Mamy mniej niż 50 pracowników — czy na pewno nas to nie dotyczy?
Co do zasady mikro i małe firmy nie podlegają ustawie bezpośrednio. Są jednak dwa wyjątki. Pierwszy: kategorie szczególne (usługi zaufania, DNS, rejestry TLD, komunikacja elektroniczna) — tam wielkość nie ma znaczenia. Drugi, znacznie częstszy: łańcuch dostaw. Jeśli obsługujesz podmioty kluczowe lub ważne, one mają ustawowy obowiązek weryfikować bezpieczeństwo dostawców — i przeniosą te wymogi na Ciebie w umowach.
Co realnie grozi za brak wpisu do wykazu do 3 października?
Samoidentyfikacja i wpis to obowiązek ustawowy — jego zaniechanie podlega karze administracyjnej i jest najprostszą do wykrycia nieprawidłowością: organ widzi po prostu, że firmy z objętego sektora nie ma w wykazie. Kary finansowe za naruszenia sięgają 10 mln € lub 2% obrotu (podmioty kluczowe) i 7 mln € lub 1,4% (ważne). Osobną karę pieniężną może dostać osobiście kierownik podmiotu.
Czym różni się podmiot kluczowy od ważnego?
Obowiązki merytoryczne są niemal identyczne — różnica leży w nadzorze i sankcjach. Podmioty kluczowe podlegają nadzorowi bieżącemu (kontrole planowe, obowiązkowe audyty bezpieczeństwa co kilka lat) i wyższym karom. Podmioty ważne kontrolowane są ex post — zwykle po incydencie lub sygnale — i mają niższy pułap kar.
Mamy RODO i ISO 27001 — czy to nie wystarczy?
To bardzo dobra baza, ale nie zastępuje zgodności z KSC. Ustawa dodaje własne obowiązki: wpis do wykazu, zgłaszanie incydentów do CSIRT w 24/72 godziny, wymogi wobec łańcucha dostaw, coroczne szkolenia kierownictwa i osobistą odpowiedzialność zarządu. Dobrze wdrożone ISO 27001 potrafi pokryć znaczną część wymagań — przegląd zgodności pokazuje dokładnie, czego brakuje.
Ile trwa dojście do pełnej zgodności?
Dla firmy średniej wielkości bez wdrożonego systemu zarządzania bezpieczeństwem: zwykle 4–8 miesięcy, zależnie od stanu wyjściowego IT i liczby lokalizacji. Dlatego ustawodawca dał 12 miesięcy (do kwietnia 2027) — ale firmy, które zaczną w ostatnim kwartale, będą konkurować o tych samych specjalistów, w wyższych cenach.
Czy musimy już teraz przechodzić audyt bezpieczeństwa?
Obowiązkowy audyt (wykonywany przez certyfikowanych audytorów) dotyczy podmiotów kluczowych — pierwszy trzeba przeprowadzić do kwietnia 2028. Teraz priorytetem jest wpis do wykazu i plan wdrożenia. Przygotowujemy organizacje do audytu — a sam audyt formalny, zgodnie z ustawowym zakazem łączenia ról, przeprowadza niezależny zespół audytorski.