15 kwietnia 2026

Komunikat Ministerstwa Cyfryzacji i harmonogram obowiązków podmiotów kluczowych i ważnych

W oparciu o komunikat Ministra Cyfryzacji z dnia 8 kwietnia 2026 r. oraz o przepisy nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, przedstawiamy kluczowe terminy realizacji obowiązków dla podmiotów kluczowych i ważnych.

I. Komunikat Ministra Cyfryzacji z dnia 8 kwietnia 2026 r

Minister Cyfryzacji określił następujący harmonogram dla podmiotów, które w dniu wejścia w życie ww. ustawy (tj. 3 kwietnia 2026 r.) spełniają przesłanki uznania ich za podmiot kluczowy albo podmiot ważny.

1.Wpis do wykazu podmiotów kluczowych i ważnych

Podmioty, które podlegają wpisowi do wykazu z urzędu (dotychczasowi operatorzy usług kluczowych, dostawcy usług zaufania, przedsiębiorcy telekomunikacyjni, podmioty krytyczne oraz podmioty publiczne), zostaną wpisane do wykazu podmiotów i ważnych w okresie:

od 13 kwietnia do 6 maja 2026 r.

Następnie podmioty te zostaną wezwane do uzupełnienia danych w wykazie w terminie 6 miesięcy od dnia doręczenia wezwania.

Podmioty, które nie podlegają wpisowi do wykazu z urzędu, są zobowiązane do złożenia wniosku o wpis w terminie:

od dnia 7 maja 2026 r. do dnia 3 października 2026 r.

Wykaz KSC będzie prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl.

2. Rozpoczęcie korzystania z systemu teleinformatycznego S46

System S46 służy m.in. do realizacji obowiązków ustawowych, w szczególności do raportowania incydentów oraz do komunikacji z właściwymi organami. Terminy na rozpoczęcie korzystania z systemu są następujące:

od dnia 8 kwietnia 2026 r. do dnia 3 kwietnia 2027 r. – dla podmiotów, które przed dniem 3 kwietnia 2026 r. były stronami porozumień w sprawie korzystania z systemu S46,
od dnia 12 czerwca 2026 r. do dnia 3 kwietnia 2027 r. – dla pozostałych podmiotów kluczowych i ważnych.

II. Najważniejsze terminy dla podmiotów kluczowych i ważnych

Poniżej przedstawiamy kluczowe daty wynikające z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

Data	Zdarzenie
13 kwietnia 2026 r.	Uruchomienie wykazu podmiotów kluczowych i ważnych (Wykaz KSC).
13 kwietnia – 6 maja 2026 r.	Okres, w którym Minister Cyfryzacji dokonuje wpisów z urzędu do Wykazu KSC (dotyczy: dostawca usług zaufania, przedsiębiorca telekomunikacyjny, podmiot krytyczny, podmiot publiczny oraz dotychczasowy operator usługi kluczowej).
7 maja – 3 października 2026 r.	Termin na złożenie wniosku o wpis do wykazu dla podmiotów nieobjętych wpisem z urzędu.
12 czerwca 2026 r.	Uruchomienie możliwości korzystania z systemu S46 dla nowych podmiotów.
3 kwietnia 2027 r.	Koniec okresu dostosowawczego. Ostateczny termin na rozpoczęcie korzystania z systemu S46 oraz wdrożenie obowiązków wynikających z ustawy (m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji).
3 kwietnia 2028 r.	Termin na przeprowadzenie pierwszego audytu bezpieczeństwa systemu informacyjnego dla podmiotów kluczowych, które dotychczas nie były operatorami usług kluczowych.
3 kwietnia 2028 r.	Początek obowiązywania przepisów o karach pieniężnych.

III. Zgłoszenia incydentów do właściwych CSIRT

Nowelizacja ustawy o KSC wprowadza Sektorowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT sektorowe) jako podstawowy punkt przyjmowania zgłoszeń o incydentach od podmiotów kluczowych i ważnych. Należy jednak zwrócić uwagę na przepisy przejściowe regulujące ten obowiązek.

Zgodnie z przepisami ustawy o zmianie ustawy o KSC:

Do dnia wydania komunikatu o osiągnięciu przez CSIRT sektorowy zdolności operacyjnej, podmioty kluczowe lub podmioty ważne mają obowiązek zgłaszania incydentów poważnych do jednego z trzech krajowych zespołów CSIRT:

CSIRT MON,
CSIRT NASK,
CSIRT GOV.

Obowiązek zgłaszania incydentów poważnych do właściwego CSIRT sektorowego powstaje od dnia następującego po dniu opublikowania przez organ właściwy do spraw cyberbezpieczeństwa komunikatu o osiągnięciu przez ten CSIRT sektorowy zdolności operacyjnej w swoim dzienniku urzędowym.

W praktyce oznacza to, że podmioty kluczowe i ważne muszą śledzić dzienniki urzędowe właściwych dla siebie organów do spraw cyberbezpieczeństwa. Dopiero publikacja stosownego komunikatu uruchamia obowiązek raportowania incydentów bezpośrednio do dedykowanego CSIRT sektorowego.

UWAGA: Do czasu rozpoczęcia realizowania obowiązków, wynikających z rozdziału III znowelizowanej ustawy o KSC, przedsiębiorcy telekomunikacyjni są zobowiązani do realizacji obowiązków ujętych w przepisach działu VIIa ustawy – Prawo telekomunikacyjne (Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych).

Zobacz także:

👉Obowiązki sprawozdawcze DNA

👉Nasza oferta cyberbezpieczeństwo

➡️Zachęcamy do zapisania się na nasz biuletyn 📩

📣W biuletynie KPM eksperci przedstawiają aktualności ze świata rynku mediów i podpowiadają jak przygotować się na zachodzące zmiany.

← poprzedni wpis następny wpis →

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-advertisement	1 rok	Ten plik „cookie”, ustawiony przez wtyczkę RODO Cookie Consent, służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Reklama”.
CookieLawInfoConsent	1 rok	Ten plik „cookie” służy do przechowywania informacji o ustawieniach wyrażonej zgody na wykorzystywanie plików „cookies”.
cookielawinfo-checkbox-others	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Inne”.
cookielawinfo-checkbox-analytics	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Analityka”.
cookielawinfo-checkbox-performance	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Wydajnościowe”.
cookielawinfo-checkbox-functional	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Niezbędne”.
viewed_cookie_policy	12 miesięcy	Niezbędne pliki „cookies” są konieczne do prawidłowego funkcjonowania strony internetowej. Te pliki „cookies” zapewniają anonimowe działanie podstawowych funkcji i zabezpieczeń strony internetowej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Ten plik „cookie” instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_gat_gtag_UA_221281335_1	1 minuta	Ten plik „cookie” instalowany przez Google Analytics, pozwala na rozróżnienie użytkowników.
_gid	1 dzień	Ten plik „cookie” instalowany przez Google Analytics przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej.