Cyberbezpieczeństwo
24 lutego 2026

UKSC 2026 – nowe obowiązki dla firm w zakresie cyberbezpieczeństwa w Polsce

Rok 2026 przynosi istotne zmiany w funkcjonowaniu krajowego systemu cyberbezpieczeństwa (KSC). 19 lutego 2026 r. Prezydent podpisał nowelizację ustawy, implementującą w Polsce unijną dyrektywę NIS2, która znacząco rozszerza zakres obowiązków firm w tym obszarze. Co się zmienia? M.in. katalog podmiotów objętych regulacjami, podział na podmioty kluczowe i podmioty ważne, a także poziom odpowiedzialności instytucji i kadry zarządzającej. Sprawdź, czy zmiany te dotyczą Twojej organizacji i jakie działania należy podjąć, aby być zgodnym z UKSC!

Czym jest UKSC i dlaczego Twoja firma powinna się tym zainteresować?

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) jest fundamentem regulacji cyberbezpieczeństwa w Polsce. Jej celem jest ochrona najważniejszych usług i infrastruktury państwowej przed zagrożeniami cyfrowymi, takimi jak ataki hakerskie, ransomware czy awarie systemów krytycznych. W nowelizacji ustawy z 2026 roku obowiązki rozszerzono na jeszcze więcej firm i instytucji, a kary za niedopełnienie wymagań mogą wynosić nawet miliony złotych.

Dla działu IT nowelizacja Ustawy oznacza konkretną odpowiedzialność za wdrożenie i utrzymanie systemów bezpieczeństwa, monitorowanie incydentów oraz raportowanie do CSIRT. Jednocześnie osobista odpowiedzialność za zgodność z ustawą i nadzór nad systemem bezpieczeństwa spoczywa na kierowniku podmiotu (np. członkach zarządu), który musi zapewnić odpowiednie zasoby, budżet oraz kontrolę realizacji zadań. Odpowiedzialność ta nie wygasa w przypadku delegowania obowiązków na inne osoby, a dodatkowo nakłada na kierownictwo wymóg udokumentowanego, corocznego szkolenia z zakresu cyberbezpieczeństwa.

Nowelizacja UKSC podpisana – co teraz?

19 lutego 2026 r. Prezydent podpisał nowelizację ustawy, jednak część przepisów skierował do kontroli następczej przez Trybunał Konstytucyjny. Kontrola następcza oznacza, że ustawa wchodzi w życie normalnym trybem po publikacji w Dzienniku Ustaw, a Trybunał dopiero później oceni zgodność wybranych przepisów z Konstytucją – może więc w przyszłości zakwestionować całość albo ich część. Podsumowując:

  • Trybunał może uchylić zakwestionowane przepisy, jeśli uzna, że naruszają normy konstytucyjne. Do czasu takiego orzeczenia ustawa ma domniemanie konstytucyjności, co oznacza, że jej przepisy już obowiązują i przedsiębiorcy muszą się do nich przygotować.

Harmonogram

  • 02.03.2026 r. – nowelizacja UKSC została ogłoszona w Dzienniku Ustaw.
  • 02.03 – 03.04.2026 r. – vacatio legis
  • 03.04.2026 r. – nowelizacja UKSC wchodzi w życie, a organizacje mają 12-miesięczny termin wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie.
  • 03.10.2026 r. – od momentu wejścia ustawy w życie organizacje mają 6 miesięcy na samoidentyfikację statusu i jest to ostateczny termin na złożenie wniosku o wpis do wykazu przez podmioty ważne i kluczowe
  • 03.04.2027 r. – koniec czasu na wdrożenie obowiązków przez podmioty kluczowe i podmioty ważne
  • 03.04.2028 r. – termin na przeprowadzenie pierwszego obowiązkowego audytu przez podmioty kluczowe

Jakie firmy podlegają pod UKSC?

Zgodnie z ustawą, podmioty krajowego systemu cyberbezpieczeństwa dzielą się na podmioty kluczowe i podmioty ważne. Klasyfikacja zależy od sektora działalności, wielkości przedsiębiorstwa oraz znaczenia podmiotu dla funkcjonowania państwa.

Podmioty kluczowe

Do kategorii podmiotów kluczowych zaliczają się przede wszystkim duże przedsiębiorstwa działające w sektorach o krytycznym znaczeniu dla bezpieczeństwa państwa i gospodarki. Należą do nich m.in.:

  • Przedsiębiorstwa energetyczne (elektryczność, gaz, ropa, paliwa, ciepło, energetyka jądrowa, wodór),
  • Podmioty transportowe (lotniczy, kolejowy, drogowy, wodny),
  • Banki i infrastruktura rynków finansowych,
  • Ochrona zdrowia – podmioty lecznicze, laboratoria, produkcja i dystrybucja leków oraz wyrobów medycznych,
  • Zaopatrzenie w wodę pitną i gospodarka ściekowa,
  • Infrastruktura cyfrowa i zarządzanie usługami ICT,
  • Podmioty związane z przestrzenią kosmiczną,
  • Wybrane podmioty publiczne – wskazane jednostki administracji rządowej oraz państwowe osoby prawne zidentyfikowane jako kluczowe decyzją ministra.

