KSC2 jest już w systemie. Teraz firmy muszą sprawdzić, czy są w zasięgu regulacji.

KSC2 nie jest kolejną „polityką IT do segregatora”. To regulacja, która wymusza przejście od intuicyjnego zabezpieczania firmy do zarządzanego, udokumentowanego i testowanego systemu cyberbezpieczeństwa. Dla części organizacji pierwszym obowiązkiem będzie samoidentyfikacja i wpis do wykazu KSC. Dla podmiotów kluczowych na horyzoncie jest także audyt bezpieczeństwa.

Zmiana jest istotna, bo dotychczas krajowy system cyberbezpieczeństwa kojarzył się przede wszystkim z wybranymi operatorami usług kluczowych i dostawcami usług cyfrowych. Po KSC2 mapa jest szersza: energia, transport, zdrowie, finanse, infrastruktura cyfrowa, zarządzanie usługami ICT, produkcja, chemia, żywność, usługi cyfrowe, badania oraz wybrane podmioty publiczne. To nie jest już temat tylko dla „dużego IT”. To temat dla zarządu, compliance, prawników, bezpieczeństwa, zakupów i operacji.

1. KSC2 jako implementacja NIS2

Dyrektywa NIS2 miała podnieść i ujednolicić poziom cyberbezpieczeństwa w Unii Europejskiej. Polska wdrożyła ją przez nowelizację ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. W praktyce oznacza to przebudowę dotychczasowego modelu: nową klasyfikację podmiotów, nowe obowiązki, nowy wykaz, nowe terminy oraz silniejszy nadzór.

„KSC2” to skrótowa nazwa nowelizacji. Nie tworzy ona cyberbezpieczeństwa od zera, ale zmienia skalę systemu: organizacje mają samodzielnie ocenić, czy są podmiotem kluczowym albo ważnym, a następnie wdrożyć środki adekwatne do ryzyka. To istotne, bo brak pisma z urzędu nie oznacza braku obowiązków.

2. Kogo obejmują nowe przepisy?

KSC2 wprowadza podział na podmioty kluczowe i podmioty ważne. O kwalifikacji decyduje sektor, charakter działalności, często także wielkość przedsiębiorcy oraz to, czy dana usługa ma znaczenie dla ciągłości działania rynku albo społeczeństwa.

3. Co zmienia się przedmiotowo?

KSC2 przesuwa ciężar z reaktywnego gaszenia incydentów na systemowe zarządzanie ryzykiem. Organizacja ma wiedzieć, które usługi są krytyczne, jakie systemy je wspierają, kto odpowiada za bezpieczeństwo, jakie są scenariusze incydentów i jak firma wraca do działania po zakłóceniu.

Zmiany obejmują w szczególności:

• obowiązek samodzielnej identyfikacji, czy organizacja jest podmiotem kluczowym albo ważnym,
• wpis do wykazu podmiotów kluczowych i ważnych w systemie S46,
• wdrożenie zarządzania ryzykiem cyberbezpieczeństwa,
• zgłaszanie incydentów, w tym wczesnych ostrzeżeń i dalszych raportów,
• większy nacisk na ciągłość działania, kopie zapasowe, zarządzanie kryzysowe i bezpieczeństwo łańcucha dostaw,
• odpowiedzialność kierownictwa za zatwierdzanie i nadzorowanie środków zarządzania ryzykiem,
• obowiązkowy audyt bezpieczeństwa dla podmiotów kluczowych,
• szersze kompetencje organów nadzoru oraz istotnie wyższe sankcje administracyjne.

W przypadku podmiotów kluczowych kara pieniężna może sięgać 10 mln euro albo 2% przychodów z działalności gospodarczej, przy czym zastosowanie ma kwota wyższa. Dla podmiotów ważnych limit wynosi 7 mln euro albo 1,4% przychodów. Ustawa przewiduje również możliwość nałożenia kary na kierownika podmiotu, a w szczególnych przypadkach kara administracyjna może sięgnąć 100 mln zł.

4. Nowe obowiązki w praktyce

Wdrożenie KSC2 nie powinno zaczynać się od zakupu narzędzia ani od kopiowania procedur. Punktem wyjścia jest mapa obowiązków: kwalifikacja podmiotu, wskazanie właścicieli procesów, analiza ryzyka, dobór środków bezpieczeństwa, procedury incydentowe, szkolenia i dokumentacja.

