie dla osób, które mają ograniczone możliwości poruszania się. Czy stanie się też polem do nadużyć? Zdania są podzielone.
Susza w Polsce uderza w rolników. Eksperci prognozują niższe plony pszenicy
19 maja 2026

W większości obszarów Polski warunki upraw są niekorzystne ze względu na brak opadów - ocenia unijna agenda ds. jakości plonów JRC MARS. Eksperci prognozują w tym roku plony pszenicy na poziomie 5,3 t/ha, czyli o 5 proc. mniej niż w 2025 r.
Czy strefa buforowa przy granicy z Białorusią będzie przedłużona? MSWiA planuje
18 maja 2026

O kolejne 90 dni ma zostać przedłużony czasowy zakaz przebywania w strefie nadgranicznej przyległej do granicy państwowej z Białorusią - na czerwiec, lipiec i sierpień - zakłada opublikowany w poniedziałek projekt rozporządzenia MSWiA w tej sprawie.
Warszawa: Dziedziniec Pałacu w Wilanowie otwarty dla wszystkich
18 maja 2026

Po kontrowersyjnej imprezie techno w Muzeum Pałacu Króla Jana III w Wilanowie, minister kultury odwołał dyrektora Pawła Jaskanisa. Na jego miejsce powołano p.o. Piotra Górajca, który już zapowiada pierwsze zmiany: nieodpłatne otwarcie dziedzińca dla publiczności i odbudowę zaufania mieszkańców.

REKLAMA

Nowe busy do Morskiego Oka. Konie zostają, elektryki mają je tylko odciążyć
17 maja 2026

Ministerstwo Klimatu i Środowiska zapewnia, że elektryczne busy na trasie do Morskiego Oka nie mają zastąpić konnych zaprzęgów. Resort przekonuje, że rozwój transportu elektrycznego ma odciążyć konie, poprawić dostępność dla turystów i ograniczyć ruch spalinowy w Tatrzańskim Parku Narodowym.
Polacy masowo podróżują koleją. PKP Intercity bije rekordy
16 maja 2026

PKP Intercity zanotowało rekordowy kwiecień 2026 roku. Z usług narodowego przewoźnika skorzystało 7,63 mln pasażerów — o blisko 13 proc. więcej niż rok wcześniej. Spółka prognozuje, że w całym roku liczba podróżnych sięgnie 96 mln.
Od 25 maja całkowite zamknięcie drogi do Morskiego Oka
16 maja 2026

Tatrzański Park Narodowy poinformował, że szlak prowadzący do Morskiego Oka będzie całkowicie zamknięty dla turystów w dniach 25–29 maja z powodu prac remontowych. W tym okresie nie będzie można pieszo przejść od Łysej Polany do Wodogrzmotów Mickiewicza, a kursy e-busów oraz transport konny zostaną wstrzymane.
Rząd ostrzega przed atakami na Signal. Hakerzy przejmują konta
15 maja 2026

Pełnomocnik Rządu ds. Cyberbezpieczeństwa 14 maja 2026 r. wydał oficjalną rekomendację dotyczącą komunikatora Signal. Powodem są nasilone ataki phishingowe grup APT powiązanych z obcymi służbami. Celem hakerów jest przejmowanie kont polityków, urzędników i personelu wojskowego. CSIRT potwierdza, że kampania ma charakter zorganizowany i stanowi realne zagrożenie dla bezpieczeństwa państwa.

REKLAMA

Samorządy inwestują w szkolenia z obrony cywilnej i ochrony ludności. Czy wiedzą więcej niż my?
15 maja 2026

Jeszcze niedawno szkolenia z obrony cywilnej traktowano jako formalność lub relikt minionej epoki. Dziś, w obliczu wojny za wschodnią granicą, cyberzagrożeń i kryzysów infrastrukturalnych, samorządy coraz wyraźniej pokazują, że bezpieczeństwo lokalne zaczyna się od przygotowania ludzi, procedur i instytucji.
240 etatów mniej w zakładzie IKEA w Wielbarku. Pracownicy otrzymają pomoc
15 maja 2026

Powiatowy Urząd Pracy w Szczytnie oferuje pomoc w znalezieniu nowego zatrudnienia pracownikom zwalnianym z fabryki IKEA w Wielbarku. Zakład tłumaczy redukcję zatrudnienia spadkiem zamówień i rosnącymi kosztami - poinformowała dyrektor PUP w Szczytnie, Beata Januszczyk.
Zapisz się na newsletter
Śledź na bieżąco nowe inicjatywy, projekty i ważne decyzje, które wpływają na Twoje życie codzienne. Zapisz się na nasz newsletter samorządowy.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA