790 004 448

info@ciso24.pl

Koniec legislacyjnej niepewności. Nowela KSC przyjęta przez Sejm – nowe obowiązki i kary dla zarządów stają się faktem.

Audyt it

Wielu menedżerów wciąż traktuje nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) jako odległą perspektywę, „pieśń przyszłości”, którą zajmą się, gdy nadejdzie odpowiedni czas. To błąd. Sejm przyjął ustawę, kończąc tym samym okres legislacyjnej niepewności.

Dla polskich firm oznacza to jedno: zegar zaczął tykać. Przechodzimy z fazy „wait and see” do fazy operacyjnej. W tym artykule pokażemy, co ta decyzja oznacza dla Twojej organizacji od pierwszego dnia. Przeanalizujemy kalendarium (Senat, Prezydent, vacatio legis), wskażemy priorytety „tu i teraz” oraz wyjaśnimy, jak zarząd powinien dokumentować należytą staranność, by uniknąć dotkliwych kar finansowych.

1. Tło i kalendarium: Koniec wróżenia z fusów

Decyzja Sejmu zamyka etap dyskusji. Teraz liczą się konkrety: odpowiedzialność zarządów, nowe obowiązki dla operatorów usług kluczowych i podmiotów publicznych, a także kary, które mogą realnie zaboleć budżet firmy.

Jak wygląda kalendarz legislacyjny?

  1. 15.01.2026: Sejm przyjmuje nowelizację KSC.
  2. Koniec stycznia 2026: Ustawa trafia do Senatu. Mogą pojawić się poprawki, ale rdzeń obowiązków pozostanie bez zmian.
  3. Luty 2026: Podpis Prezydenta i publikacja w Dzienniku Ustaw.
  4. Marzec/Kwiecień 2026: Koniec vacatio legis (zazwyczaj 30–60 dni) i wejście przepisów w życie.

Co robić „tu i teraz”?

Zamiast dyskutować na korytarzu, uruchom tryb „delivery”.

  • Mapa luk (Gap Assessment): Sprawdź, czego Ci brakuje względem nowych wymogów (np. zarządzanie łańcuchem dostaw, audyty, krótsze czasy zgłaszania incydentów).
  • Rejestr obowiązków: Przypisz konkretnych właścicieli do zadań: kto odpowiada za analizę ryzyka? Kto za testy odporności? Kto za szkolenia zarządu?.
  • Komunikacja do zarządu: Przedstaw sytuację jasno – pokaż zakres odpowiedzialności, widełki potencjalnych kar i ścieżkę decyzyjną (budżet, zasoby).

Okno na przygotowanie jest krótkie – realny start nowych wymogów to kwestia kilku tygodni.

2. Kluczowe obowiązki: Czego wymaga ustawa?

Nowe przepisy uderzają w podmioty z sektorów o podwyższonym ryzyku. Ustawodawca oczekuje realnych działań, a nie slajdów w prezentacjach. Chodzi o procesy, które da się zweryfikować podczas kontroli.

Oto 7 filarów zgodności z nowym KSC:

  1. Zarządzanie ryzykiem: Musisz regularnie identyfikować i oceniać ryzyka oraz mapować systemy krytyczne. Wymagany jest kwartalny rejestr ryzyk z planami mitygacji, przeglądany przez zarząd.
  2. Obsługa incydentów: Musisz mieć procedurę z jasnymi progami czasowymi (SLA) dla zgłoszeń (np. 15/60/240 min dla krytycznych zdarzeń) i gotowe szablony raportów do CSIRT/NASK.
  3. Testy i audyty: Cykliczne pentesty, przeglądy konfiguracji i niezależny audyt zgodności KSC. Wynikiem musi być raport z listą podatności i planem naprawczym.
  4. Ciągłość działania (BCM): Analiza BIA, RTO/RPO i plany odtworzeniowe. Wymagane są dowody z testów (np. protokół z przełączenia na środowisko zapasowe).
  5. Łańcuch dostaw: Ocena dostawców (Vendor Risk Management) i twarde klauzule w umowach (prawo do audytu, SLA).
  6. Szkolenia: Onboarding pracowników, kampanie phishingowe oraz specjalistyczne szkolenia dla administratorów i zarządu. Liczą się wyniki symulacji i dashboard z postępami.
  7. Technikalia: Centralny SIEM, polityka patchowania, segmentacja sieci, MFA i hardening systemów.

Wskazówka od CISO24: Eksperci radzą dopiąć trzy rzeczy natychmiast: widoczność (logowanie), procedury (runbooki) i dowody (artefakty z testów). To te elementy najczęściej sprawdzają kontrolerzy na „dzień dobry”.

3. Zarząd pod lupą: Uchwały i dowody należytej staranności

Nowela KSC kieruje reflektor prosto na zarząd. Odpowiedzialność za cyberbezpieczeństwo przestaje być problemem „działu IT” – staje się problemem biznesowym i prawnym.

Brak decyzji i dokumentów nie przejdzie. Zarząd musi podejmować uchwały sankcjonujące kierunki działań, utrzymywać cykliczny nadzór i gromadzić twarde dowody należytej staranności.

[Miejsce na screen: Tabela obowiązków zarządu – image_d4707c.png]

Jak dokumentować „tone from the top”?

  • Kwartalnie: Przegląd polityki i celów cyberbezpieczeństwa (Uchwała + protokół).
  • Miesięcznie: Status planu remediacji i priorytetów (Backlog z terminami).
  • Miesięcznie: Monitorowanie KPI/KRI (Jednostronicowy dashboard dla zarządu).
  • Ad-hoc: Raporty po każdym istotnym incydencie (Post-mortem).

