Sprawdź, czy Twoja firma podlega KSC/NIS2 i jakie cyber-dowody przygotować

KSC traktujemy jako ekspozycję regulacyjną i element łańcucha dostaw, nie jako jedynego bohatera. Bez straszenia karami i bez sztucznej pilności.

Czy Twoja firma może podlegać pod KSC?

Wpisz NIP, sprawdzimy w kilka sekund.

Nie przechowujemy NIP-ów.

KSC w skrócie

KSC to ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS 2 (Dz.U. 2026 poz. 252). Obowiązki polskich podmiotów wynikają z ustawy, a nie wprost z dyrektywy.

  • Ustawa rozróżnia podmiot kluczowy i podmiot ważny na podstawie sektora (załączniki) i wielkości przedsiębiorstwa (art. 5). Przy zbiegu przesłanek podmiot jest kluczowy.
  • Podstawowy obowiązek to system zarządzania bezpieczeństwem informacji i środki zarządzania ryzykiem (art. 8).
  • Kadra kierownicza przechodzi szkolenie raz w roku kalendarzowym (art. 8e).
  • Incydent poważny zgłasza się do właściwego CSIRT sektorowego: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny, sprawozdanie końcowe w ciągu miesiąca (art. 11).
  • Podmiot kluczowy przeprowadza audyt co najmniej raz na 3 lata. Podmiot ważny nie ma audytu cyklicznego, ale organ właściwy może nakazać audyt przy incydencie poważnym lub naruszeniu przepisów (art. 15).

Najważniejsze terminy

  • Ustawa weszła w życie ok. 3 kwietnia 2026.
  • Wpis do Wykazu podmiotów (system teleinformatyczny KSC, potocznie S46, art. 46) następuje zgodnie z harmonogramem ministra.
  • Wdrożenie obowiązków z rozdziału 3 (m.in. art. 8 i 14) w terminie 12 miesięcy od wejścia w życie, czyli ok. 3 kwietnia 2027.
  • Pierwszy audyt podmiotu kluczowego w terminie 24 miesięcy, czyli ok. 3 kwietnia 2028.

Kary administracyjne nakłada ustawa (art. 73): dla podmiotu kluczowego do 10 mln EUR lub 2% przychodu, dla podmiotu ważnego do 7 mln EUR lub 1,4%. Obowiązuje jednak moratorium: kary pieniężne mogą być nałożone po raz pierwszy dopiero po upływie 2 lat od wejścia w życie, czyli ok. 3 kwietnia 2028 (art. 35). Ustawa przewiduje też osobistą odpowiedzialność kierownika do 300% wynagrodzenia (art. 73a). Dlatego pilność budujemy na realnych powodach, nie na karach.

Co obejmuje Exposure Check

  • Wstępna kwalifikacja statusu (kluczowy, ważny, niepodlegający).
  • Mapa obowiązków dopasowana do Twojej sytuacji.
  • Wpływ na zarząd i odpowiedzialność kierownictwa.
  • Wpływ na łańcuch dostaw i wymagania, które mogą przyjść od klientów.
  • Powiązanie z ubezpieczeniem cyber oraz z OT i IEC 62443.
  • Rekomendacje na 60–90 dni.

Posiadanie ISO 27001 ułatwia spełnienie wymogów KSC, ale nie oznacza automatycznie zgodności. IEC 62443 nie jest ogólnym obowiązkiem ustawowym dla każdej firmy z OT.

Powiązane usługi

Umów 20-min kwalifikację →