Minimum organizacyjne

• ustalenie, czy podmiot podlega KSC2 i w jakiej kategorii,
• wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo i komunikację z organami,
• przygotowanie albo aktualizacja dokumentacji bezpieczeństwa,
• ustalenie procedury zgłaszania incydentów oraz wewnętrznej ścieżki eskalacji,
• objęcie zarządu realnym nadzorem nad ryzykiem cyberbezpieczeństwa,
• zaplanowanie, kiedy i w jakim zakresie powinien zostać wykonany audyt bezpieczeństwa.

Minimum techniczne i procesowe

• inwentaryzacja systemów, usług, zasobów i dostawców,
• analiza ryzyka systemów i usług,
• zarządzanie dostępami i uwierzytelnianiem,
• procedury kopii zapasowych i odtwarzania działania,
• zarządzanie podatnościami i aktualizacjami,
• kontrola dostawców oraz usług świadczonych przez podmioty trzecie,
• testowanie procedur reagowania na incydenty.

5. Security Awareness: cyberbezpieczeństwo, które nie kończy się na procedurach

Najsłabszym miejscem organizacji bardzo często nie jest firewall, tylko codzienna decyzja człowieka: kliknięcie linku, otwarcie załącznika, podanie danych, obejście procedury „bo sprawa jest pilna”. Dlatego wdrożenie KSC2 powinno obejmować nie tylko polityki i checklisty, ale także trwałe budowanie Security Awareness.

Dobrze zaprojektowany program Security Awareness pozwala przełożyć obowiązki prawne na realne nawyki w organizacji. Przykładem są Praktyczny Trening Antyphishingowy oraz Testy Socjotechniczne. To działania, które pokazują, jak pracownicy reagują na rzeczywiste scenariusze ataku, gdzie pojawiają się luki i które procesy wymagają wzmocnienia.

Z perspektywy KSC2 to ważne, bo organizacja powinna nie tylko posiadać procedury, ale też wykazywać, że potrafi działać pod presją incydentu. Security Awareness, Praktyczny Trening Antyphishingowy i Testy Socjotechniczne budują cyberbezpieczeństwo na lata, a nie tylko na dzień kontroli.

6. Od obowiązku do działającego systemu cyberbezpieczeństwa

W specjalistycznym ujęciu wdrożenie KSC2 to nie jednorazowy projekt dokumentacyjny, ale sekwencja decyzji organizacyjnych. Najpierw trzeba wiedzieć, czy ustawa dotyczy organizacji. Dopiero później można sensownie projektować role, procedury, narzędzia i dowody zgodności.

7. Oś czasu: najważniejsze daty

Ta oś czasu pokazuje, że KSC2 nie jest już projektem „na przyszłość”. Dla podmiotów objętych ustawą obowiązki organizacyjne i prawne już się rozpoczęły.

Webinar: czy da się wdrożyć KSC w tydzień?

18 czerwca 2026 r. o godz. 11:00 zapraszamy na bezpłatne spotkanie online, podczas którego wspólnie z ekspertami spróbujemy odpowiedzieć na bardzo praktyczne pytanie: czy da się wdrożyć KSC w tydzień?

Porozmawiamy o tym, jak sprawdzić, czy firma podlega KSC2, od czego zacząć wdrożenie, jakie dokumenty są naprawdę potrzebne, kiedy potrzebny będzie audyt bezpieczeństwa, czego będzie oczekiwał organ nadzoru i gdzie najczęściej powstaje ryzyko odpowiedzialności zarządu.

Spotkanie odbędzie się w formule online na Microsoft Teams. Udział jest bezpłatny.

Zarezerwuj miejsce

Podsumowanie

KSC2 oznacza dla wielu organizacji konieczność szybkiego przejścia od ogólnej świadomości cyberbezpieczeństwa do formalnie udokumentowanego systemu zarządzania ryzykiem. Nie każda firma będzie objęta ustawą, ale każda firma działająca w sektorach wskazanych w KSC2 powinna jak najszybciej przeprowadzić kwalifikację i sprawdzić, czy ma obowiązek rejestracji, wdrożenia procedur oraz przeprowadzenia audytu bezpieczeństwa.

Pytanie nie brzmi więc wyłącznie: „czy mamy zabezpieczenia IT?”. Pytanie brzmi: „czy potrafimy wykazać, że zarząd zna ryzyka, zatwierdził adekwatne środki, ludzie wiedzą jak reagować, a organizacja umie przejść od alertu do decyzji i zgłoszenia incydentu zgodnie z KSC2?”.