Weryfikacja zgodności z wymogami cyberbezpieczeństwa | Centrum e-Zdrowia

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa to zmiana istniejących przepisów, która implementuje dyrektywę NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) do polskiego porządku prawnego. Ustawa została uchwalona 23 stycznia 2026 roku i rozszerza zakres podmiotów objętych regulacją oraz dostosowuje wymagania cyberbezpieczeństwa do aktualnych zagrożeń.

Główne zmiany obejmują:

• Zastąpienie pojęcia "operator usługi kluczowej" na "podmiot kluczowy" i "podmiot ważny"
• Rozszerzenie katalogu sektorów objętych ustawą
• Nowe, bardziej szczegółowe wymagania dotyczące bezpieczeństwa
• Zaostrzone wymogi dotyczące zgłaszania incydentów
• Rozszerzone kompetencje organów nadzorczych

Ustawa została uchwalona 23 stycznia 2026 roku i weszła w życie 3 kwietnia 2026 r.

Po wejściu w życie ustawy obowiązują następujące terminy:

• 1 miesiąc - na utworzenie wykazu podmiotów kluczowych i ważnych przez ministra
• 12 miesięcy - na realizację obowiązków dla podmiotów kluczowych i ważnych
• 24 miesiące - na przeprowadzenie pierwszego audytu (tylko podmioty kluczowe)
• 2 lata - po tym okresie mogą być po raz pierwszy nakładane kary pieniężne

Pełny tekst uchwalonej ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw będzie dostępny w Dzienniku Ustaw po jej oficjalnej publikacji. Aktualnie dostępny jest na stronach:

• Rządowego Centrum Legislacji
• Sejmu RP 
• W sekcji "Dokumenty od pobrania" na naszym portalu

Zalecamy śledzenie oficjalnych źródeł rządowych, aby uzyskać informacje o przepisach wykonawczych, które będą wydawane po wejściu ustawy w życie.

Różnica polega na znaczeniu podmiotu dla funkcjonowania gospodarki i społeczeństwa oraz wynikających z tego obowiązkach.

Podmiot kluczowy:

• ma większy wpływ na funkcjonowanie gospodarki/społeczeństwa,
• przewyższa wymogi dla średniego przedsiębiorstwa (> 250 pracowników lub > 50 mln € rocznego obrotu),
• obowiązek przeprowadzania audytu co 3 lata,
• bardziej rygorystyczne wymagania w zakresie cyberbezpieczeństwa.

Podmiot ważny:

• średnie przedsiębiorstwa (50-249 pracowników),
• uproszczone wymagania w porównaniu do podmiotów kluczowych,
• brak obowiązku regularnego audytu (może być nałożony przez organ w szczególnych przypadkach).

Należy przeanalizować kilka kryteriów:

• sektor działalności - sprawdź załącznik nr 1 do ustawy, czy Twój sektor jest objęty regulacją
• wielkość organizacji - liczba pracowników i roczny obrót
• typ podmiotu - podmiot publiczny, przedsiębiorca komunikacji elektronicznej, dostawca usług zarządzanych itp.

Skorzystaj z naszego narzędzia weryfikacji statusu dostępnego na stronie głównej portalu. Formularz przeprowadzi Cię przez wszystkie kryteria i pomoże określić, czy ustawa Cię nie obowiązuje i jesteś podmiotem kluczowym lub ważnym.

Nie wszystkie, ale wiele podmiotów publicznych jest objętych nowelizacją. Podmioty publiczne wymienione w załączniku nr 1 do Ustawy w sektorze "podmioty publiczne" automatycznie stają się podmiotami kluczowymi, niezależnie od wielkości.

Pod pojęciem usługi dla podmiotu publicznego rozumie się także zadanie publiczne realizowane przez ten podmiot.

Operatorzy usług kluczowych według dotychczasowych przepisów automatycznie stają się podmiotami kluczowymi z dniem wejścia w życie nowelizacji. Zostaną oni wpisani z urzędu do nowego wykazu podmiotów kluczowych i ważnych przez ministra właściwego do spraw informatyzacji..

Wyżej wymienieni operatorzy na dostosowanie się do nowych wymagań mają 12 miesięcy od wejścia w życie ustawy.