W teczce zarządu muszą się znaleźć: protokoły posiedzeń, decyzje budżetowe, status wdrożeń, ryzyka top 3–5 oraz wnioski z incydentów.

4. Kary i sankcje: Ile zapłacisz za błędy?

Kary finansowe są liczone równolegle dla organizacji oraz (uwaga!) dla członków zarządu. Organ bierze pod uwagę skalę naruszenia, czas trwania, ryzyko dla usług kluczowych oraz to, czy firma współpracowała, czy grała na zwłokę.

Scenariusz 1: Spóźnione zgłoszenie incydentu

Średnia firma raportuje po 48h zamiast niezwłocznie.

  • Kara dla firmy: orientacyjnie 80 000 – 150 000 zł.
  • Kara dla członka zarządu: 10 000 – 30 000 zł (za brak nadzoru).
  • Okoliczność łagodząca: Pełna współpraca z CSIRT, szybkie powiadomienie klientów.

Scenariusz 2: Brak programu zarządzania ryzykiem

Audyt wykazuje brak analizy ryzyka, polityk i testów.

  • Kara dla firmy: 250 000 – 500 000 zł (za brak systemu).
  • Recydywa: Nawet do 900 000 zł.
  • Kara dla członka zarządu: 30 000 – 80 000 zł.

Scenariusz 3: Ignorowanie zaleceń organu

Firma nie wdraża nakazanych poprawek przez 3 miesiące.

  • Kara dla firmy: Blisko maksymalnej kary ustawowej.
  • Kara dla członka zarządu: Górna granica widełek, ryzyko dodatkowych środków karnych.

Co zmniejsza karę? Współpraca od pierwszego kontaktu, szybkie naprawienie szkód i – przede wszystkim – udokumentowany nadzór zarządu (protokoły, decyzje budżetowe).

5. Plan zgodności: 180 dni do bezpieczeństwa

Plan musi być realistyczny. Jedziemy etapami, bez korporacyjnych labiryntów.

[Miejsce na screen: Harmonogram wdrożenia – image_d4705f.png]

Etap 1 (0–30 dni): Fundamenty

Inwentaryzacja usług, polityka zgłaszania incydentów, start centralnego rejestru ryzyk.

  • KPI: Procedura opublikowana, MTTR incydentu < 24h.

Etap 2 (31–60 dni): Dostawcy i Monitoring

Ocena dostawców krytycznych, przegląd umów, uruchomienie monitoringu i kanałów do CSIRT.

  • KPI: 100% krytycznych dostawców ocenionych, MTTD < 6h.

Etap 3 (61–90 dni): Testy i Wiedza

Test procedur reakcji, szkolenie zarządu, test odtworzenia backupu (DR).

  • KPI: 100% zarządu przeszkolone, RTO/RPO zgodne z wymaganiami.

Etap 4 (91–180 dni): Doskonalenie

Pełne raportowanie do organów, audyt wewnętrzny, ciągłe monitorowanie wskaźników.

  • KPI: 100% incydentów raportowanych na czas.

Potrzebujesz szybkich zwycięstw („quick wins”)? Wdróż politykę zgłaszania incydentów, stwórz rejestr ryzyk i zrób błyskawiczny przegląd umów. To ruchy, które bronią się liczbami.

6. Łańcuch dostaw: Nowy front walki

KSC wychodzi poza mury Twojej firmy. Odpowiadasz za swoich dostawców ICT. Musisz podejmować twarde decyzje: albo trzymasz się partnerów z niskim ryzykiem, albo budujesz szczelne mechanizmy kontrolne w umowach.

Scoring Due Diligence (1–5):

Sprawdzaj kraj pochodzenia, transparentność łańcucha poddostawców, wyniki audytów (SOC2, ISO), certyfikaty oraz zależności serwisowe (SPOF).

Klauzule ratunkowe:

  • Prawo audytu z krótkim SLA.
  • Obowiązek raportowania podatności.
  • Exit plan z przeniesieniem danych.

Jeśli dostawca to „wysokie ryzyko” – rozważ zmianę lub izolację usługi. Jeśli „niskie” – weryfikuj standardowo co kwartał.

Najczęściej zadawane pytania (FAQ)

Czy KSC dotyczy spółek-córek?

Tak, jeśli spełniają kryteria lub realizują usługi kluczowe w Polsce. Warto objąć je grupową polityką cyber.

Jak szybko zgłaszać incydenty?

Zazwyczaj: wstępne zgłoszenie w 24h, raport szczegółowy po 72h. Szczegóły zależą od wytycznych CSIRT.

Czy certyfikaty (ISO 27001) pomagają?

Tak, są silnym dowodem należytej staranności, choć nie zastępują wprost wymogów ustawy.

Jak przygotować budżet bez wszystkich wytycznych?

Podziel go na: działania „no-regret” (monitoring, procedury), rezerwę na przyszłe dostosowania i CAPEX na krytyczne luki.

Jak udokumentować współpracę z organem?

Gromadź maile, potwierdzenia zgłoszeń, logi czasu reakcji i notatki ze spotkań. To Twoja polisa ubezpieczeniowa.

Jeśli chcesz wejść w zgodność z nowym KSC na własnych warunkach, a nie pod dyktando kontrolerów – skontaktuj się z CISO24. Pomożemy Ci zbudować mapę luk, przeszkolić zarząd i przygotować firmę na nowe realia prawne. Czas na działanie właśnie się zaczął.