Baza wiedzy - obowiązek KSC
Zarządzanie i nadzór nad SZBI
Obowiązek zarządzania i nadzoru nad SZBI w ustawie o KSC: odpowiedzialność kierownika (art. 8c-8d), dokumentacja (art. 10), osoby kontaktowe (art. 9), umowa z MSSP (art. 14). Terminy i praktyka małej firmy.
Status tej treści
TODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.TL;DR
- Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji (SZBI) w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi (art. 8 ust. 1 ustawy o KSC).
- Za wykonywanie obowiązków z zakresu cyberbezpieczeństwa odpowiada osobiście kierownik podmiotu (art. 8c ust. 1) - i nie zwalnia go z tej odpowiedzialności powierzenie zadań innej osobie (art. 8c ust. 3).
- Podmioty, które 3.04.2026 r. spełniały przesłanki ustawy, mają czas na realizację obowiązków z rozdziału 3 (w tym SZBI) do 3.04.2027 r. (art. 33 ust. 1 ustawy z 23.01.2026 r., Dz. U. poz. 252).
- Kary pieniężne mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej), ale środki nadzorcze - kontrole i nakazy z art. 53 - obowiązują już od 3.04.2026 r.
- Kierownikowi za zaniechania grozi osobista kara pieniężna do 300% wynagrodzenia (art. 73a ust. 1 i 4).
Co dokładnie nakazuje ustawa
Fundament jest w jednym zdaniu: podmiot kluczowy lub podmiot ważny “wdraża system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi” (art. 8 ust. 1 ustawy o KSC). Wszystkie pozostałe obowiązki - zarządzanie ryzykiem, incydenty, ciągłość działania, łańcuch dostaw - są środkami tego systemu, wyliczonymi w art. 8 ust. 1 pkt 1-4.
Wokół tego fundamentu ustawa buduje nadzór:
- Odpowiedzialność kierownika (art. 8c). Kierownik podmiotu ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (ust. 1). Powierzenie obowiązków innej osobie nie zwalnia z odpowiedzialności (ust. 3).
- Zadania kierownika (art. 8d). Kierownik: podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI (pkt 1), planuje adekwatne środki finansowe (pkt 2), przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie (pkt 3), zapewnia świadomość obowiązków wśród personelu (pkt 4) oraz zgodność działania podmiotu z prawem i regulacjami wewnętrznymi (pkt 5).
- Coroczne szkolenie kierownika (art. 8e). Raz w roku kalendarzowym, udokumentowane - szczegóły w osobnym artykule o szkoleniach.
- Niekaralność osób realizujących zadania (art. 8f). Osoby realizujące zadania z art. 8 lub art. 11 przedstawiają przed dopuszczeniem do zadań informację o niekaralności z Krajowego Rejestru Karnego.
- Osoby kontaktowe (art. 9). Podmiot wyznacza co najmniej dwie osoby do kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa; mikro- i mali przedsiębiorcy oraz ważne podmioty publiczne - co najmniej jedną (art. 9 ust. 1 pkt 1, ust. 2-3).
- Dokumentacja (art. 10). Podmiot opracowuje, stosuje i aktualizuje dokumentację bezpieczeństwa systemu informacyjnego: normatywną (m.in. dokumentacja SZBI - art. 10 ust. 3 pkt 1) i operacyjną (zapisy potwierdzające wykonywanie czynności - art. 10 ust. 4). Dokumentację przechowuje się co najmniej 2 lata (art. 10).
- Struktury albo umowa (art. 14). Podmiot powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo albo zawiera umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.
Wyjątek: podmiot ważny będący podmiotem publicznym zamiast art. 8 ust. 1 stosuje wymogi SZBI określone w załączniku nr 4 do ustawy (art. 8 ust. 3). To odrębny, lżejszy katalog wymogów - TODO-CONTENT: omówienie reżimu załącznika nr 4 wymaga osobnego opracowania (pozycja nr 6 rejestru niepewności S2, pytanie do radcy).
