Krajowy system cyberbezpieczeństwa - ustawa KSC, nowelizacja NIS2, dokumenty

Ustawa i dokumenty

Krajowy system cyberbezpieczeństwa oparty jest na ustawie z dnia 5 lipca 2018 r., gruntownie znowelizowanej ustawą z dnia 23 stycznia 2026 r. Nowelizacja implementuje unijną dyrektywę NIS2 i tworzy kompleksowy system bezpieczeństwa teleinformatycznego na poziomie krajowym. Jego celem jest zapewnienie cyberbezpieczeństwa państwa, w szczególności niezakłóconego świadczenia usług kluczowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych.

Kluczowe elementy systemu po nowelizacji z 2026 r.:

Nowa klasyfikacja podmiotów: kluczowe i ważne (implementacja dyrektywy NIS2)
Zespoły CSIRT poziomu krajowego (NASK, GOV, MON) oraz CSIRT sektorowe
Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)
Obowiązki zgłaszania i obsługi incydentów poważnych przez system S46
Organy właściwe ds. cyberbezpieczeństwa sprawujące nadzór nad podmiotami
Kary pieniężne do 10 mln euro dla podmiotów kluczowych i 7 mln euro dla ważnych

Kluczowe elementy systemu według ustawy z 2018 r.:

Operatorzy usług kluczowych i dostawcy usług cyfrowych
Zespoły CSIRT poziomu krajowego (NASK, GOV, MON)
Obowiązki zgłaszania i obsługi incydentów cyberbezpieczeństwa
Organy właściwe ds. cyberbezpieczeństwa
System zarządzania ryzykiem i bezpieczeństwem teleinformatycznym

Nowelizacja KSC 2026 (PDF) Ustawa KSC 2018 (PDF) Prezentacja PDF Przejdź do gov.pl

Sprawozdania roczne

Sprawozdania Pełnomocnika Rządu ds. Cyberbezpieczeństwa z wykonywania obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa.

Sprawozdanie 2023 Sprawozdanie 2024

Akty prawne

Kompletny zbiór ustaw i rozporządzeń regulujących krajowy system cyberbezpieczeństwa w Polsce.

Tytuł	Oznaczenie dziennika	Typ dokumentu	Data ogłoszenia	Nazwa dziennika	Rok	Pozycja
Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw	Dziennik Ustaw 2026 r. poz. 252	Ustawa	02-03-2026	Dziennik Ustaw	2026	252
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa	Dziennik Ustaw 2018 r. poz. 1560	Ustawa	13-08-2018	Dziennik Ustaw	2018	1560
Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo	Dziennik Ustaw 2019 r. poz. 2479	Rozporządzenie	20-12-2019	Dziennik Ustaw	2019	2479
Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny	Dziennik Ustaw 2018 r. poz. 2180	Rozporządzenie	30-11-2018	Dziennik Ustaw	2018	2180
Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej	Dziennik Ustaw 2018 r. poz. 2080	Rozporządzenie	02-11-2018	Dziennik Ustaw	2018	2080
Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu	Dziennik Ustaw 2018 r. poz. 1999	Rozporządzenie	19-10-2018	Dziennik Ustaw	2018	1999
Rozporządzenie Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa	Dziennik Ustaw 2018 r. poz. 1952	Rozporządzenie	12-10-2018	Dziennik Ustaw	2018	1952
Rozporządzenie Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług	Dziennik Ustaw 2018 r. poz. 1831	Rozporządzenie	01-10-2018	Dziennik Ustaw	2018	1831
Rozporządzenie Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług	Dziennik Ustaw 2018 r. poz. 1830	Rozporządzenie	01-10-2018	Dziennik Ustaw	2018	1830
Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych	Dziennik Ustaw 2018 r. poz. 1806	Rozporządzenie	21-09-2018	Dziennik Ustaw	2018	1806

1 - 10 z 10

z 1

Najczęściej zadawane pytania (FAQ)

Pytania i odpowiedzi dotyczące ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa po nowelizacji.

Pobierz materiały FAQ

Zestaw najczęściej zadawanych pytań i odpowiedzi dotyczących ustawy o krajowym systemie cyberbezpieczeństwa (KSC) po nowelizacji. Materiał pomocny dla organizacji objętych regulacjami NIS2.

Zobacz dokument Pobierz PDF

Ostatnia aktualizacja: 03-04-2026 00:00

Cyber Katalog prezentuje oficjalne dokumenty dotyczące krajowego systemu cyberbezpieczeństwa. Nie odpowiadamy za treść ani aktualność tych dokumentów, które pochodzą z oficjalnych źródeł rządowych.

Ustawa i dokumenty

Kluczowe elementy systemu po nowelizacji z 2026 r.:

Kluczowe elementy systemu według ustawy z 2018 r.:

Sprawozdania roczne

Akty prawne

Najczęściej zadawane pytania (FAQ)

1.1. Co musi zrobić przedsiębiorca, który nie wie czy podlega pod krajowy system cyberbezpieczeństwa?

1.2. Kto jest podmiotem kluczowym?

1.3. Kto jest podmiotem ważnym?

1.4. Jakie sektory są objęte ustawą?

1.5. Jak określić wielkość przedsiębiorstwa?

1.6. Czy przy ustalaniu wielkości przedsiębiorstwa podmiot musi uwzględnić przedsiębiorstwa partnerskie i powiązane, jeżeli nie świadczy z nimi wspólnie usług?

1.7. Jakie podmioty są podmiotami kluczowymi niezależnie od ich wielkości?

1.8. Czy wszystkie podmioty publiczne podlegają pod ustawę o krajowym systemie cyberbezpieczeństwa?

1.9. Czy wszyscy przedsiębiorcy telekomunikacyjni podlegają pod ustawę o krajowym systemie cyberbezpieczeństwa?

1.10. Co w przypadku, gdy podmiot spełnia kryteria zarówno dla podmiotu kluczowego jak i podmiotu ważnego?

1.11. Czym się różni podmiot kluczowy od podmiotu ważnego?

1.12. Czy podmiot kluczowy lub podmiot ważny otrzymują decyzję administracyjną o ich kwalifikacji?

1.13. Czy organ właściwy do spraw cyberbezpieczeństwa może skierować zapytanie do podmiotu w sprawie ustalenia czy jest podmiotem kluczowym lub podmiotem ważnym?

1.14. Kiedy podmiot kluczowy lub podmiot ważny podlega pod właściwość polskich organów?

1.15. Jakie są wyjątki od jurysdykcji polskiej?

1.16. Czy szkoły (podstawowe), przedszkola również są podmiotami KSC?

1.17. Kiedy uczelnia staje się organizacją badawczą w rozumieniu ustawy?

1.18. Czy przedsiębiorca komunikacji elektronicznej w świetle ustawy może być dostawcą sieci dostarczania treści (Content Delivery Network)?

1.19. Czy mały przedsiębiorca komunikacji elektronicznej będący jednocześnie dostawcą usługi dostępu do Internetu oraz świadczący usługę DNS będzie podmiotem kluczowym czy podmiotem ważnym?

1.20. Co, jeśli przedsiębiorca dokona nieprawidłowej samoidentyfikacji?

1.21. Czy spółka IT realizująca zadania z zakresu cyberbezpieczeństwa tylko dla własnej grupy kapitałowej podlega znowelizowanej KSC?

1.22. Kim jest dostawca usług chmurowych?

1.23. Czy w zakres definicji dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa wchodzą dostawcy oprogramowania?

2.1. Kiedy należy zarejestrować się w wykazie podmiotów kluczowych i podmiotów ważnych?

2.2. W jaki sposób należy złożyć wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych?

2.3. Które podmioty zostaną wpisane do wykazu z urzędu?

2.4. Czy organ właściwy do spraw cyberbezpieczeństwa może wpisać z urzędu podmiot do wykazu podmiotów kluczowych i podmiotów ważnych?

2.5. Czy spółka uznana za operatora usługi kluczowej musi wpisać się do wykazu podmiotów kluczowych i podmiotów ważnych?

2.6. Czy wszystkie urzędy gmin stają się automatycznie podmiotem ważnym lub kluczowym? Czy urząd otrzyma decyzję o ujęciu w rejestrze jako podmiot kluczowy lub ważny?

2.7. Czy wpisowi do wykazu podmiotów kluczowych i podmiotów ważnych podlega działalność faktyczna czy ta wykazana w rejestrach publicznych?

2.8. Co z przedsiębiorstwem, którego główna działalność nie kwalifikuje się do wpisania do rejestru podmiotów ważnych i kluczowych, ale poboczna tak. Czy powinien złożyć wniosek o wpis?

2.9. Czy spółki zależne od operatora usługi kluczowej też powinny zostać zgłoszone do wykazu podmiotów kluczowych i podmiotów ważnych?

