3 października 2026: Dlaczego KSC to osobiste ryzyko dla zarządu?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) weszła w życie 3 kwietnia 2026 roku. Zegar już tyka. Z dnia na dzień tysiące średnich firm zostało objętych nowymi, rygorystycznymi wymogami.

Dlaczego? Ponieważ nowe przepisy opierają się na zasadzie samoidentyfikacji. Żaden minister ani urząd nie wyśle oficjalnego pisma z zaproszeniem do rejestru. To zarząd musi samodzielnie ocenić, czy firma podpada pod ustawę.

Największy błąd, jaki obecnie popełniają firmy, to delegowanie tematu KSC w całości do działu IT. Prawda jest jednak taka, że to nie informatyk zapłaci karę za brak odpowiednich procedur i to nie on będzie pociągnięty do odpowiedzialności majątkowej.

Wielu prezesów żyje w przekonaniu, że ustawa o cyberbezpieczeństwie to zmartwienie banków, telekomów i państwowych molochów. To mit, który wkrótce będzie bardzo słono kosztować. Nowe KSC bierze na celownik średnie przedsiębiorstwa – te zatrudniające między 50 a 250 pracowników.

Jeśli Twoja firma działa w jednym z 18 wskazanych w ustawie sektorów, przepisy najprawdopodobniej już Was obowiązują. Największe ryzyko przeoczenia tych wymogów widzimy obecnie w firmach o znaczeniu regionalnym i lokalnym.

• Zaopatrzenie w wodę: lokalne przedsiębiorstwa wodociągowe i spółki komunalne.
• Ochrona zdrowia: szpitale powiatowe, wojewódzkie i większe kliniki.
• Transport i logistyka: regionalni przewoźnicy i firmy obsługujące łańcuchy dostaw.
• Energia: miejskie ciepłownie, elektrociepłownie i lokalni dystrybutorzy.

Do tej pory układ w wielu firmach był prosty: zarząd zatwierdzał budżet, a dział IT dbał o firewalle, kopie zapasowe i aktualizacje. Nowelizacja KSC bezpowrotnie kończy ten etap.

Ustawa wprost nakłada na kierownictwo obowiązek zatwierdzania środków zarządzania ryzykiem. Jako członek zarządu musisz też przechodzić regularne szkolenia z cyberbezpieczeństwa i rozumieć, jakie procedury chronią firmę przed atakiem z zewnątrz.

Jeśli to zignorujecie, kary finansowe dla samej spółki mogą ją pogrążyć: do 10 milionów euro dla podmiotów kluczowych i do 7 milionów euro dla podmiotów ważnych. Organ nadzorczy ma również prawo nałożyć karę finansową bezpośrednio na członków zarządu.

Nowe przepisy nie dają wiele czasu na adaptację. Pierwszą i absolutnie krytyczną datą na osi czasu Twojej firmy jest 3 października 2026 roku.

To ostateczny termin na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych. Jeśli Twoja firma spełnia kryteria, brak rejestracji to najszybsza droga do ściągnięcia na siebie uwagi i kontroli regulatora.

Sama rejestracja to jednak dopiero początek drogi. Do 3 kwietnia 2027 roku musisz mieć wdrożony System Zarządzania Bezpieczeństwem Informacji, a rok później przejść pierwszy, obowiązkowy audyt zewnętrzny.

Zarząd nie musi znać się na szyfrowaniu danych, ani od razu inwestować dziesiątek tysięcy złotych w kompleksowe audyty, żeby sprawdzić, na czym stoi. Najpierw trzeba ustalić, czy KSC w ogóle Was dotyczy i z czym dokładnie macie problem.

Właśnie po to stworzyliśmy w Normatiq usługę Diagnostyki KSC. To krótki, intensywny przegląd, w którym łączymy kompetencje prawników i inżyniera cyberbezpieczeństwa.

W ciągu 3–5 dni roboczych za 3 500 zł netto otrzymujecie konkretny raport: status firmy, krytyczne luki prawne i technologiczne oraz listę priorytetów. Dostajecie gotowy plan działania w języku biznesu, bez zbędnego prawniczego czy technicznego żargonu.