close
menu
 

15 kwietnia 2026

Zgodność z ustawą KSC nie tak wielkim wyzwaniem? Co powinien wiedzieć każdy menadżer.

Ustawa KSC wchodzi w życie a eksperci cyberbezpieczeństwa wyjaśniają czy wdrożenie opisanych w niej wymagań będzie aż tak dużym wyzwaniem dla polskich przedsiębiorstw i instytucji, jak można wnioskować z temperatury dyskusji na ten temat.

Niemałe grono objętych obowiązkami podmiotów nie będzie musiało robić wiele by osiągnąć zgodność z przepisami, a dla tych które dopiero zabierają się do działania powodem do zmartwień może być m.in. czas dostosowania się do ustawy i koszty. Kluczowy dla nich będzie pierwszy rok, a odpowiedzią na wyzwania może być outsourcing.

Spełniasz normy ISO – będzie ci łatwiej

Duża część organizacji, de facto już jest przygotowana na wymogi wchodzącej w życie ustawy. Dotyczy to podmiotów, których dotychczasowe działania w obszarze bezpieczeństwa wiązały się na przykład z wdrożeniem norm ISO 27001 / ISO 27002, 27005 czy NIST SP 800-53 / 30, czyli katalogami kontroli bezpieczeństwa i prywatności oraz oceny ryzyka, stosowanymi jako standard w systemach informatycznych.

Duży wpływ na stopień przygotowania do implementacji wymogów ustawy KSC ma świadomość dyrektorów ds. bezpieczeństwa informacji w organizacjach. Jej odpowiednio wysoki poziom przekłada się na kulturę cybersecurity, świadomość istnienia regulacji, a w konsekwencji bieżącą dbałość o zapewnienie zasobów finansowych i know-how

Aleksander Kostuch
inżynier Stormshield

Zagrożenia cyfrowe nie są przecież wymysłem dnia dzisiejszego i by się przed nimi bronić firmy podejmują stosowne działania.

Dlatego w przypadku całkiem niemałego grona podmiotów do zapewnienia zgodności z nowymi przepisami wystarczy ogólnie mówiąc aktualizacja oprogramowania, a także przegląd oraz weryfikacja istniejących rozwiązań i zabezpieczeń. W praktyce oznacza to, że dostosowanie do wymogów KSC nie będzie rewolucją, a raczej uporządkowaniem i formalizacją procesów bezpieczeństwa, które już funkcjonują w ich środowiskach IT

Aleksander Kostuch
inżynier Stormshield

Początkujący będą mieli trudniej – co i kiedy zrobić

Osobną kategorią są podmioty, które dopiero po wejściu w życie ustawy będą mogły upewnić się czy w ogóle i w jakim stopniu jej podlegają. Wpływ na taką sytuację miał przedłużających się proces legislacyjny w trakcie, którego zmianie ulegały tak istotne kwestie jak np. definicja i katalog podmiotów ważnych i kluczowych. W przypadku tych przedsiębiorstw i instytucji aktualność zachowują ogólne porady dotyczące wdrażania wymogów Ustawy KSC.

Pięć kroków, które przedsiębiorstwa i instytucje powinny zrobić już teraz

  1. Organizacja działu cyberbezpieczeństwa. Należy podjąć decyzję, czy organizacja powołuje dział wewnętrzny bądź będzie chciała skorzystać ze wsparcia zewnętrznego dostawcy.
  2. Wyznaczenie osoby/osób odpowiedzialnych za utrzymywanie kontaktu z podmiotami Krajowego Systemu Cyberbezpieczeństwa (m.in. z Ministerstwem Cyfryzacji oraz CSIRT-ami).
  3. Inwentaryzacja sprzętu i oprogramowania. Niezależnie od tego, czy zostaniemy objęci wymogami znowelizowanej ustawy regularna inwentaryzacja pozostaje dobrą praktyką, będąc jednym z fundamentów bezpieczeństwa.
  4. Szacowanie ryzyka wystąpienia incydentów. Korzystając ze wsparcia specjalistów można wykonać kolejny istotny krok, czyli określić, które obszary wynikające ze specyfiki działalności naszej organizacji wymagają wdrożenia dodatkowych rozwiązań, procedur i szkoleń, aby zapobiegać i ograniczać ewentualny wpływ incydentów. Pozwoli to również oszacować koszty i ustalić priorytety przyszłych zakupów i wdrożeń sprzętu czy technologii.
  5. Zarządzanie incydentami. Mowa zarówno o wykrywaniu i zgłaszaniu incydentów do odpowiednich podmiotów. W tej procedurze kluczową rolę odgrywać będą osoby wskazane do kontaktu z KSC oraz odpowiedzialne za działanie aż do momentu usunięcia skutków incydentu.

