USTAWA O KSC · IMPLEMENTACJA NIS2 · W MOCY OD KWIETNIA 2026

Czy Twoja firma podlega pod KSC? Sprawdź, zanim zrobi to regulator.

Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa objęła ok. 40 tysięcy polskich podmiotów — sto razy więcej niż dotychczas. Do 3 października 2026 każda objęta firma musi sama się zidentyfikować i wpisać do wykazu. Za zaniedbania odpowiada osobiście kierownictwo.

Sprawdź swoją firmę w 3 minuty ↓Bez rejestracji · Wynik od razu · Stan prawny: lipiec 2026
dni do wpisu do wykazu
~40 tys.
objętych podmiotów
10 mln €
maksymalna kara
24 h
na zgłoszenie incydentu

SAMOIDENTYFIKACJA · KRYTERIA USTAWY O KSC

Kalkulator samoidentyfikacji.

Trzy kroki, które ustawa każe przejść każdej firmie: profil podmiotu, sektor działalności, skala. Odpowiedz zgodnie ze stanem faktycznym — wynik pokaże Twój prawdopodobny status i obowiązki.

01 · Profil podmiotuWybierz jedną odpowiedź

Odpowiedz na pytania powyżej — wynik pojawi się tutaj.

HARMONOGRAM USTAWOWY

Cztery daty, które musi znać zarząd.

Kwiecień 2026 · Za nami

Ustawa weszła w życie

Nowelizacja ustawy o KSC wdraża dyrektywę NIS2. Katalog objętych podmiotów rośnie z ~400 do ~40 000. Od tego dnia biegną wszystkie terminy.

3 października 2026 · dni

Koniec samoidentyfikacji i wpisów do wykazu

Każdy podmiot kluczowy lub ważny musi sam ustalić swój status i złożyć wniosek o wpis do wykazu prowadzonego przez ministra cyfryzacji. Brak wpisu to pierwsza rzecz, którą zobaczy organ nadzoru.

Kwiecień 2027

Pełne wdrożenie wymogów

System zarządzania bezpieczeństwem informacji, analiza ryzyka, procedury zgłaszania incydentów (24h/72h), bezpieczeństwo łańcucha dostaw, przeszkolone kierownictwo — wszystko udokumentowane.

Kwiecień 2028

Pierwsze audyty i sankcje

Podmioty kluczowe muszą mieć za sobą pierwszy audyt bezpieczeństwa. Organy nadzoru mogą nakładać kary do 10 mln € lub 2% obrotu (kluczowe) i do 7 mln € lub 1,4% (ważne) — plus osobiste kary dla kierownictwa.

OFERTA · STAŁE CENY · BEZ ROZLICZANIA ROBOCZOGODZIN

Od klasyfikacji do zgodności.

Praktyka inżynierska wspierana przez AI: dostarczamy wdrożoną zgodność i dokumenty, które przejdą kontrolę — nie segregator opinii. Stała cena znana przed startem.

01 · Start

Samoidentyfikacja i wpis do wykazu

1 900zł netto

Wiążąca odpowiedź na pytanie „czy i jak podlegamy” — zanim odpowie na nie organ nadzoru.

  • Analiza klasyfikacji z podstawą prawną
  • Rejestracja w wykazie podmiotów KSC
  • Memo dla zarządu: obowiązki i terminy

Realizacja: 5 dni roboczych

02 · Diagnoza

Przegląd zgodności — gap analysis

od 9 900zł netto

Mapa luk między stanem obecnym a wymogami ustawy, z planem dojścia do zgodności przed kwietniem 2027.

  • Przegląd techniczny i organizacyjny
  • Rejestr ryzyk i priorytety wdrożenia
  • Mapa drogowa z budżetem działań

Firmy 50–250 osób · 2–3 tygodnie

03 · Obowiązek coroczny

Szkolenie zarządu z KSC

od 4 900zł netto

Ustawa wymaga corocznego, udokumentowanego szkolenia kadry kierowniczej — a kierownictwo odpowiada osobiście.

  • Zamknięte, dopasowane do sektora firmy
  • Obowiązki, odpowiedzialność, realne ataki
  • Zaświadczenia do dokumentacji zgodności

Online lub na miejscu · 3–4 godziny

Wdrażamy, nie tylko opiniujemy

Dokumentacja, konfiguracje i procesy, które działają w praktyce — nie wyłącznie rekomendacje na papierze.

