Baza wiedzy - obowiązek KSC

Zarządzanie ryzykiem bezpieczeństwa informacji

Obowiązek zarządzania ryzykiem w ustawie o KSC (art. 8 ust. 1 pkt 1): systematyczne szacowanie ryzyka, polityki (art. 8 ust. 1 pkt 2 lit. a), rejestr ryzyk i plan postępowania (art. 10 ust. 3 pkt 2). Praktyka małej firmy.

Opublikowano: 11 lipca 2026Ostatnia aktualizacja: 12 lipca 2026

Status tej treści

Poniżej znajduje się pełna treść artykułu w wersji roboczej 0.9-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy artykułu poradnikowego nie jest to jeszcze zatwierdzona treść prawna: dopiero po przeglądzie kancelarii treść uzyska status zatwierdzonej. Miejsca oznaczoneTODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.

TL;DR

  • Podmiot kluczowy lub podmiot ważny prowadzi “systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem” (art. 8 ust. 1 pkt 1 ustawy o KSC).
  • Wdrażane środki mają być odpowiednie i proporcjonalne do oszacowanego ryzyka - z uwzględnieniem stanu wiedzy, kosztów wdrożenia, wielkości podmiotu, prawdopodobieństwa incydentów i skutków społeczno-gospodarczych (art. 8 ust. 1 pkt 2).
  • Trzeba mieć polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne (art. 8 ust. 1 pkt 2 lit. a).
  • Wyniki szacowania ryzyka i plan postępowania z ryzykiem wchodzą w skład obowiązkowej dokumentacji (art. 10 ust. 3 pkt 2 lit. c i d).
  • Ustawa NIE narzuca metodyki ani skal oceny. Macierz np. 5x5 to dobra praktyka (ISO/IEC 27005, PN-EN ISO/IEC 27001 pkt 6.1.2), nie przepis.

Co dokładnie nakazuje ustawa

Obowiązek składa się z czterech elementów, każdy z własną podstawą:

  1. Systematyczność (art. 8 ust. 1 pkt 1). Szacowanie ryzyka ma być prowadzone systematycznie - nie jednorazowo na potrzeby “wdrożenia”, tylko jako powtarzalny proces. Ustawa nie definiuje interwału; systematyczność oznacza co najmniej: określony cykl, określone wyzwalacze (nowy system, nowy dostawca, incydent) i zapisy potwierdzające wykonanie.
  2. Proporcjonalność środków (art. 8 ust. 1 pkt 2). Środki techniczne i organizacyjne mają być “odpowiednie i proporcjonalne do oszacowanego ryzyka”, z uwzględnieniem najnowszego stanu wiedzy, kosztów wdrożenia, wielkości podmiotu, prawdopodobieństwa wystąpienia incydentów, narażenia na ryzyka oraz skutków społecznych i gospodarczych. To jest przepis, który chroni małą firmę przed przeinwestowaniem: nikt nie wymaga od 60-osobowej spółki transportowej SOC-a klasy bankowej - wymaga się środków adekwatnych do jej ryzyka.
  3. Polityki (art. 8 ust. 1 pkt 2 lit. a). “Polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne” - czyli dokument opisujący, JAK szacujesz (kryteria, skale, progi akceptacji) i polityki dziedzinowe tam, gdzie ryzyko tego wymaga.
  4. Udokumentowane wyniki (art. 10 ust. 3 pkt 2 lit. c i d). Dokumentacja ochrony infrastruktury obejmuje szacowanie ryzyka dla obiektów infrastruktury oraz plan postępowania z ryzykiem. Zapisy potwierdzające wykonywanie czynności stanowią dokumentację operacyjną (art. 10 ust. 4).

Czego w ustawie NIE ma: obowiązkowej metodyki, obowiązkowej skali, obowiązkowego narzędzia. Prowadzony na bieżąco rejestr ryzyk z oceną i planem postępowania to standardowy nośnik tych wyników (dobra praktyka: PN-EN ISO/IEC 27001, pkt 6.1.3 i 8.3) - interpretacja praktyczna, nie cytat przepisu.

