W dniu 3 kwietnia 2026 r. wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (ustawa o KSC), podpisana w lutym br. przez prezydenta. Od dziś zaczynają biec terminy dla firm na wykonanie ustawowych obowiązków.

Otóż do 3 października 2026 r. podmioty kluczowe i ważne mają czas, aby złożyć wniosek o wpis do wykazu. Mają więc pół roku na sprawdzenie, czy podlegają nowym przepisom i na dopełnienie formalności.

Warto przypomnieć, że do dotychczas regulowanych sektorów, takich jak np. bankowość i energetyka, dołączają kolejne. Są to m.in. odprowadzanie ścieków, usługi pocztowe, produkcja i dystrybucja żywności, produkcja chemikaliów i in.

Do 3 kwietnia 2027 r. podmioty kluczowe i ważne, które w dniu wejścia w życie nowelizacji spełniają ustawowe kryteria, muszą wdrożyć obowiązki wynikające z nowych przepisów.

Do 3 kwietnia 2028 r. podmioty kluczowe mają przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Kolejne audyty będą odbywać się co najmniej raz na 3 lata.

Według ustawy o KSC podmioty, które działają w strategicznych sektorach gospodarki, mają obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych. Według regulacji środki te muszą być odpowiednie do wielkości organizacji i świadczonych usług. Odpowiedzialność za realizację zadań z zakresu cyberbezpieczeństwa ponoszą także członkowie zarządów przedsiębiorstw.

Za naruszenie przepisów podmiotom ważnym grozi do 7 mln euro kary (do 1,4 proc. przychodów). Sankcja dla kluczowych podmiotów, , o których mówi ustawa o KSC, do 10 mln euro (do 2 proc. przychodów). Natomiast w razie spowodowania przez firmę poważnego zagrożenia, np. dla obronności czy bezpieczeństwa państwa, kara może sięgnąć 100 mln zł.