AI-first, dlatego stała cena

Analizy i dokumentację generujemy pipeline’ami AI pod nadzorem inżynierskim. Tę samą pracę wykonujemy szybciej — i tę różnicę widzisz w cenie.

Bez pośredników

Pracujesz bezpośrednio z praktykami, którzy wykonują robotę. Zero handlowców, zero podwykonawców, zero narzutów wielkiego doradztwa.

NAJCZĘSTSZE PYTANIA

Zanim zapytasz.

Mamy mniej niż 50 pracowników — czy na pewno nas to nie dotyczy?

Co do zasady mikro i małe firmy nie podlegają ustawie bezpośrednio. Są jednak dwa wyjątki. Pierwszy: kategorie szczególne (usługi zaufania, DNS, rejestry TLD, komunikacja elektroniczna) — tam wielkość nie ma znaczenia. Drugi, znacznie częstszy: łańcuch dostaw. Jeśli obsługujesz podmioty kluczowe lub ważne, one mają ustawowy obowiązek weryfikować bezpieczeństwo dostawców — i przeniosą te wymogi na Ciebie w umowach.

Co realnie grozi za brak wpisu do wykazu do 3 października?

Samoidentyfikacja i wpis to obowiązek ustawowy — jego zaniechanie podlega karze administracyjnej i jest najprostszą do wykrycia nieprawidłowością: organ widzi po prostu, że firmy z objętego sektora nie ma w wykazie. Kary finansowe za naruszenia sięgają 10 mln € lub 2% obrotu (podmioty kluczowe) i 7 mln € lub 1,4% (ważne). Osobną karę pieniężną może dostać osobiście kierownik podmiotu.

Czym różni się podmiot kluczowy od ważnego?

Obowiązki merytoryczne są niemal identyczne — różnica leży w nadzorze i sankcjach. Podmioty kluczowe podlegają nadzorowi bieżącemu (kontrole planowe, obowiązkowe audyty bezpieczeństwa co kilka lat) i wyższym karom. Podmioty ważne kontrolowane są ex post — zwykle po incydencie lub sygnale — i mają niższy pułap kar.

Mamy RODO i ISO 27001 — czy to nie wystarczy?

To bardzo dobra baza, ale nie zastępuje zgodności z KSC. Ustawa dodaje własne obowiązki: wpis do wykazu, zgłaszanie incydentów do CSIRT w 24/72 godziny, wymogi wobec łańcucha dostaw, coroczne szkolenia kierownictwa i osobistą odpowiedzialność zarządu. Dobrze wdrożone ISO 27001 potrafi pokryć znaczną część wymagań — przegląd zgodności pokazuje dokładnie, czego brakuje.

Ile trwa dojście do pełnej zgodności?

Dla firmy średniej wielkości bez wdrożonego systemu zarządzania bezpieczeństwem: zwykle 4–8 miesięcy, zależnie od stanu wyjściowego IT i liczby lokalizacji. Dlatego ustawodawca dał 12 miesięcy (do kwietnia 2027) — ale firmy, które zaczną w ostatnim kwartale, będą konkurować o tych samych specjalistów, w wyższych cenach.

Czy musimy już teraz przechodzić audyt bezpieczeństwa?

Obowiązkowy audyt (wykonywany przez certyfikowanych audytorów) dotyczy podmiotów kluczowych — pierwszy trzeba przeprowadzić do kwietnia 2028. Teraz priorytetem jest wpis do wykazu i plan wdrożenia. Przygotowujemy organizacje do audytu — a sam audyt formalny, zgodnie z ustawowym zakazem łączenia ról, przeprowadza niezależny zespół audytorski.

KONTAKT · ODPOWIADAMY W 24H

Porozmawiajmy o Twoim przypadku.

15-minutowa rozmowa: potwierdzimy klasyfikację, wskażemy pierwsze kroki i powiemy wprost, czy w ogóle potrzebujesz pomocy. Bez zobowiązań i bez uporczywego follow-upu.

Sprawdź status i umów konsultację ↑
Wpis do wykazu: do 3.10.2026Wdrożenie: do 04.2027