Harmonogram wdrażanie wymogów dla podmiotów kluczowych i ważnych spełniających kryteria w dniu wejścia w życie ustawy [3 kwietnia 2026 roku]

Data Obszar/wymaganie Działania
3.10.2026 Wpis do wykazu* Przygotować i złożyć wniosek o wpis do wykazu podmiotów kluczowych/ważnych, w przypadku podmiotów spełniających przesłanki w dniu wejścia w życie ustaw.
3.10.2026 System S46 Gotowość „formalno-rejestrowa” potrzebna do obsługi wpisu/komunikacji z wykorzystaniem systemu (dostępy, role, instrukcja).
3.04.2027 Wdrożenie obowiązków Pakiet organizacyjno techniczny wynikający z nowych przepisów obejmuje:
- wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji: systematyczne szacowanie ryzyka, zarządzanie ryzykiem, polityki i procedury,
- zapewnienie monitorowania w trybie ciągłym (np. SOC wewnętrzny) i ścieżki eskalacji,
- zapewnienie monitorowania w trybie ciągłym (np. SOC wewnętrzny) i ścieżki eskalacji,
- zapewnienie środków technicznych i organizacyjnych adekwatnych do ryzyka m.in.: bezpieczna eksploatacja, bezpieczeństwo fizyczne, mechanizmy CIAA, aktualizacje i ochrona przed modyfikacją
3.04.2027 System S46 Gotowość „operacyjna” do obsługi incydentów i raportowania w terminach 24h/72h w procesach SOC/IR
3.04.2027 Zarządzanie incydentami Wdrożyć proces zarządzania incydentami (definicje, klasyfikacja, role, komunikacja, dokumentowanie, lessons learned).
3.04.2027 Raportowanie incydentów (terminy „zegarowe”) Przygotować zdolność do zgłoszeń incydentów w terminach wynikających z reżimu NIS2/KSC (np. 24h/72h) i osadzić ją w SOC i systemie S46.
3.04.2027 Ciągłość działania Wdrożyć plany ciągłości oraz odtwarzania działalności, w tym testy odtworzeniowe (DR/backup restore) dla usług i systemów.
3.04.2027 Łańcuch dostaw / ICT Uruchomić zarządzanie ryzykiem w łańcuchu dostaw ICT (rejestr dostawców krytycznych, wymagania umowne, oceny okresowe).
3.04.2028 Audyt cyberbezpieczeństwa Pierwszy a kolejne min. co 3 lata.
od 3.04.2028 Sankcje Po upływie 2 lat od wejścia w życie ustawy dla większości obowiązków mogą być nakładane kary administracyjne odnoszące się do braku spełnienia wymogów – podmioty objęte ustawą są zobligowane Utrzymywać komplet dowodów i gotowość na kontrolę

W przypadku najbardziej opóźnionych podmiotów wdrożenie wymogów może być dość długotrwałym, wymagającym i kosztownym procesem. Jednak rekomendowane działania nie powinny być analizowane wyłącznie jako „koszt regulacyjny”, lecz element budowy odporności przedsiębiorstwa i organizacji. Choć zarówno na etapie Capex i Opex nakłady mogą kształtować się na potencjalnie wysokim poziomie, to i tak koszty zaniechania dbałości o cyfrowe bezpieczeństwo najpewniej okażą się znacznie wyższe. O czym przesądzą straty wynikające z incydentu, w tym przestoje operacyjne, utrata reputacji i kary administracyjne. Na te ostatnie szczególnie narażone będą osoby pełniące stanowiska kierownicze podmiotów, które znajdują się na początku swojej drogi związanej z implementacją ustawy KSC.

