3 kwietnia 2026 r. wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. To ważna data dla wszystkich podmiotów objętych nowymi przepisami – od tego momentu zaczynają biec terminy na wykonanie ustawowych obowiązków. Cel jest jeden: lepsze zabezpieczenie systemów i stabilności usług, z których korzystają wszyscy mieszkańcy Polski.
– Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa. Dzięki temu możemy stopniowo i skutecznie wzmacniać bezpieczeństwo cyfrowe kraju. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Co trzeba zrobić do 3 października 2026 r.?
Do 3 października 2026 r. podmioty kluczowe i ważne mają czas, aby złożyć wniosek o wpis do wykazu. To pierwszy ważny termin wynikający z ustawy. W praktyce oznacza on sześć miesięcy na sprawdzenie, czy dany podmiot podlega nowym przepisom, i na dopełnienie formalności.
Co dalej?
Nowe przepisy nakładają na podmioty, które działają w strategicznych sektorach gospodarki, obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych. Wprowadzają także odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa.
Do 3 kwietnia 2027 r. podmioty kluczowe i ważne, które w dniu wejścia w życie nowelizacji spełniają ustawowe kryteria, muszą wdrożyć obowiązki wynikające z nowych przepisów.
Do 3 kwietnia 2028 r. podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.
Ustawa daje podmiotom publicznym i przedsiębiorcom odpowiedni czas, aby dobrze przygotować się do zmian. W przypadku większości obowiązków administracyjne kary pieniężne będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie ustawy, czyli po 3 kwietnia 2028 r.
Ministerstwo Cyfryzacji zachęca wszystkie podmioty, które mogą zostać objęte ustawą, do zapoznania się z harmonogramem i odpowiedniego przygotowania swoich organizacji.
W celu ułatwienia stosowania przepisów ustawy Ministerstwo Cyfryzacji planuje szereg działań wspierających dla podmiotów krajowego systemu cyberbezpieczeństwa. Już dziś zachęcamy do zapoznania się z przygotowanym zestawem pytań i odpowiedzi dotyczących stosowania ustawy. W kolejnych tygodniach rozpoczniemy publikację cyklu komunikatów, w których omawiane będą kluczowe obowiązki wynikające z ustawy. Ministerstwo Cyfryzacji przygotuje również mapowanie dokumentów normalizacyjnych z zakresu cyberbezpieczeństwa na wymogi przepisów ustawy.