Kolejna fatalna wiadomość dla biznesu?

Od 3 kwietnia 2026 roku wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wprowadza nowe obowiązki dla przedsiębiorstw i instytucji publicznych w zakresie ochrony przed cyberzagrożeniami oraz wdraża unijną dyrektywę NIS 2 i przepisy dotyczące bezpieczeństwa sieci 5G. Nowelizacja niesie ze sobą kolejne obciążenia, koszty i problemy dla przedsiębiorców.

Co wchodzi w życie

Nowelizacja ustawy wymaga, aby firmy same oceniły, czy należą do podmiotów kluczowych lub ważnych w systemie KSC, a następnie, jeśli tak, zarejestrowały się w specjalnym wykazie. Do nowych obowiązków należą m.in. wdrożenie systemów zarządzania bezpieczeństwem informacji, regularne oceny ryzyka wystąpienia incydentów, zbieranie danych o zagrożeniach cybernetycznych, wdrażanie procedur ograniczających skutki incydentów, a także przeprowadzanie audytów i szkolenia pracowników. Firmy będą również musiały stosować środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka, w tym kontrolę dostępu, bezpieczne środki komunikacji i uwierzytelnianie wieloskładnikowe.

Czas, jaki miały przedsiębiorstwa na przygotowanie

Przedsiębiorcy będą mogli rejestrować się w wykazie podmiotów KSC od 7 maja do 3 października 2026 roku. Pełne wdrożenie obowiązków wynikających z nowelizacji musi nastąpić do 3 kwietnia 2027 roku, a pierwszy obowiązkowy audyt cyberbezpieczeństwa dla podmiotów kluczowych do 3 kwietnia 2028 roku.

Zwiastun kolejnych problemów

Jednym z głównych problemów jest znaczące obciążenie administracyjne dla firm. Przedsiębiorcy będą musieli samodzielnie ocenić, czy ich działalność kwalifikuje się do KSC, a następnie, jeśli tak, zarejestrować się w wykazie podmiotów objętych nowymi przepisami. Konieczność wdrożenia systemów zarządzania bezpieczeństwem informacji, opracowania procedur cyberbezpieczeństwa, przeprowadzania audytów oraz stosowania środków technicznych generuje dodatkową pracę, szczególnie w małych i średnich przedsiębiorstwach, które dotąd nie musiały spełniać takich wymagań.**

Nowe przepisy wiążą się także z istotnym wzrostem kosztów operacyjnych. Firmy będą musiały inwestować w szkolenia dla pracowników, oprogramowanie, systemy monitorowania incydentów oraz zabezpieczenia techniczne. Dodatkowo, obowiązkowe audyty cyberbezpieczeństwa, regularne aktualizacje systemów i wdrożenie polityk bezpieczeństwa generują znaczne nakłady finansowe, szczególnie w sektorach, które zostały włączone do KSC po raz pierwszy, takich jak przestrzeń kosmiczna, produkcja chemikaliów czy żywności.

Oprócz kosztów, kary finansowe

Wdrożenie wymogów KSC generuje znaczące koszty operacyjne, obejmujące szkolenia pracowników, zakup oprogramowania, systemy monitorowania incydentów oraz środki techniczne i organizacyjne. Dodatkowo przedsiębiorstwa narażone są na wysokie kary finansowe – do 42 mln zł dla podmiotów kluczowych i do 20 mln zł dla podmiotów ważnych – a każdy dzień opóźnienia w realizacji nakazów może skutkować karą od 500 zł do 100 tys. zł. Koszty są szczególnie wysokie w nowych sektorach objętych regulacją, takich jak przestrzeń kosmiczna, produkcja chemikaliów i żywności, czy zarządzanie ICT.

Fatalna odpowiedź na problem - jeszcze więcej obciążeń dla przedsiębiorców

Wicepremier i minister cyfryzacji Krzysztof Gawkowski podkreślił znaczenie nowelizacji: „W odpowiedzi na rosnącą liczbę cyberataków na infrastrukturę krytyczną oraz zwiększającą się skalę dezinformacji tworzymy nowy ekosystem, który zapewni większe bezpieczeństwo państwa i obywateli.”

pap, jb