Podpis i wątek Trybunału Konstytucyjnego
19 lutego 2026 r. Prezydent Karol Nawrocki podpisał ustawę zmieniającą ustawę o Krajowym Systemie Cyberbezpieczeństwa (uKSC/KSC), a jednocześnie skierował wybrane kwestie do kontroli następczej w Trybunale Konstytucyjnym (TK). Kontrola następcza oznacza, że akt prawny nie „czeka” na rozstrzygnięcie – wchodzi w życie normalnym trybem, a TK może później zakwestionować całość albo część przepisów. W praktyce: podpis uruchamia bieg terminów i przygotowania po stronie administracji oraz rynku, ale nie rozwiązuje od ręki tematów organizacyjnych: klasyfikacji podmiotu, uporządkowania ryzyk, umów, raportowania i gotowości operacyjnej.
Oś czasu: wejście w życie, terminy wdrożeniowe i moment, od którego grożą kary
Najprościej myśleć o tym w trzech krokach. Krok pierwszy: ustawa zacznie obowiązywać miesiąc po ogłoszeniu w Dzienniku Ustaw) – dziś nie ma sensu zgadywać numeru Dz.U. ani daty publikacji, bo to dopiero przesądzi o kalendarzu. Krok drugi: obowiązki wdrożeniowe są rozciągnięte w czasie – typowo pojawiają się osobne terminy na wpis do wykazu oraz na zbudowanie i uruchomienie środków zarządzania ryzykiem (a także na wejście w obowiązkowe użycie systemu do obsługi/zgłaszania incydentów). Krok trzeci: administracyjne kary pieniężne za nowe obowiązki mogą być nakładane dopiero po 2 latach od wejścia w życie. To daje oddech, czas na sensowne spełnienie wymagań.
Istotna zmiana: samoidentyfikacja i ryzyko braku wpisu do wykazu
uKSC zakładała że podmioty podlegające pod ustawę zostaną urzędowo wskazane. Po wdrożeniu NIS2 (dyrektywy UE 2022/2555) logika jest inna: podmioty mają realny obowiązek same ocenić, czy spełniają kryteria „podmiotu kluczowego” albo „podmiotu ważnego”, a potem przejść przez rejestrację/wpis do wykazu. I tu jest haczyk: ryzyko nie dotyczy wyłącznie słabej techniki. Ustawa przewiduje sankcje także za „administracyjne” uchybienia, w tym za brak rejestracji w wykazie. Dla wielu firm to pierwszy kontakt z reżimem, w którym błąd na etapie kwalifikacji i zgłoszenia może być równie problematyczny jak luka w systemie.
Łańcuch dostaw ICT i ciągłość działania
Wątek dostawców ICT (Information and Communication Technology) i ciągłości działania jest ważny, bo uderza w „krwioobieg” usług: outsourcing, chmurę, integratorów, software house’y, telekomy, MSP/MSSP. Regulacyjnie to wygląda jak obowiązek zarządzania ryzykiem – praktycznie jak kontrola ryzyka operacyjnego. Pojawiają się elementy typu: własna ocena ryzyka dostawcy, wymagania umowne, weryfikacja i prawo do sprawdzenia, a także konsekwencje incydentów po stronie łańcucha dostaw. To obszar, gdzie NIS2/KSC mocno zbliża się filozofią do ISO 27001 (system zarządzania bezpieczeństwem informacji), ale różni się mocą wymagań – terminy, nadzór i odpowiedzialność są z definicji regulacyjne. I dlatego ISO 22301 (ciągłość działania) staje się równie istotne: bez przetestowanych scenariuszy awarii, odtworzeń i zastępstw dostawców, bezpieczeństwo kończy się na slajdach, a zaczyna się incident response w trybie chaosu.
Co jeszcze zmienia nowelizacja KSC wdrażająca NIS2
W tle samoidentyfikacji i łańcucha dostaw jest kilka zmian, które warto mieć na radarze. Po pierwsze, rozszerzono katalog sektorów i podmiotów objętych obowiązkami, a dotychczasowe kategorie zastąpiono podziałem na podmioty kluczowe i ważne. Po drugie, wzmacnia się nadzór i „narzędzia egzekucyjne” organów – od żądania informacji, przez kontrole i nakazy, po kary. Po trzecie, buduje się warstwę operacyjną wokół zgłaszania i obsługi incydentów (CSIRT – Computer Security Incident Response Team – na poziomie krajowym i sektorowym; system teleinformatyczny do obsługi zgłoszeń). Po czwarte, dochodzi temat dostawcy wysokiego ryzyka (DWR) i powiązanych decyzji/środków zabezpieczających. To wszystko ma finalnie doprowadzić do spójniejszego reagowania na incydenty i lepszej odporności usług.
TK w tle: gdzie może pojawić się niepewność
Skierowanie części przepisów do TK dotyczy – z perspektywy komunikatu – m.in. zakresu podmiotowego (szerokie objęcie branż), zasad uznawania dostawców za wysokiego ryzyka oraz mechanizmu poleceń zabezpieczających, a także konstrukcji decyzji i gwarancji proceduralnych. Najrozsądniej rozdzielić prace na dwie szuflady: (1) rzeczy, które i tak trzeba mieć, bo są dobrą praktyką i rdzeniem NIS2 (zarządzanie ryzykiem, incydenty, ciągłość, dostawcy), oraz (2) elementy zależne od ostatecznego kształtu mechanizmów państwowych (np. szczegóły dotyczące DWR). Wtedy nawet przy zmianach legislacyjnych organizacje nie zmarnują czasu niezbędnego na dostosowanie do regulacji.
Dwuletnie odroczenie kar
To, że kary za nowe obowiązki mogą pojawić się dopiero po 24 miesiącach od wejścia w życie, łatwo błędnie odczytać jako zachętę do odłożenia tematu. W praktyce dojrzałe wdrożenie to: inwentaryzacja usług, klasyfikacja, model ryzyk, decyzje architektoniczne, przetargi, renegocjacje umów, testy, szkolenia, ćwiczenia i dopiero potem stabilna eksploatacja. Dwa lata to często dwa cykle budżetowe – a to oznacza, że prace trzeba zacząć tak, żeby koszty i zasoby nie „wysadziły” jednego kwartału.