Jak to wygląda w praktyce małej firmy

Realny proces dla podmiotu ważnego bez działu bezpieczeństwa:

  1. Zacznij od aktywów, nie od abstrakcji. Ryzyko “utrata danych” nic nie znaczy; ryzyko “utrata bazy zleceń w systemie TMS, bo backup nie był testowany od roku” - znaczy wszystko. Dlatego rejestr aktywów (art. 8 ust. 1 pkt 2 lit. m - osobny artykuł) powstaje przed rejestrem ryzyk.
  2. Przyjmij prostą, jawną metodykę. Skala prawdopodobieństwa 1-5, skala skutku 1-5, wynik = iloczyn, próg akceptacji zapisany w polityce (art. 8 ust. 1 pkt 2 lit. a). Skale i progi to Twoja decyzja (zatwierdza kierownik - art. 8d pkt 1); ważne, żeby były spisane ZANIM zaczniesz oceniać.
  3. Pierwszy przebieg: 5-15 ryzyk, nie 100. Typowa mała firma jest w stanie sensownie ocenić kilkanaście ryzyk: ransomware, utrata dostępu do M365/poczty, awaria kluczowego systemu, błąd lub odejście administratora, awaria dostawcy hostingu, phishing na księgowość, utrata laptopa z danymi. Sto wierszy wygenerowanych hurtowo to teatr tabelek, który kontrola rozbiera jednym pytaniem: “kiedy państwo ostatnio na to patrzyli?”.
  4. Każde ryzyko ponadprogowe dostaje plan postępowania (art. 10 ust. 3 pkt 2 lit. d): co robimy, kto, do kiedy. Decyzja “akceptujemy” też jest decyzją - zapisaną i podpisaną.
  5. Wracaj do rejestru na zdarzenia. Nowy dostawca krytyczny, poważny incydent, zmiana systemu - to wyzwalacze aktualizacji. Do tego cykliczny przegląd (nasza praktyka: co 12 miesięcy, razem z przeglądem SZBI).

Jakie artefakty trzeba mieć

Artefakt Podstawa Uwagi
Polityka szacowania ryzyka (metodyka, skale, progi) art. 8 ust. 1 pkt 2 lit. a skale = Twoja decyzja, spisana
Rejestr ryzyk z oceną art. 8 ust. 1 pkt 1; art. 10 ust. 3 pkt 2 lit. c forma rejestru = dobra praktyka (ISO 27001 pkt 6.1.3, 8.3)
Plan postępowania z ryzykiem art. 10 ust. 3 pkt 2 lit. d dla ryzyk powyżej progu akceptacji
Zapisy z przeglądów i aktualizacji art. 10 ust. 4 dowód “systematyczności” z art. 8 ust. 1 pkt 1

Najczęstsze błędy

  1. Ocena ryzyka raz, przy wdrożeniu. Art. 8 ust. 1 pkt 1 mówi “systematyczne”. Rejestr z jedną datą modyfikacji sprzed roku sam w sobie jest ustaleniem kontrolnym.
  2. Metodyka pożyczona, nieprzyjęta. Skopiowana z internetu macierz bez decyzji kierownika i bez progu akceptacji nie jest polityką z art. 8 ust. 1 pkt 2 lit. a - jest plikiem.
  3. Ryzyka bez właścicieli i terminów. Plan postępowania “wdrożymy MFA” bez osoby i daty to życzenie, nie plan (art. 10 ust. 3 pkt 2 lit. d wymaga planu, a zapisy z art. 10 ust. 4 mają pokazać realizację).
  4. Mylenie proporcjonalności z minimalizmem. Art. 8 ust. 1 pkt 2 pozwala dobrać środki do skali firmy - ale “proporcjonalnie” nie znaczy “nic”. Brak MFA na poczcie w 2026 r. trudno obronić stanem wiedzy, który ten przepis każe uwzględniać.
  5. Sto ryzyk z generatora. Więcej nie znaczy lepiej: rejestr ma być narzędziem decyzji kierownika (art. 8d pkt 1), nie dowodem objętości.

