
Michał Zwyrtek
Łączy perspektywę finansową, doradczą i cyfrową w projektach strategicznych oraz wdrożeniowych.
Pełny profilWraz z dniem 3 kwietnia 2026 roku polski system prawny oraz gospodarczy wkroczył w zupełnie nową erę zarządzania ryzykiem technologicznym. To właśnie tego dnia…
Wraz z dniem 3 kwietnia 2026 roku polski system prawny oraz gospodarczy wkroczył w zupełnie nową erę zarządzania ryzykiem technologicznym. To właśnie tego dnia weszła w życie długo procedowana i szeroko dyskutowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), określana w dyskursie branżowym mianem KSC 2.0. Akt ten stanowi bezpośrednią implementację do polskiego porządku prawnego unijnej dyrektywy NIS 2, a także uwzględnia strategiczne wytyczne zawarte w unijnym dokumencie Toolbox 5G.
Należy z całą mocą podkreślić fundamentalną zasadę prawną: dyrektywa unijna jako taka nie obowiązuje polskich podmiotów gospodarczych bezpośrednio. Narzędziem egzekucji prawa, z którym organizacje muszą wykazać pełną zgodność, jest wyłącznie znowelizowana ustawa KSC 2.0. Zmiana ta nie jest jedynie mechaniczną aktualizacją przepisów z 2018 roku. Reprezentuje ona potężną zmianę filozofii państwa:
Skala oddziaływania nowej ustawy jest bezprecedensowa – obejmuje ona bezpośrednio ponad 10 000 podmiotów. Co ciekawe, mimo wejścia przepisów w życie, Prezydent RP skierował ustawę do Trybunału Konstytucyjnego w trybie kontroli następczej. Zastrzeżenia dotyczą m.in. rozszerzenia katalogu podmiotów poza minimum unijne oraz mechanizmów pozwalających na ingerencję państwa w sprzęt dostawców (DWR) bez odszkodowań. Jednak dla biznesu kluczowy jest fakt: prezydencka kontrola nie wstrzymuje obowiązywania ustawy.
Zasadniczą osią nowelizacji jest odejście od pojęć operatorów usług kluczowych (OUK) na rzecz nowej dychotomii: podmioty kluczowe (essential entities) oraz podmioty ważne (important entities). Klasyfikacja ta determinuje stopień nadzoru, częstotliwość audytów oraz wysokość potencjalnych kar.
To kręgosłup gospodarki cyfrowej, poddany stałemu nadzorowi państwa. Do tej grupy zaliczamy:
Relacja tych podmiotów z państwem opiera się na nadzorze następczym (ex post). Oznacza to interwencję organów zazwyczaj dopiero po wystąpieniu incydentu. Do tej grupy należą:
Ustawa dzieli gospodarkę na dwie główne grupy branżowe, co decyduje o przypisaniu do kategorii podmiotu kluczowego lub ważnego.
W tej grupie znajdują się fundamenty państwowości, takie jak:
Obejmują obszary wspierające funkcjonowanie społeczeństwa:
Warto dodać, że ustawa obejmuje każdy podmiot prowadzący działalność w Polsce, nawet jeśli nie posiada tu siedziby (np. giganci chmurowi), o ile oferuje tu swoje usługi.
Jedną z najbardziej rewolucyjnych zmian jest całkowite przesunięcie ciężaru dowodowego na biznes. Państwo nie wysyła już decyzji o uznaniu za podmiot kluczowy – firma musi ocenić się sama.
Każdy przedsiębiorca ma obowiązek przeprowadzić analizę kodów PKD, przychodów i zatrudnienia. Błąd w tej ocenie skutkuje pełną odpowiedzialnością zarządu. Aby ustrukturyzować ten proces, uruchomiono System S46, administrowany przez NASK.
