Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) została opublikowana. Rozpoczyna się intensywny okres dostosowania do nowych wymogów z zakresu cyberbezpieczeństwa

02 kwi 2026
Konrad Basaj

2 marca 2026 r. w Dzienniku Ustaw została ogłoszona nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która wdraża do polskiego porządku wymogi dyrektywy NIS 2. Nowe przepisy wejdą w życie już 3 kwietnia 2026 r. i według szacunków rządowych obejmą ponad 40 tysięcy nowych podmiotów.

Ogłoszenie nowelizacji UKSC w Dzienniku Ustaw stanowi przełomowy moment w prawie dwuletnich pracach nad dostosowaniem polskiego porządku prawnego do wymogów wynikających z dyrektywy NIS 2.

Z chwilą ogłoszenia ustawy rozpoczął się bieg miesięcznego vacatio legis, a sama nowelizacja wejdzie w życie 3 kwietnia 2026 r. Od tej daty liczone będą terminy realizacji obowiązków przewidzianych dla podmiotów objętych regulacją, tj. podmiotów kluczowych i ważnych.

W pracach sejmowych nad regulacją wydłużono niektóre z terminów na spełnienie obowiązków i ostateczny harmonogram wygląda następująco:

  • do 3 października 2026 r. podmioty kluczowe i ważne będą zobowiązane dokonać samoidentyfikacji oraz zarejestrować się w wykazie podmiotów kluczowych i ważnych;
  • do 3 kwietnia 2027 r. podmioty kluczowe i ważne będą zobowiązane spełnić większość nowych obowiązków, w tym przede wszystkim wdrożyć odpowiednie środki techniczne i organizacyjne w ramach swojego systemu zarządzania bezpieczeństwem informacji;
  • do 3 kwietnia 2028 r. podmioty kluczowe (nie dotyczy to podmiotów ważnych) będą musiały przeprowadzić pierwszy audyt bezpieczeństwa swojego systemu informacyjnego, a każdy kolejny audyt powinien być ponawiany co najmniej raz na 3 lata.

W praktyce oznacza to, że ustawodawca przewidział roczny okres na dostosowanie się do zasadniczej części nowych obowiązków. Nie zmienia to jednak faktu, że dla wielu organizacji czas ten może okazać się krótki, zwłaszcza przy konieczności równoczesnego przeprowadzenia analizy podlegania pod przepisy, opracowania nowych procedur, wdrożenia środków technicznych czy przeszkolenia personelu.

Na osobny komentarz zasługuje kwestia sankcji za niewdrożenie obowiązków w terminie. Nowe przepisy przewidują możliwość nakładania wysokich kar pieniężnych w przypadku uchylania się od spełnienia ustawowych obowiązków. Co jest jednak bardzo istotne, to wprowadzenie moratorium na kary finansowe. Zgodnie z przepisami przejściowymi, administracyjne kary finansowe będą mogły być nałożone po raz pierwszy dopiero po upływie 2 lat od wejścia nowelizacji w życie. Nie dotyczy to jednak tzw. kary kwalifikowanej, która może być nałożona do wysokości 100 mln zł, w przypadku gdy naruszenie obowiązków spowoduje m.in. poważne zagrożenie dla obronności i bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi.

Warto wskazać, że Prezydent RP wraz z podpisaniem nowelizacji UKSC skierował jednocześnie wniosek do Trybunału Konstytucyjnego o kontrolę następczą nowych przepisów. Wniosek dotyczy m.in. zbadania kontrowersyjnej instytucji uznania podmiotów za dostawcę wysokiego ryzyka. Ewentualne późniejsze rozstrzygnięcie Trybunału może wpłynąć na ocenę zgodności określonych przepisów z Konstytucją, ale nie wstrzymuje wejścia w życie nowelizacji ani biegu terminów przewidzianych dla podmiotów objętych regulacją.

W związku ze zmianą ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) wiele organizacji stoi przed wyzwaniem przygotowania się do nowych obowiązków. Bazując na najczęściej pojawiających się pytaniach podczas szkoleń i webinarów, przygotowaliśmy serię FAQ, która porządkuje kluczowe zagadnienia związane ze stosowaniem nowych przepisów.