Do podmiotów kluczowych należą także:

przedsiębiorcy komunikacji elektronicznej spełniający wymogi średniego przedsiębiorcy, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (co najmniej mali przedsiębiorcy), a także niezależnie od wielkości: dostawcy DNS, kwalifikowani dostawcy usług zaufania, operatorzy obiektów energetyki jądrowej, rejestry nazw domen najwyższego poziomu oraz podmioty krytyczne lub kluczowe dla gospodarki wskazane przez organ właściwy.

Podmioty ważne

Podmioty ważne obejmują szeroki wachlarz podmiotów o mniejszym, lecz istotnym znaczeniu dla bezpieczeństwa cybernetycznego kraju. Należą do nich:

  • Średnie przedsiębiorstwa z sektorów kluczowych, które nie spełniają kryteriów podmiotu kluczowego,
  • Przedsiębiorstwa średnie i duże działające w sektorach z załącznika nr 2 ustawy, np. usługi pocztowe, gospodarka odpadami, produkcja chemikaliów, żywności, wyrobów medycznych, komputerów, pojazdów, elektroniki, a także dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki, portale społecznościowe) i organizacje badawcze,
  • Podmioty lecznicze zatrudniające 50–249 osób,
  • Podmioty publiczne realizujące zadania publiczne za pomocą systemów informacyjnych (jednostki budżetowe samorządów, instytucje kultury, spółki użyteczności publicznej),
  • Niezależnie od wielkości: mikro- i mali przedsiębiorcy komunikacji elektronicznej, niekwalifikowani dostawcy usług zaufania, inwestorzy obiektów energetyki jądrowej, oraz podmioty wskazane przez organ jako jedyni dostawcy kluczowej usługi.

Wyłączenia: służby specjalne oraz większość podmiotów podległych lub nadzorowanych przez Ministerstwo Obrony Narodowej, chyba że zostaną wskazane w drodze oddzielnej decyzji.

Obowiązki podmiotów kluczowych i ważnych w UKSC

Obowiązki te mają charakter zarówno techniczny, jak i organizacyjny, a ich realizacja wymaga współpracy działu IT z kierownictwem i kadrą zarządzającą. Co ważne, realizacja tych zadań może być prowadzona przez wewnętrzne struktury lub zlecona zewnętrznemu dostawcy usług zarządzanych (MSSP), jednak odpowiedzialność za nadzór nad tymi działaniami pozostaje wewnątrz organizacji.

Każdy podmiot kluczowy i ważny musi wdrożyć i utrzymywać:

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI), który obejmuje:
  • Szacowanie i zarządzanie ryzykiem – systematyczna analiza prawdopodobieństwa i wpływu incydentów,
  • Środki techniczne i organizacyjne – polityki bezpieczeństwa, ochrona fizyczna i zasobów ludzkich, zarządzanie aktywami,
  • Ciągłość działania – plany awaryjne i odtwarzania systemów po zdarzeniu,
  • Bezpieczeństwo łańcucha dostaw – analiza ryzyka związana z dostawcami ICT,
  • Szkolenia i cyberhigiena – edukacja personelu, stosowanie bezpiecznych metod komunikacji i kryptografii,
  • Monitorowanie i aktualizacja systemów – bieżąca obserwacja i regularne aktualizacje oprogramowania.

Uwaga: dla podmiotów publicznych zakres SZBI jest doprecyzowany w załączniku nr 4 ustawy, w tym inwentaryzacja zasobów i kontrola uprawnień.

2. Obsługa i zgłaszanie incydentów

Podmioty są zobowiązane do raportowania incydentów do właściwego CSIRT sektorowego:

  • Wczesne ostrzeżenie: do 24 godzin od wykrycia,
  • Zgłoszenie incydentu poważnego: do 72 godzin,
  • Sprawozdanie końcowe: do 1 miesiąca, z możliwością raportu postępu w trakcie obsługi incydentu.

3. Audyty i dokumentacja

  • Podmioty kluczowe: audyt bezpieczeństwa co najmniej raz na 3 lata (pierwszy w ciągu 24 miesięcy od uzyskania statusu),
  • Podmioty ważne: audyt możliwy decyzją organu w przypadku poważnego incydentu.

Uwaga: Dokumentacja SZBI musi być przechowywana co najmniej 2 lata od wycofania jej z użycia.

Kto odpowiada za wdrożenie UKSC w firmie?

Kierownik podmiotu (prezes, dyrektor) ponosi osobistą odpowiedzialność za wdrożenie i nadzór SZBI:

  • zatwierdzanie środków zarządzania ryzykiem,
  • planowanie budżetu na cyberbezpieczeństwo,
  • odbycie corocznego szkolenia z cyberbezpieczeństwa.