2.10. Jakie dane będą znajdowały się w wykazie podmiotów kluczowych i podmiotów ważnych?

3.1. Jakie są istotne terminy wdrożenia dla podmiotów kluczowych i podmiotów ważnych?

3.2. Co musi zrobić podmiot, żeby dostosować się do wymogów ustawy?

3.3. Jakie są podstawowe obowiązki dla podmiotu kluczowego i podmiotu ważnego w zakresie systemu zarządzania bezpieczeństwem informacji?

3.4. Jak zidentyfikować systemy informacyjne, w których należy wdrożyć system zarządzania bezpieczeństwem informacji (SZBI)?

3.5. Co powinna zawierać dokumentacja systemu zarządzania bezpieczeństwem informacji (SZBI)?

3.6. Czy muszę tworzyć nową odrębną dokumentację systemu zarządzania bezpieczeństwem informacji (SZBI)?

3.7. Kupiłem dokumentację zgodną z NIS2. Czy jestem zgodny z ustawą o KSC?

3.8. Czy należy zapewnić szkolenia z zakresu cyberbezpieczeństwa dla personelu podmiotu kluczowego lub podmiotu ważnego?

3.9. Jakie są obowiązki w zakresie zarządzania bezpieczeństwem łańcucha dostaw?

3.10. Czy personel podmiotu kluczowego lub podmiotu ważnego podlega weryfikacji?

3.11. Czy osoba, która posiada poświadczenie bezpieczeństwa również podlega obowiązkowej weryfikacji niekaralności?

3.12. Czy przedsiębiorcy świadczący usługi obsługi incydentów mają dodatkowe obowiązki?

3.13. Jakie są obowiązki z zakresu cyberbezpieczeństwa dla samorządowych podmiotów publicznych?

3.14. Czy muszę mieć Security Operations Center (SOC)?

3.15. Jakie są obowiązki podmiotów kluczowych i podmiotów ważnych w zakresie kontaktów z innymi podmiotami oraz użytkownikami?

3.16. Kto może być osobą kontaktową z podmiotami krajowego systemu cyberbezpieczeństwa?

3.17. Czy obowiązki z zakresu cyberbezpieczeństwa muszę realizować w ramach swojej struktury organizacyjnej?

4.1. Jakie są podstawowe obowiązki kierownika podmiotu kluczowego lub podmiotu ważnego?

4.2. Kim jest kierownik podmiotu kluczowego lub podmiotu ważnego?

4.3. Czy kierownik podmiotu kluczowego lub podmiotu ważnego podlega obowiązkowym szkoleniom?

4.4. Za co ponosi odpowiedzialność kierownik podmiotu kluczowego lub ważnego?

5.1. Jakie są rodzaje zespołów CSIRT?

5.2. Jakie są dane kontaktowe do zespołów CSIRT poziomu krajowego?

5.3. Czym jest CSIRT sektorowy?

6.1. Czym jest incydent?

6.2. Jakie są rodzaje incydentów?

6.3. Czy muszę zgłaszać wszystkie incydenty?

6.4. Jakie są obowiązki z zakresu obsługi incydentów?

6.5. Jak określić moment wykrycia incydentu?

6.6. Czy incydenty związane z automatyką przemysłową są także zgłaszane do zespołów CSIRT sektorowych?

6.7. Czy mogę dobrowolnie zgłaszać informacje o incydentach do zespołów CSIRT?

6.8. Co to jest potencjalne zdarzenie dla cyberbezpieczeństwa? Czy muszę je zgłaszać?

6.9. Czym jest poważne cyberzagrożenie? Czy wiążą się z nim obowiązki informacyjne?

6.10. Czym jest incydent poważny?

6.11. Co zawiera wczesne ostrzeżenie o incydencie poważnym?

6.12. Czy małe samorządowe jednostki budżetowe muszą zgłaszać wczesne ostrzeżenie o incydencie poważnym?

6.13. W jaki sposób zgłasza się incydenty poważne?

6.14. Co zawiera zgłoszenie incydentu poważnego?

6.15. Nie mam wszystkich danych w chwili zgłoszenia incydentu poważnego - co muszę zrobić?

6.16. Kiedy muszę poinformować swoich użytkowników o incydencie poważnym?

6.18. Czy istnieją przepisy unijne określające progi incydentu poważnego dla niektórych podmiotów kluczowych i podmiotów ważnych?