Jak to wygląda w praktyce małej firmy
Mała firma nie ma działu bezpieczeństwa, więc “system zarządzania” brzmi groźnie. W praktyce SZBI dla podmiotu ważnego zatrudniającego 50-100 osób to komplet kilku dokumentów, kilka rejestrów prowadzonych na bieżąco i kalendarz cyklicznych czynności:
- Polityka SZBI - dokument, który wyznacza zakres systemu (jaki system informacyjny, jakie procesy wpływają na świadczenie usługi - art. 8 ust. 1) i deklaruje zaangażowanie kierownictwa (art. 8d).
- Przypisane role - kto jest kierownikiem w rozumieniu ustawy, komu powierzono zadania, kto jest osobą kontaktową (art. 9). Uwaga: powierzenie nie przenosi odpowiedzialności (art. 8c ust. 3).
- Decyzja: struktura własna czy umowa z MSSP (art. 14) - dla małej firmy zwykle realniejsza jest umowa z zewnętrznym dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa. Uwaga dla firm IT: dostawca takich usług sam jest podmiotem kluczowym już od statusu małego przedsiębiorstwa (art. 5 ust. 1 pkt 3) - jeśli świadczysz je klientom, sprawdź własny status.
- Dokumentacja, która żyje - art. 10 wymaga nie tylko opracowania, ale stosowania i aktualizacji. Dokument wygenerowany raz i zapomniany nie spełnia wymogu; zapisy operacyjne (art. 10 ust. 4) mają pokazywać, że czynności faktycznie się dzieją.
- Cykl przeglądu - ustawa nakłada na kierownika zadanie przeglądu i nadzoru SZBI (art. 8d pkt 1) oraz utrzymywania polityk oceny skuteczności (art. 8 ust. 1 pkt 2 lit. h), ale nie narzuca częstotliwości. Coroczny przegląd SZBI to dobra praktyka (PN-EN ISO/IEC 27001, pkt 9.3), którą przyjmujemy jako domyślny cykl - nie wymóg ustawowy.
Jakie artefakty trzeba mieć
| Artefakt | Podstawa | Uwagi |
|---|---|---|
| Polityka SZBI (zakres + zaangażowanie kierownictwa) | art. 8 ust. 1, art. 10 ust. 3 pkt 1 | forma dokumentu nie jest narzucona przez ustawę; dobra praktyka: PN-EN ISO/IEC 27001 pkt 4.3 i 5.2 |
| Wyznaczone osoby kontaktowe | art. 9 ust. 1 pkt 1, ust. 2-3 | 2 osoby; mikro/mali i ważne publiczne: 1 |
| Dokumentacja normatywna i operacyjna | art. 10 ust. 3-4 | przechowywanie co najmniej 2 lata |
| Umowa z MSSP albo struktura wewnętrzna | art. 14 | decyzja kierownika |
| Informacje o niekaralności (KRK) osób realizujących zadania z art. 8 i 11 | art. 8f | przed dopuszczeniem do zadań |
| Udokumentowane coroczne szkolenie kierownika | art. 8e | patrz artykuł o szkoleniach |
Najczęstsze błędy
- “Wydelegowałem, więc nie odpowiadam.” Art. 8c ust. 3 mówi wprost: powierzenie obowiązków innej osobie nie zwalnia kierownika z odpowiedzialności. Delegować można pracę, nie odpowiedzialność.
- Dokumentacja-fasada. Komplet PDF-ów z jedną datą i bez zapisów operacyjnych (art. 10 ust. 4) obroni się gorzej niż skromniejszy system, który faktycznie działa.
- Czekanie na 2028 r. Kary pieniężne faktycznie mogą być nakładane dopiero od 3.04.2028 r. (art. 35 ustawy zmieniającej), ale kontrole i nakazy organu właściwego (art. 53) obowiązują od 3.04.2026 r. Organ może nakazać usunięcie nieprawidłowości na długo zanim będzie mógł karać. Wyjątek od odroczenia: kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie (art. 73 ust. 5) - nie jest objęta odroczeniem.
- Pominięcie art. 9 i art. 8f. Osoby kontaktowe i zaświadczenia o niekaralności to obowiązki proste do spełnienia i łatwe do skontrolowania - a często w ogóle nieobecne na checklistach.