Checklista do odhaczenia

  • Mam spisaną politykę szacowania ryzyka: skale, kryteria, próg akceptacji (art. 8 ust. 1 pkt 2 lit. a)
  • Metodykę zatwierdził kierownik (art. 8d pkt 1)
  • Rejestr ryzyk istnieje i ma co najmniej ryzyka dla aktywów krytycznych (art. 8 ust. 1 pkt 1)
  • Każde ryzyko ponad progiem ma plan postępowania z osobą i terminem (art. 10 ust. 3 pkt 2 lit. d)
  • Decyzje o akceptacji ryzyka są zapisane i podpisane
  • Mam zdefiniowane wyzwalacze aktualizacji (incydent, nowy system, nowy dostawca) i cykl przeglądu
  • Zapisy z przeglądów trafiają do dokumentacji operacyjnej (art. 10 ust. 4)

Pytania i odpowiedzi

Czy ustawa wymaga konkretnej metodyki oceny ryzyka (np. ISO 27005)? Nie. Ustawa wymaga systematycznego szacowania (art. 8 ust. 1 pkt 1) i polityk szacowania ryzyka (art. 8 ust. 1 pkt 2 lit. a), ale nie wskazuje metodyki. ISO/IEC 27005 i macierz prawdopodobieństwo x skutek to dobra praktyka - wybór i parametry należą do podmiotu.

Ile ryzyk powinno być w rejestrze małej firmy? Ustawa nie podaje liczby. Praktycznie: pierwszy przebieg 5-15 ryzyk osadzonych na realnych aktywach daje się utrzymać i obronić; rejestr rośnie z systemem, nie odwrotnie.

Jak często aktualizować ocenę ryzyka? Ustawa mówi “systematycznie”, bez interwału (art. 8 ust. 1 pkt 1). Rekomendujemy przegląd co 12 miesięcy plus aktualizacje po zdarzeniach (incydent poważny, istotna zmiana systemu lub dostawcy) - to nasza praktyka, spójna z PN-EN ISO/IEC 27001 pkt 8.2, nie wymóg ustawowy.

Czy mogę zaakceptować ryzyko i nic nie robić? Możesz - jeżeli mieści się w progu akceptacji przyjętym w Twojej polityce i decyzja jest udokumentowana. Świadoma, zapisana akceptacja jest legalnym wynikiem zarządzania ryzykiem; brak jakiejkolwiek decyzji nie jest.

Źródła

  • Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
  • Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
  • PN-EN ISO/IEC 27001 pkt 6.1.2-6.1.3, 8.2-8.3; ISO/IEC 27005 - normy, dobra praktyka, nie przepis

Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).

Podstawa prawna

Numer artykułu ustawy o KSC dla tego obowiązku:art. 8 ust. 1 pkt 1

  • Kontrole i nakazy organu właściwego wobec podmiotów kluczowych i ważnych (art. 53 ustawy o KSC) obowiązują od 3.04.2026 r. (wejście w życie noweli, art. 49) - nie czekają na 3.04.2028.
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 53 w zw. z art. 49 (wejście w życie) ustawy z 23.01.2026 r.

    TODO-LEGAL-REVIEW

Powiązane wymagania SZBI

  • Metodyka szacowania ryzyka

    Podmiot ustanawia polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne (art. 8 ust. 1 pkt 2 lit. a ustawy o KSC); samo szacowanie ma być systematyczne (art. 8 ust. 1 pkt 1). Ustawa nie narzuca konkretnej metodyki oceny ryzyka. Dobra praktyka: kryteria i proces wg PN-EN ISO/IEC 27001 (pkt 6.1.2, 8.2) oraz ISO/IEC 27005; skale i progi akceptowalności przyjęte w platformie opisuje plik risk-matrix.yaml (metodyka, nie przepis).

  • Rejestr ryzyk

    Wyniki szacowania ryzyka dla obiektów infrastruktury oraz plan postępowania z ryzykiem wchodzą w skład dokumentacji ochrony infrastruktury (art. 10 ust. 3 pkt 2 lit. c i d ustawy o KSC), a zapisy potwierdzające wykonywanie czynności stanowią dokumentację operacyjną (art. 10 ust. 4). Interpretacja platformy: prowadzony na bieżąco rejestr ryzyk z oceną i planem postępowania jest standardowym nośnikiem tych wyników (dobra praktyka: PN-EN ISO/IEC 27001, pkt 6.1.3 i 8.3).

Powiązane artefakty w platformie

Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):

  • document:risk-management-procedure
  • register:risks:non_empty

Powiązane narzędzia

Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.