Terminy dla podmiotów ważnych i kluczowych:

• 1 miesiąc - utworzenie wykazu podmiotów kluczowych i ważnych przez odpowiednie ministerstwo
• 6 miesięcy – złożenie wniosku i rejestracja podmiotu w wykazie
• 12 miesięcy - realizacja obowiązków określonych w rozdziale 3 ustawy (SZBI, procedury, polityki)
• 24 miesiące - przeprowadzenie pierwszego audytu (tylko podmioty kluczowe)
• 2 lata - po tym okresie mogą być po raz pierwszy nakładane kary pieniężne

Dodatkowo dla podmiotów publicznych:

• 12 miesięcy - uruchomienie funkcjonalności systemu teleinformatycznego do zgłaszania incydentów

W ciągu pierwszych 6 miesięcy od wejścia w życie ustawy podmioty kluczowe i ważne muszą:

• wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI)
• powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z dostawcą usług zarządzanych
• wdrożyć procedury szacowania ryzyka i zarządzania ryzykiem
• wdrożyć procedury zgłaszania incydentów
• zapewnić odpowiednie szkolenia dla kierownictwa
• zarejestrować się w wykazie podmiotów (według harmonogramu ministra)
• wdrożyć wymagane polityki bezpieczeństwa

Niezastosowanie się do wymagań ustawy w wyznaczonym terminie może skutkować:

• nakazem organu właściwego do spraw cyberbezpieczeństwa podjęcia określonych działań
• nałożeniem kar finansowych
• przeprowadzeniem kontroli i nakazaniem audytu
• innymi sankcjami administracyjnymi przewidzianymi w ustawie

Zalecamy rozpoczęcie prac nad wdrożeniem jak najszybciej po wejściu w życie ustawy. Skorzystaj z naszego narzędzia do oceny gotowości, które pomoże Ci zaplanować działania.

System Zarządzania Bezpieczeństwem Informacji (SZBI) to kompleksowy zbiór polityk, procedur i środków technicznych, które mają na celu zapewnienie bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmiot.

SZBI musi zapewniać m.in.:

• systematyczne szacowanie ryzyka i zarządzanie ryzykiem
• polityki bezpieczeństwa (ogólne i tematyczne)
• bezpieczeństwo w procesie nabywania, rozwoju i utrzymania systemów
• bezpieczeństwo fizyczne i środowiskowe
• bezpieczeństwo zasobów ludzkich
• bezpieczeństwo łańcucha dostaw
• plany ciągłości działania i odtworzenia
• monitoring systemów w trybie ciągłym
• edukację w zakresie cyberbezpieczeństwa

Ustawa nie wymaga wprost certyfikacji ISO 27001, ale wymogi określone w ustawie są w dużej mierze zbieżne ze standardem ISO 27001. Wdrożenie SZBI zgodnego z ISO 27001 znacząco ułatwi spełnienie wymagań ustawowych.

Certyfikat ISO 27001 może stanowić dodatkowy dowód na spełnienie wymagań, ale nie jest obowiązkowy.

Podstawowe zasady cyberhigieny obejmują m.in.:

• regularne aktualizacje systemów operacyjnych i oprogramowania
• stosowanie silnych, unikalnych haseł i uwierzytelniania wieloskładnikowego
• regularne tworzenie kopii zapasowych
• ograniczanie uprawnień dostępu do niezbędnego minimum 
• szkolenia pracowników w zakresie bezpieczeństwa
• konfiguracja urządzeń i systemów zgodna z najlepszymi praktykami
• monitorowanie i analiza logów z kluczowych systemów
• zarządzanie aktywnością urządzeń przenośnych

Więcej o podstawowych zasadach można znaleźć w publikacji Podstawy bezpieczeństwa i ochrony danych w sektorze ochrony zdrowia | Centrum e-Zdrowia.

Tylko podmioty kluczowe mają obowiązek regularnego przeprowadzania audytów bezpieczeństwa systemu informacyjnego.

Podmioty ważne nie mają obowiązku regularnych audytów, ale organ właściwy do spraw cyberbezpieczeństwa może nakazać im przeprowadzenie audytu w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy.

Podmioty kluczowe przeprowadzają audyt co najmniej raz na 3 lata, licząc od dnia sporządzenia i podpisania przez audytorów raportu z ostatniego audytu.

Pierwszy audyt należy przeprowadzić w ciągu 24 miesięcy od dnia wejścia w życie ustawy (dla podmiotów, które w tym dniu spełniają przesłanki uznania za podmiot kluczowy).

Audyt musi być przeprowadzony przez wykwalifikowanych audytorów spełniających wymagania określone w ustawie.

Audytor NIE MOŻE być osobą:

• realizującą w podmiocie audytowanym zadania związane z SZBI lub zgłaszaniem incydentów
• która realizowała te zadania w podmiocie audytowanym w ciągu roku przed rozpoczęciem audytu

Audyt musi być przeprowadzony przez podmiot zewnętrzny lub niezależną komórkę wewnętrzną, która nie była zaangażowana we wdrażanie i utrzymywanie SZBI.

Podmiot kluczowy przedstawia kopię raportu z przeprowadzonego audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie trzech dni roboczych od dnia jego otrzymania.

Raport może być również przekazany na wniosek CSIRT sektorowego lub podmiotu pełniącego funkcję CSIRT sektorowego.