- Publiczna JST wdraża “pełne” SZBI z art. 8 ust. 1. Podmiot ważny będący podmiotem publicznym stosuje załącznik nr 4 (art. 8 ust. 3) - inna podstawa prawna, którą trzeba poprawnie cytować w dokumentacji.
Checklista do odhaczenia
- Ustaliłem, kto jest kierownikiem podmiotu w rozumieniu ustawy i kto formalnie przyjął zadania z art. 8d
- Mam Politykę SZBI wyznaczającą zakres systemu (art. 8 ust. 1, art. 10 ust. 3 pkt 1)
- Wyznaczyłem osoby kontaktowe (art. 9) i wiem, gdzie zaktualizować ich dane
- Podjąłem decyzję: struktury wewnętrzne czy umowa z MSSP (art. 14) - i mam ją na piśmie
- Osoby realizujące zadania z art. 8/11 przedstawiły informację z KRK (art. 8f)
- Dokumentacja ma właściciela, cykl aktualizacji i miejsce przechowywania przez min. 2 lata (art. 10)
- Kierownik ma zaplanowane coroczne szkolenie (art. 8e)
- Zaplanowany przegląd SZBI (nasza praktyka: co 12 miesięcy; realizuje art. 8d pkt 1)
Pytania i odpowiedzi
Czy kierownik może zlecić cyberbezpieczeństwo zewnętrznej firmie i mieć spokój? Może zlecić wykonywanie zadań (art. 14 przewiduje umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa), ale odpowiedzialność za wykonywanie obowiązków pozostaje przy kierowniku (art. 8c ust. 1 i 3).
Do kiedy trzeba mieć wdrożone SZBI? Podmiot, który 3.04.2026 r. spełniał przesłanki uznania za podmiot kluczowy lub ważny - do 3.04.2027 r. (art. 33 ust. 1 ustawy z 23.01.2026 r., Dz. U. poz. 252). Podmiot, który spełni przesłanki później - w 12 miesięcy od ich spełnienia (art. 16 pkt 1).
Czy ustawa wymaga corocznego przeglądu SZBI? Nie wprost. Ustawa nakłada na kierownika zadanie przeglądu i nadzoru SZBI (art. 8d pkt 1) oraz wymaga polityk oceny skuteczności środków (art. 8 ust. 1 pkt 2 lit. h), ale nie określa częstotliwości. Cykl roczny to dobra praktyka z PN-EN ISO/IEC 27001 (pkt 9.3) - rekomendujemy go, uczciwie oznaczając jako praktykę, nie przepis.
Co realnie grozi za brak SZBI? Od 3.04.2026 r.: kontrole i nakazy organu właściwego (art. 53). Od 3.04.2028 r.: kary pieniężne dla podmiotu (art. 73) oraz osobista kara kierownika do 300% wynagrodzenia (art. 73a ust. 1 i 4). Niezależnie od dat: pytania kontrahentów o dowód zgodności, których nie zbywa się “jeszcze nad tym pracujemy”.
Źródła
- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF); strona aktu: ISAP WDU20180001560
- Ustawa z 23.01.2026 r. o zmianie ustawy o KSC (Dz. U. 2026 poz. 252): ISAP, ELI
- PN-EN ISO/IEC 27001 (przegląd zarządzania, pkt 9.3) - norma, dobra praktyka, nie przepis
Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Tam, gdzie Twoja sytuacja wymaga interpretacji przepisu, skonsultuj się z radcą prawnym. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).
Podstawa prawna
Numer artykułu ustawy o KSC dla tego obowiązku:art. 7c, art. 8 ust. 1, art. 8c-8f, art. 9, art. 10, art. 14
- Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ustawą o KSC jest wymagane do 3.04.2027
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 33 ust. 1 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252)
TODO-LEGAL-REVIEW - Kontrole i nakazy organu właściwego wobec podmiotów kluczowych i ważnych (art. 53 ustawy o KSC) obowiązują od 3.04.2026 r. (wejście w życie noweli, art. 49) - nie czekają na 3.04.2028.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 53 w zw. z art. 49 (wejście w życie) ustawy z 23.01.2026 r.