Nieprzestrzeganie obowiązków wiąże się z wysokimi karami finansowymi zarówno dla podmiotu, jak i kierownika.

Kary za naruszenia UKSC

Nowelizacja UKSC w 2026 roku wprowadza rygorystyczny system kar pieniężnych, które mogą dotyczyć podmiotów kluczowych i ważnych oraz ich kierowników.

  • Podmioty kluczowe: kara do 10 000 000 euro lub 2% rocznego przychodu, minimalnie 20 000 zł.
  • Podmioty ważne: kara do 7 000 000 euro lub 1,4% rocznego przychodu, minimalnie 15 000 zł.
  • Sytuacje szczególne: jeśli naruszenie zagraża obronności, bezpieczeństwu państwa, życiu lub zdrowiu, kara do 100 000 000 zł.
  • Kierownicy podmiotów: odpowiedzialność finansowa za brak nadzoru nad SZBI i szkoleniami; do 300% wynagrodzenia (100% w podmiotach publicznych).
  • Okresowe kary: od 500 zł do 100 000 zł dziennie, aby wymusić usunięcie uchybień.
  • Specjalne przypadki: dostawcy cyfrowi, producenci ICT i niekluczowe podmioty finansowe podlegają karom za niewykonywanie obowiązków raportowych lub zabezpieczających.

Organ uwzględnia wagę naruszenia, czas trwania, szkody i współpracę podmiotu, a wpływy z kar zasilają Fundusz Cyberbezpieczeństwa.

Terminy wdrożenia UKSC 2026 dla firm

Krok po kroku wdrożenie UKSC w firmie

W Servers24.pl rekomendujemy podejście do wdrożenia obowiązków wynikających z UKSC w 8 krokach:

1. Inwentaryzacja zasobów (sprzętowych, oprogramowania i dokumentacji).

2. Audyt zgodności, który pozwoli precyzyjnie określić punkt startowy organizacji. Dzięki niemu firma będzie wiedzieć co ma już wdrożone, jakie obszary wymagają jeszcze dostosowania, jakie są luki i nieprawidłowości w obecnych systemach bezpieczeństw.

3. Plan działania – na podstawie przeprowadzonego audytu nasi specjaliści pomogą określić priorytety zakupowe, doradzą potrzebny sprzęt i rozwiązania, rozplanują budżet i harmonogram wdrożenia.

4. Decyzja zarządu o zabezpieczeniu budżetu i zasobów – w Servers24.pl pomagamy w pozyskaniu leasingu na potrzebne elementy infrastruktury IT.

5. Aktualizacja procedur, szczególnie w zakresie planów ciągłości działania i zarządzania incydentami.

6. Dostarczenie i wdrożenie sprzętu i potrzebnej technologii, w tym systemów monitorowania i raportowania, SIEM, SOC, MFA, etc.

7. Szkolenia dla pracowników operacyjnych, jak i dla zarządu, który musi wykazać się świadomością i odpowiedzialnością.

8. Stały monitoring i audyty bo cyberbezpieczeństwo to proces, który wymaga ciągłego doskonalenia.

Let’s talk about IT!

Masz pytania? Chcesz sprawdzić czy Twoja firma podlega pod UKSC? A może potrzebujesz ruszyć z działaniami jak najszybciej?

W Servers24.pl wspieramy firmy kompleksowo!

  • Weryfikujemy status firm pod KSC/NIS2.
  • Przeprowadzamy audyty zgodności i bezpieczeństwa IT/OT, jak również testy penetracyjne. 
  • Dobieramy, dostarczamy i wdrażamy niezbędny sprzęt i rozwiązania (w tym: MFA, SIEM, SOC, etc.).
  • Bazujemy na rozwiązaniach największych światowych producentów m.in. Dell Technologies, Cisco, Veeam.
  • Zapewniamy pełne wsparcie inżynierskie, testy oraz Proof of Concept.
  • Wspieramy w uzyskaniu finansowania na działania poprzez leasing sprzętu, np. w Dell Bank.
  • Przeprowadzamy szkolenia dla pracowników i kadry menedżerskiej, w tym testy phishingowe.

Zapraszamy do kontaktu!

Handlowy@Servers24.pl

Inne wpisy, które mogą Cie zainteresować

Cisco – jak skutecznie zabezpieczyć firmę? – webinar on-demand

Cisco – jak skutecznie zabezpieczyć firmę? – webinar on-demand

12 marca 2025
Cyberbezpieczeństwo Producenci i technologie
Prace nad nową wersją Krajowego Systemu Cyberbezpieczeństwa nadal trwają, ale jedno jest pewne -wymagania w polskiej ustawie nie będą...
Czytaj dalej
Przejdź do archiwum

Skontaktuj się z nami

Masz pytania?
Porozmawiaj z naszymi ekspertami