Baza wiedzy - obowiązek KSC

Zarządzanie i nadzór nad SZBI

Obowiązek zarządzania i nadzoru nad SZBI w ustawie o KSC: odpowiedzialność kierownika (art. 8c-8d), dokumentacja (art. 10), osoby kontaktowe (art. 9), umowa z MSSP (art. 14). Terminy i praktyka małej firmy.

Opublikowano: 11 lipca 2026Ostatnia aktualizacja: 12 lipca 2026

Status tej treści

Poniżej znajduje się pełna treść artykułu w wersji roboczej 0.9-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy artykułu poradnikowego nie jest to jeszcze zatwierdzona treść prawna: dopiero po przeglądzie kancelarii treść uzyska status zatwierdzonej. Miejsca oznaczoneTODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.

TL;DR

  • Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji (SZBI) w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi (art. 8 ust. 1 ustawy o KSC).
  • Za wykonywanie obowiązków z zakresu cyberbezpieczeństwa odpowiada osobiście kierownik podmiotu (art. 8c ust. 1) - i nie zwalnia go z tej odpowiedzialności powierzenie zadań innej osobie (art. 8c ust. 3).
  • Podmioty, które 3.04.2026 r. spełniały przesłanki ustawy, mają czas na realizację obowiązków z rozdziału 3 (w tym SZBI) do 3.04.2027 r. (art. 33 ust. 1 ustawy z 23.01.2026 r., Dz. U. poz. 252).
  • Kary pieniężne mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej), ale środki nadzorcze - kontrole i nakazy z art. 53 - obowiązują już od 3.04.2026 r.
  • Kierownikowi za zaniechania grozi osobista kara pieniężna do 300% wynagrodzenia (art. 73a ust. 1 i 4).

Co dokładnie nakazuje ustawa

Fundament jest w jednym zdaniu: podmiot kluczowy lub podmiot ważny “wdraża system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi” (art. 8 ust. 1 ustawy o KSC). Wszystkie pozostałe obowiązki - zarządzanie ryzykiem, incydenty, ciągłość działania, łańcuch dostaw - są środkami tego systemu, wyliczonymi w art. 8 ust. 1 pkt 1-4.

Wokół tego fundamentu ustawa buduje nadzór:

  • Odpowiedzialność kierownika (art. 8c). Kierownik podmiotu ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (ust. 1). Powierzenie obowiązków innej osobie nie zwalnia z odpowiedzialności (ust. 3).
  • Zadania kierownika (art. 8d). Kierownik: podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI (pkt 1), planuje adekwatne środki finansowe (pkt 2), przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie (pkt 3), zapewnia świadomość obowiązków wśród personelu (pkt 4) oraz zgodność działania podmiotu z prawem i regulacjami wewnętrznymi (pkt 5).
  • Coroczne szkolenie kierownika (art. 8e). Raz w roku kalendarzowym, udokumentowane - szczegóły w osobnym artykule o szkoleniach.
  • Niekaralność osób realizujących zadania (art. 8f). Osoby realizujące zadania z art. 8 lub art. 11 przedstawiają przed dopuszczeniem do zadań informację o niekaralności z Krajowego Rejestru Karnego.
  • Osoby kontaktowe (art. 9). Podmiot wyznacza co najmniej dwie osoby do kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa; mikro- i mali przedsiębiorcy oraz ważne podmioty publiczne - co najmniej jedną (art. 9 ust. 1 pkt 1, ust. 2-3).
  • Dokumentacja (art. 10). Podmiot opracowuje, stosuje i aktualizuje dokumentację bezpieczeństwa systemu informacyjnego: normatywną (m.in. dokumentacja SZBI - art. 10 ust. 3 pkt 1) i operacyjną (zapisy potwierdzające wykonywanie czynności - art. 10 ust. 4). Dokumentację przechowuje się co najmniej 2 lata (art. 10).
  • Struktury albo umowa (art. 14). Podmiot powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo albo zawiera umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

Wyjątek: podmiot ważny będący podmiotem publicznym zamiast art. 8 ust. 1 stosuje wymogi SZBI określone w załączniku nr 4 do ustawy (art. 8 ust. 3). To odrębny, lżejszy katalog wymogów - TODO-CONTENT: omówienie reżimu załącznika nr 4 wymaga osobnego opracowania (pozycja nr 6 rejestru niepewności S2, pytanie do radcy).