TODO-LEGAL-REVIEW - Kary administracyjne za naruszenie obowiązków ustawy o KSC obowiązują od 3.04.2028, z wyjątkiem art. 73 ust. 5.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 35 ustawy z 23.01.2026 r. (odroczenie kar z art. 73 ust. 1-4, art. 73a-73c i art. 76b do 3.04.2028); wyjątek: art. 73 ust. 5 (kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie - obowiązuje od 3.04.2026, nieobjęta odroczeniem)
TODO-LEGAL-REVIEW
Powiązane wymagania SZBI
Wpis do wykazu podmiotów kluczowych i ważnych
Podmiot kluczowy lub podmiot ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (art. 7c ust. 1 ustawy o KSC), a zmianę danych zgłasza w terminie 14 dni (art. 7c ust. 3). Podmiot, który spełniał przesłanki 3.04.2026 r. (dzień wejścia w życie nowelizacji), składa wniosek zgodnie z harmonogramem ogłoszonym przez Ministra Cyfryzacji: samorejestracja od 7.05.2026 r., nie później niż do 3.10.2026 r. (art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r., Dz. U. poz. 252; komunikat MC z 8.04.2026 r., Dz. Urz. MC poz. 7). Wniosek składa się elektronicznie w systemie, o którym mowa w art. 46 ust. 1, z podpisem kwalifikowanym, zaufanym albo osobistym (art. 7c ust. 5-6); wpis warunkuje dostęp do systemu S46, którym zgłasza się incydenty poważne. Za niezłożenie wniosku w terminie grozi kara pieniężna (art. 73 ust. 1a pkt 1). Odhaczenie terminu w platformie jest oświadczeniem organizacji, że wniosek faktycznie złożyła - platforma nie składa wniosku za podmiot i nie weryfikuje wpisu w wykazie.
Zakres SZBI
Ustawa wyznacza zakres SZBI: obejmuje on system informacyjny wykorzystywany w procesach wpływających na świadczenie usługi przez podmiot (art. 8 ust. 1 ustawy o KSC). Zakres i zasady SZBI utrwala się w dokumentacji SZBI, będącej częścią dokumentacji normatywnej (art. 10 ust. 3 pkt 1). Podmiot ważny będący podmiotem publicznym zamiast art. 8 ust. 1 stosuje wymogi SZBI określone w załączniku nr 4 do ustawy (art. 8 ust. 3). Interpretacja platformy: nośnikiem zakresu jest dokument "Polityka SZBI"; forma dokumentu nie jest narzucona przez ustawę (dobra praktyka: PN-EN ISO/IEC 27001, pkt 4.3 i 5.2).
Zaangażowanie kierownictwa
Kierownik podmiotu kluczowego lub podmiotu ważnego podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI, planuje adekwatne środki finansowe, przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie, zapewnia świadomość obowiązków wśród personelu oraz zgodność działania podmiotu z prawem i regulacjami wewnętrznymi (art. 8d pkt 1-5 ustawy o KSC). Ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (art. 8c ust. 1) - również wtedy, gdy powierzył je innej osobie (art. 8c ust. 3). Za zaniechania przewidziano osobiste kary pieniężne kierownika do 300% wynagrodzenia (art. 73a ust. 1 i 4; kary mogą być nakładane od 3.04.2028 r. - art. 35 ustawy zmieniającej z 23.01.2026 r.). Zatwierdzenie Polityki SZBI dokumentuje decyzję kierownika o przyjęciu SZBI, a wykonywanie przeglądu i nadzoru (art. 8d pkt 1) platforma dokumentuje cyklicznym terminem "Coroczny przegląd SZBI" - sam cykl roczny przeglądu to dobra praktyka (PN-EN ISO/IEC 27001, pkt 9.3), nie sztywny wymóg ustawy.
Powiązane artefakty w platformie
Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):
deadline:registration-wykaz:donedocument:isms-policydocument:isms-policydeadline:annual-isms-review:done
Powiązane narzędzia
- Kalkulator kwalifikacji KSC - sprawdź, czy ten obowiązek dotyczy Twojego klienta.
- Generator terminów .ics - pobierz ustawowe terminy KSC do kalendarza.
Powiązane artykuły
Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.