Incydent poważny to zdarzenie, które ma lub może mieć istotny wpływ na ciągłość świadczenia usługi przez podmiot kluczowy lub ważny. Ustawa określa szczegółowe kryteria i progi dla różnych typów incydentów.

Przykłady mogą obejmować: 

• atak ransomware, 
• naruszenie bezpieczeństwa danych, 
• długotrwałą niedostępność krytycznych systemów, 
• masowe naruszenie danych osobowych.

Incydenty poważne zgłasza się do:

• CSIRT CeZ - dla sektora ochrony zdrowia (formularz do zgłaszania incydentów)
• CSIRT MON - dla podmiotów podległych i nadzorowanych przez Ministra Obrony Narodowej
• CSIRT GOV - dla podmiotów rządowych i IK
• CSIRT NASK - jako CSIRT ostatniej szansy

Zgłoszenia będą dokonywane przez dedykowany system teleinformatyczny.

Tak, wszystkie podmioty kluczowe i ważne muszą być wpisane do wykazu prowadzonego przez ministra właściwego do spraw informatyzacji.

Operatorzy usług kluczowych z poprzedniej ustawy zostaną wpisani z urzędu. Nowe podmioty będą musiały złożyć wniosek o wpis według harmonogramu określonego przez ministra w komunikacie.

Minister właściwy do spraw informatyzacji ogłosi w swoim dzienniku urzędowym komunikat określający harmonogram składania wniosków przez poszczególne rodzaje podmiotów.

Wykaz zostanie utworzony w terminie miesiąca od dnia wejścia w życie ustawy. Następnie według harmonogramu rozpocznie się proces rejestracji podmiotów.

Szczegółowe wymagania dotyczące wniosku o wpis do wykazu zostaną określone w przepisach wykonawczych. Spodziewane informacje to m.in.:

• dane identyfikacyjne podmiotu
• sektor działalności
• typ podmiotu (kluczowy/ważny)
• informacje o świadczonych usługach
• dane kontaktowe
• informacje o osobie odpowiedzialnej za cyberbezpieczeństwo

Podmioty kluczowe i ważne muszą powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.
Kierownik podmiotu oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa muszą przechodzić szkolenie raz w roku kalendarzowym. Bezpłatne szkolenia z zakresu cyberbezpieczeństwa są organizowane na przykład w ramach Akademii CeZ.

Kierownik podmiotu kluczowego lub ważnego oraz osoba odpowiedzialna za cyberbezpieczeństwo przechodzą szkolenie raz w roku kalendarzowym.

Zakres szkolenia musi obejmować wykonywanie obowiązków określonych w ustawie, w tym:

• SZBI, 
• zgłaszanie incydentów, 
• zarządzanie ryzykiem, 
• audyty itp.

Udział w szkoleniu musi być udokumentowany.

Strona została stworzona, aby pomóc organizacjom w przygotowaniu się do wejścia w życie nowelizacji ustawy o KSC. Oferujemy:

• narzędzie do weryfikacji statusu podmiotu (kluczowy/ważny/nieobjęty)
• formularz oceny gotowości do spełnienia wymagań ustawy
• generowanie przykładowego planu działania 
• dostęp do aktualnych dokumentów i materiałów pomocniczych
• rekomendacje dostosowane do typu podmiotu

Tak. Korzystanie z narzędzi jest bezpłatne. Informacje o szczegółach dostępności i warunkach korzystania z serwisu należy uzyskać u administratora portalu (Centrum e-Zdrowia). Strona ma charakter informacyjno-edukacyjny i jest przeznaczona dla osób zajmujących się tematyką UKSC i wdrażaniem jej nowelizacji w podmiotach sektora ochrony zdrowia.

NIE. Wyniki z formularzy mają charakter wyłącznie informacyjny i pomocniczy. Nie stanowią interpretacji prawnej ani wiążącej oceny statusu podmiotu.

W przypadku wątpliwości należy skonsultować się z prawnikiem lub bezpośrednio z właściwym organem do spraw cyberbezpieczeństwa.

Informacje w serwisie są aktualizowane na bieżąco w miarę postępu prac legislacyjnych i publikacji nowych wersji projektu ustawy oraz przepisów wykonawczych.

Zalecamy regularne sprawdzanie serwisu oraz weryfikowanie informacji na oficjalnych stronach rządowych.

Jeśli nie znalazłeś odpowiedzi na swoje pytanie:

• skontaktuj się z CSIRT CeZ
• sprawdź pełny tekst projektu nowelizacji dostępny w sekcji "Dokumenty do pobrania"
• sprawdź oficjalne strony krajowych zespołów CSIRT: CSIRT GOV, Cert Polska, CSIRT MON
• skonsultuj się z prawnikiem specjalizującym się w cyberbezpieczeństwie