Jak to wygląda w praktyce małej firmy

Mała firma nie ma działu bezpieczeństwa, więc “system zarządzania” brzmi groźnie. W praktyce SZBI dla podmiotu ważnego zatrudniającego 50-100 osób to komplet kilku dokumentów, kilka rejestrów prowadzonych na bieżąco i kalendarz cyklicznych czynności:

  1. Polityka SZBI - dokument, który wyznacza zakres systemu (jaki system informacyjny, jakie procesy wpływają na świadczenie usługi - art. 8 ust. 1) i deklaruje zaangażowanie kierownictwa (art. 8d).
  2. Przypisane role - kto jest kierownikiem w rozumieniu ustawy, komu powierzono zadania, kto jest osobą kontaktową (art. 9). Uwaga: powierzenie nie przenosi odpowiedzialności (art. 8c ust. 3).
  3. Decyzja: struktura własna czy umowa z MSSP (art. 14) - dla małej firmy zwykle realniejsza jest umowa z zewnętrznym dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa. Uwaga dla firm IT: dostawca takich usług sam jest podmiotem kluczowym już od statusu małego przedsiębiorstwa (art. 5 ust. 1 pkt 3) - jeśli świadczysz je klientom, sprawdź własny status.
  4. Dokumentacja, która żyje - art. 10 wymaga nie tylko opracowania, ale stosowania i aktualizacji. Dokument wygenerowany raz i zapomniany nie spełnia wymogu; zapisy operacyjne (art. 10 ust. 4) mają pokazywać, że czynności faktycznie się dzieją.
  5. Cykl przeglądu - ustawa nakłada na kierownika zadanie przeglądu i nadzoru SZBI (art. 8d pkt 1) oraz utrzymywania polityk oceny skuteczności (art. 8 ust. 1 pkt 2 lit. h), ale nie narzuca częstotliwości. Coroczny przegląd SZBI to dobra praktyka (PN-EN ISO/IEC 27001, pkt 9.3), którą przyjmujemy jako domyślny cykl - nie wymóg ustawowy.

Jakie artefakty trzeba mieć

Artefakt Podstawa Uwagi
Polityka SZBI (zakres + zaangażowanie kierownictwa) art. 8 ust. 1, art. 10 ust. 3 pkt 1 forma dokumentu nie jest narzucona przez ustawę; dobra praktyka: PN-EN ISO/IEC 27001 pkt 4.3 i 5.2
Wyznaczone osoby kontaktowe art. 9 ust. 1 pkt 1, ust. 2-3 2 osoby; mikro/mali i ważne publiczne: 1
Dokumentacja normatywna i operacyjna art. 10 ust. 3-4 przechowywanie co najmniej 2 lata
Umowa z MSSP albo struktura wewnętrzna art. 14 decyzja kierownika
Informacje o niekaralności (KRK) osób realizujących zadania z art. 8 i 11 art. 8f przed dopuszczeniem do zadań
Udokumentowane coroczne szkolenie kierownika art. 8e patrz artykuł o szkoleniach

Najczęstsze błędy

  1. “Wydelegowałem, więc nie odpowiadam.” Art. 8c ust. 3 mówi wprost: powierzenie obowiązków innej osobie nie zwalnia kierownika z odpowiedzialności. Delegować można pracę, nie odpowiedzialność.
  2. Dokumentacja-fasada. Komplet PDF-ów z jedną datą i bez zapisów operacyjnych (art. 10 ust. 4) obroni się gorzej niż skromniejszy system, który faktycznie działa.
  3. Czekanie na 2028 r. Kary pieniężne faktycznie mogą być nakładane dopiero od 3.04.2028 r. (art. 35 ustawy zmieniającej), ale kontrole i nakazy organu właściwego (art. 53) obowiązują od 3.04.2026 r. Organ może nakazać usunięcie nieprawidłowości na długo zanim będzie mógł karać. Wyjątek od odroczenia: kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie (art. 73 ust. 5) - nie jest objęta odroczeniem.
  4. Pominięcie art. 9 i art. 8f. Osoby kontaktowe i zaświadczenia o niekaralności to obowiązki proste do spełnienia i łatwe do skontrolowania - a często w ogóle nieobecne na checklistach.
  5. Publiczna JST wdraża “pełne” SZBI z art. 8 ust. 1. Podmiot ważny będący podmiotem publicznym stosuje załącznik nr 4 (art. 8 ust. 3) - inna podstawa prawna, którą trzeba poprawnie cytować w dokumentacji.

