W związku z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, od 7 maja 2026 roku polskie firmy muszą przeprowadzić proces samoidentyfikacji i zgłosić się do państwowego rejestru. To koniec czekania na oficjalne pismo z urzędu – teraz odpowiedzialność spoczywa na barkach zarządów.
Prawidłowa ocena statusu organizacji wymaga odejścia od powierzchownego sprawdzania kodów PKD na rzecz rzetelnej weryfikacji operacyjnej. Przedsiębiorca musi dokonać głębokiej analizy faktycznie podejmowanych działań oraz skali świadczonych usług, odnosząc je do sektorów wymienionych w ustawie. Podmioty kluczowe i ważne są definiowane nie tylko przez rodzaj branży, ale również przez ich wielkość, przy czym w obliczeniach należy uwzględnić pełną strukturę powiązań kapitałowych i partnerskich. Szczególną uwagę należy zwrócić na artykuł 5 ustawy, który wskazuje sytuacje, w których firma zostaje objęta ustawą KSC niezależnie od liczby zatrudnionych pracowników czy rocznych obrotów.
– Resort cyfryzacji jasno komunikuje, że brak wiedzy o nowych przepisach nie będzie stanowił linii obrony w przypadku kontroli i niespełnienia wymogu wpisu do rejestru. Terminowa rejestracja oraz idące za nią wdrożenie realnych zabezpieczeń cyfrowych w firmie są jedyną drogą do uniknięcia drastycznych kar i zapewnienia przedsiębiorstwu ciągłości operacyjnej i cyberbezpieczeństwa – komentuje Dawid Maciejewski, radca prawny i wiceprezes Cyber360, polskiej firmy dostarczającej usługę cyberbezpieczeństwa dla biznesu oraz sektora publicznego.
Możliwość wpisu do wykazu KSC w nowej rządowej aplikacji otwiera się 7 maja i potrwa do 3 października 2026 roku. Warto jednak pamiętać, że podmioty wpisywane z urzędu przez Ministra Cyfryzacji w rejestrze znalazły się automatycznie już do 6 maja. To m.in. jednostki publiczne, firmy telekomunikacyjne oraz dostawcy usług cyfrowych. Pozostałe firmy muszą teraz samodzielnie zdecydować, czy kwalifikują się do grona podmiotów ważnych lub kluczowych, co determinuje zakres ich przyszłych obowiązków w obszarze cyberbezpieczeństwa.
Szacuje się, że obowiązkowi rejestracji, a docelowo zwiększenia swojego cyberbezpieczeństwa może podlegać nawet 40.000 podmiotów w Polsce.