Mam nadzieję, że kwestia nakładania kar pozostanie przede wszystkim straszakiem, mającym na celu mobilizację kluczowych decydentów do podjęcia działań. Osobiście oceniam, że zasadnym byłoby przyjąć kryteria pozwalające określić, czy podmiot i osoby nim kierujące dołożyły starań by dostosować organizację do przepisów. I z uwzględnieniem tej kwestii nakładać kary, jeśli zaistnieje sytuacja ich wymagająca. Jeszcze innym rozwiązaniem byłby mechanizm, w którym środki zaliczone na poczet kar byłyby obligatoryjnie przeznaczane na poprawę bezpieczeństwa IT. W ten sposób, można by niejako „zmusić” do działania podmiot, który uprzednio się przed tym wzbraniał, czego skutkiem byłby incydent naruszenia bezpieczeństwa

Aleksander Kostuch
dodaje inżynier Stormshield

Opcją dla firm i instytucji pozwalającą skutecznie dopasowywać się do nowych wymogów pozostaje outsourcing usług.

Obszarami, w których można uzyskać wsparcie ze strony podmiotów działających w sektorze cyberbezpieczeństwa jest choćby opracowanie Systemu Zarządzania Bezpieczeństwem Informacji czy usługa SOC, czyli zespołu obsługującego podmiot w zakresie monitorowania i reagowania na potencjale zagrożenia przez 24 godziny na dobę

Piotr Piasecki
DAGMA Bezpieczeństwo IT

Taki model wiąże się z niższym kosztem początkowym, pozwala szybciej osiągnąć cele i ogranicza ryzyka związane z rotacją pracowników a w konsekwencji brakami kompetencyjnymi.

Jednak korzystanie z outsourcingu nie zwalnia z odpowiedzialności w zakresie wypełnienia regulacji. To oznacza, że w podstawowym zakresie niezbędne jest poleganie na własnych zasobach, choćby z myślą o bieżącej kontroli jakości świadczonych przez outsourcera usług

Aleksander Kostuch
dodaje inżynier Stormshield

* W innych przypadkach wpisu należy dokonać w okresie 6 m-cy od spełnienia wymogów, a terminy wdrożenia poszczególnych obowiązków wynoszą od 6 do 24 m-cy.

informacja stormshield
Piotr Zielaskiewicz

Piotr Zielaskiewicz
senior product manager STORMSHIELD

Masz pytania?
Skontaktuj się ze mną:
zielaskiewicz.p@dagma.pl
32 259 11 38

Polecane wydarzenia:

arrow_forward_ios
BEZPŁATNY WEBINAR
12 maja 2026 | godz: 10:00

Cyberbezpieczeństwo 360° - kompleksowa ochrona sieci

stormshieldwebinarna żywoonlinepolecamy
BEZPŁATNY WEBINAR
21 kwietnia 2026 | godz: 10:00

Centralne zarządzanie bezpieczeństwem w rozproszonym środowisku

stormshieldwebinarna żywoonline
BEZPŁATNY WEBINAR
23 kwietnia 2026 | godz: 12:00

Cyberbezpieczeństwo przemysłowe zgodne z NIS2

stormshieldwebinar technicznyna żywoonline
BEZPŁATNY WEBINAR
24 kwietnia 2026 | godz: 10:00

Stormshield w praktyce: pełna konfiguracja NGFW, ochrona IT/OT i praktyczne scenariusze wdrożeń

stormshieldwebinar technicznyna żywoonline
BEZPŁATNY WEBINAR
28 kwietnia 2026 | godz: 10:00

Jak skonfigurować skuteczny system SIEM/SOAR - monitorowanie, detekcja i automatyzacja

stormshieldwebinarna żywoonline#siem#soar
WARSZTAT
20 maja 2026 | godz: 09:00

Akademia Bezpieczeństwa Sieci Stormshield

stormshieldwarsztatna żywoonline
arrow_forward_ios