Checklista do odhaczenia

  • Ustaliłem, kto jest kierownikiem podmiotu w rozumieniu ustawy i kto formalnie przyjął zadania z art. 8d
  • Mam Politykę SZBI wyznaczającą zakres systemu (art. 8 ust. 1, art. 10 ust. 3 pkt 1)
  • Wyznaczyłem osoby kontaktowe (art. 9) i wiem, gdzie zaktualizować ich dane
  • Podjąłem decyzję: struktury wewnętrzne czy umowa z MSSP (art. 14) - i mam ją na piśmie
  • Osoby realizujące zadania z art. 8/11 przedstawiły informację z KRK (art. 8f)
  • Dokumentacja ma właściciela, cykl aktualizacji i miejsce przechowywania przez min. 2 lata (art. 10)
  • Kierownik ma zaplanowane coroczne szkolenie (art. 8e)
  • Zaplanowany przegląd SZBI (nasza praktyka: co 12 miesięcy; realizuje art. 8d pkt 1)

Pytania i odpowiedzi

Czy kierownik może zlecić cyberbezpieczeństwo zewnętrznej firmie i mieć spokój? Może zlecić wykonywanie zadań (art. 14 przewiduje umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa), ale odpowiedzialność za wykonywanie obowiązków pozostaje przy kierowniku (art. 8c ust. 1 i 3).

Do kiedy trzeba mieć wdrożone SZBI? Podmiot, który 3.04.2026 r. spełniał przesłanki uznania za podmiot kluczowy lub ważny - do 3.04.2027 r. (art. 33 ust. 1 ustawy z 23.01.2026 r., Dz. U. poz. 252). Podmiot, który spełni przesłanki później - w 12 miesięcy od ich spełnienia (art. 16 pkt 1).

Czy ustawa wymaga corocznego przeglądu SZBI? Nie wprost. Ustawa nakłada na kierownika zadanie przeglądu i nadzoru SZBI (art. 8d pkt 1) oraz wymaga polityk oceny skuteczności środków (art. 8 ust. 1 pkt 2 lit. h), ale nie określa częstotliwości. Cykl roczny to dobra praktyka z PN-EN ISO/IEC 27001 (pkt 9.3) - rekomendujemy go, uczciwie oznaczając jako praktykę, nie przepis.

Co realnie grozi za brak SZBI? Od 3.04.2026 r.: kontrole i nakazy organu właściwego (art. 53). Od 3.04.2028 r.: kary pieniężne dla podmiotu (art. 73) oraz osobista kara kierownika do 300% wynagrodzenia (art. 73a ust. 1 i 4). Niezależnie od dat: pytania kontrahentów o dowód zgodności, których nie zbywa się “jeszcze nad tym pracujemy”.

Źródła

  • Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF); strona aktu: ISAP WDU20180001560
  • Ustawa z 23.01.2026 r. o zmianie ustawy o KSC (Dz. U. 2026 poz. 252): ISAP, ELI
  • PN-EN ISO/IEC 27001 (przegląd zarządzania, pkt 9.3) - norma, dobra praktyka, nie przepis

Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Tam, gdzie Twoja sytuacja wymaga interpretacji przepisu, skonsultuj się z radcą prawnym. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).

Podstawa prawna

Numer artykułu ustawy o KSC dla tego obowiązku:art. 7c, art. 8 ust. 1, art. 8c-8f, art. 9, art. 10, art. 14

  • Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ustawą o KSC jest wymagane do 3.04.2027
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 33 ust. 1 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252)

    TODO-LEGAL-REVIEW
  • Kontrole i nakazy organu właściwego wobec podmiotów kluczowych i ważnych (art. 53 ustawy o KSC) obowiązują od 3.04.2026 r. (wejście w życie noweli, art. 49) - nie czekają na 3.04.2028.
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 53 w zw. z art. 49 (wejście w życie) ustawy z 23.01.2026 r.