Kluczowe daty dla rejestracji:
Po rejestracji organizacje mają zazwyczaj 12 miesięcy na wdrożenie kompleksowej architektury bezpieczeństwa. Centralnym punktem jest stworzenie i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
Ustawodawca wymaga przejścia od ochrony pasywnej do monitorowania w trybie ciągłym. Niezbędne jest:
Nie wystarczy mieć „zabezpieczenia” – trzeba umieć przetrwać ich przełamanie. Ustawa wymusza posiadanie:
Podmioty kluczowe muszą poddawać się cyklicznym, sformalizowanym audytom. Pierwsza certyfikacja musi nastąpić w ciągu 24 miesięcy od wejścia przepisów w życie. Audyty infrastruktury technicznej muszą być powtarzane co 2 lata, a całego SZBI – co 3 lata.
KSC 2.0 uderza w całą gospodarkę poprzez mechanizm Third-Party Risk Management (TPRM). Podmioty kluczowe mają obowiązek szacowania ryzyka wnoszonego przez ich dostawców (chmury, IT, księgowość).
W efekcie powstaje efekt kaskadowy: wielka korporacja energetyczna wymusi na swoim małym dostawcy oprogramowania spełnienie standardów NIS 2, grożąc zerwaniem kontraktu. W ten sposób ustawa pośrednio reguluje tysiące firm, które oficjalnie nie są podmiotami kluczowymi.
Najbardziej kontrowersyjnym elementem jest instytucja Dostawcy Wysokiego Ryzyka (DWR). Minister może uznać konkretnego producenta sprzętu za zagrożenie, co wymusza na firmach:
Zarządzanie incydentem zostało poddane rygorystycznym ramom czasowym. Każdy poważny incydent musi zostać zgłoszony do właściwego CSIRT (NASK, GOV lub MON) według następującego harmonogramu:
W przypadku ataku ransomware, który dotyka danych osobowych, organizacja wpada w zbieg przepisów. Musi raportować incydent równolegle do dwóch regulatorów: Ministerstwa Cyfryzacji (pod kątem NIS 2) oraz do UODO (pod kątem RODO).
KSC 2.0 kończy z mitem, że za cyberbezpieczeństwo odpowiada „informatyk w piwnicy”. Od kwietnia 2026 roku odpowiedzialność spoczywa na kadrze C-Level.
To najbardziej dotkliwa zmiana. Członkowie zarządu odpowiadają osobiście za brak należytej staranności:
Wprowadzenie KSC 2.0 to operacja o skali transformacyjnej dla całej polskiej gospodarki. Chociaż ustawa przewiduje dwuletnie moratorium (do kwietnia 2028 r.) na niektóre kary administracyjne za błędy wdrożeniowe, jest to poczucie bezpieczeństwa dość złudne.
Moratorium nie chroni przed:
Dla kadry kierowniczej proces wdrażania SZBI musi stać się priorytetem inwestycyjnym. Strategiczna budowa cyfrowej odporności, oparta na ciągłym szkoleniu pracowników, monitorowaniu łańcucha dostaw i regularnych testach gotowości kryzysowej, stała się fundamentem praworządności biznesowej końca lat dwudziestych XXI wieku. Ignorowanie tych zmian to nie tylko ryzyko technologiczne, ale przede wszystkim egzystencjalne zagrożenie dla kapitału i reputacji organizacji.

Łączy perspektywę finansową, doradczą i cyfrową w projektach strategicznych oraz wdrożeniowych.
Pełny profilMichał Zwyrtek uczestniczył w obu dniach GITEX AI Europe 2026 w Berlinie, obserwując dyskusje o AI, infrastrukturze, cyberbezpieczeństwie, suwerenności cyfrowej, deep tech i transformacji biznesu.
Zwyrtek Group był partnerem Jantar Retail Forum 2026 w Szczyrku. Michał Zwyrtek poprowadził końcowy panel dyskusyjny o przyszłości konceptów retail, AI, automatyzacji i nowych modelach doświadczeń klienta.
Rozporządzenie PPWR i krajowe reformy ROP oraz system kaucyjny redefiniują zasady projektowania, wprowadzania do obrotu i rozliczania opakowań. Co to oznacza dla zarządów firm działających w Polsce i UE?
Bezpłatna 30-minutowa konsultacja. Bez zobowiązań.