Już od jutra, 3 kwietnia 2026 roku, zacznie obowiązywać znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa. Zaktualizowane przepisy mają zapewnić lepsze zabezpieczenie systemów i stabilność usług, z których korzystają wszyscy mieszkańcy Polski.
Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa zacznie obowiązywać od 3 kwietnia 2026 roku
Ustawa o Krajowym Systemie Cyberbezpieczeństwa została uchwalona przez Sejm Rzeczypospolitej Polskiej 5 lipca 2018 roku i podpisana przez prezydenta 1 sierpnia 2018 roku, po czym 13 sierpnia 2018 roku opublikowano ją w Dzienniku Ustaw RP. Weszła ona w życie 28 sierpnia 2018 roku.
W styczniu 2026 roku Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2 do polskiego porządku prawnego. Prezydent Karol Nawrocki podpisał ją 19 lutego 2026 roku (po czym skierował ją do Trybunału Konstytucyjnego) i 2 marca 2026 roku opublikowano ją w Dzienniku Ustaw.
Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa zacznie obowiązywać już od jutra, tj. 3 kwietnia 2026 roku i od tego dnia zaczynają biec terminy na wykonanie ustawowych obowiązków dla wszystkich podmiotów, które obejmą nowe przepisy.
Nowelizacja wyznacza jasny harmonogram działań. (…) Dzięki temu możemy stopniowo i skutecznie wzmacniać bezpieczeństwo cyfrowe kraju. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia. Krzysztof Gawkowski, minister cyfryzacji
Jakie skutki przyniesie zaktualizowany Krajowy System Cyberbezpieczeństwa?
Podmioty kluczowe i ważne, które obejmuje znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa, mają sześć miesięcy – do 3 października 2026 roku – na złożenie wniosku o wpis do wykazu.
Na mocy ustawy o Krajowym Systemie Cyberbezpieczeństwa podmioty funkcjonujące w strategicznych sektorach gospodarki mają obowiązek stosowania odpowiednich środków technicznych i organizacyjnych w celu zwiększenia bezpieczeństwa systemów informatycznych. Sankcjonują one też odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa.
Podmioty kluczowe i ważne mają 12 miesięcy od wejścia w życie nowelizacji o Krajowym Systemie Cyberbezpieczeństwa na dostosowanie systemów i procedur – do 3 kwietnia 2027 roku. Z kolei do 3 kwietnia 2028 roku podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa (kolejne audyty trzeba będzie przeprowadzać minimum co trzy lata).
Jako że znowelizowane przepisy wymagają ogromu pracy i środków, kary pieniężne za niedostosowanie się do nich będą mogły być nakładane dopiero po 3 kwietnia 2028 roku, czyli po dwóch latach od wejścia w życie zaktualizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa.
W przeszłości Krajowy System Cyberbezpieczeństwa krytykował m.in. Huawei. Ponadto według NIK za rządów Prawa i Sprawiedliwości krajowy system cyberbezpieczeństwa pomijał zwykłych obywateli.