    TODO-LEGAL-REVIEW
  • Kary administracyjne za naruszenie obowiązków ustawy o KSC obowiązują od 3.04.2028, z wyjątkiem art. 73 ust. 5.
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 35 ustawy z 23.01.2026 r. (odroczenie kar z art. 73 ust. 1-4, art. 73a-73c i art. 76b do 3.04.2028); wyjątek: art. 73 ust. 5 (kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie - obowiązuje od 3.04.2026, nieobjęta odroczeniem)

    TODO-LEGAL-REVIEW

Powiązane wymagania SZBI

  • Wpis do wykazu podmiotów kluczowych i ważnych

    Podmiot kluczowy lub podmiot ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (art. 7c ust. 1 ustawy o KSC), a zmianę danych zgłasza w terminie 14 dni (art. 7c ust. 3). Podmiot, który spełniał przesłanki 3.04.2026 r. (dzień wejścia w życie nowelizacji), składa wniosek zgodnie z harmonogramem ogłoszonym przez Ministra Cyfryzacji: samorejestracja od 7.05.2026 r., nie później niż do 3.10.2026 r. (art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r., Dz. U. poz. 252; komunikat MC z 8.04.2026 r., Dz. Urz. MC poz. 7). Wniosek składa się elektronicznie w systemie, o którym mowa w art. 46 ust. 1, z podpisem kwalifikowanym, zaufanym albo osobistym (art. 7c ust. 5-6); wpis warunkuje dostęp do systemu S46, którym zgłasza się incydenty poważne. Za niezłożenie wniosku w terminie grozi kara pieniężna (art. 73 ust. 1a pkt 1). Odhaczenie terminu w platformie jest oświadczeniem organizacji, że wniosek faktycznie złożyła - platforma nie składa wniosku za podmiot i nie weryfikuje wpisu w wykazie.

  • Zakres SZBI

    Ustawa wyznacza zakres SZBI: obejmuje on system informacyjny wykorzystywany w procesach wpływających na świadczenie usługi przez podmiot (art. 8 ust. 1 ustawy o KSC). Zakres i zasady SZBI utrwala się w dokumentacji SZBI, będącej częścią dokumentacji normatywnej (art. 10 ust. 3 pkt 1). Podmiot ważny będący podmiotem publicznym zamiast art. 8 ust. 1 stosuje wymogi SZBI określone w załączniku nr 4 do ustawy (art. 8 ust. 3). Interpretacja platformy: nośnikiem zakresu jest dokument "Polityka SZBI"; forma dokumentu nie jest narzucona przez ustawę (dobra praktyka: PN-EN ISO/IEC 27001, pkt 4.3 i 5.2).

  • Zaangażowanie kierownictwa

    Kierownik podmiotu kluczowego lub podmiotu ważnego podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI, planuje adekwatne środki finansowe, przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie, zapewnia świadomość obowiązków wśród personelu oraz zgodność działania podmiotu z prawem i regulacjami wewnętrznymi (art. 8d pkt 1-5 ustawy o KSC). Ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (art. 8c ust. 1) - również wtedy, gdy powierzył je innej osobie (art. 8c ust. 3). Za zaniechania przewidziano osobiste kary pieniężne kierownika do 300% wynagrodzenia (art. 73a ust. 1 i 4; kary mogą być nakładane od 3.04.2028 r. - art. 35 ustawy zmieniającej z 23.01.2026 r.). Zatwierdzenie Polityki SZBI dokumentuje decyzję kierownika o przyjęciu SZBI, a wykonywanie przeglądu i nadzoru (art. 8d pkt 1) platforma dokumentuje cyklicznym terminem "Coroczny przegląd SZBI" - sam cykl roczny przeglądu to dobra praktyka (PN-EN ISO/IEC 27001, pkt 9.3), nie sztywny wymóg ustawy.

Powiązane artefakty w platformie

Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):

  • deadline:registration-wykaz:done
  • document:isms-policy
  • document:isms-policy
  • deadline:annual-isms-review:done

Powiązane narzędzia

Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.