Cyberbezpieczeństwo. Ministerstwo Cyfryzacji będzie wspierać firmy w realizacji nowych obowiązków

Z raportu „Cyberportret polskiego biznesu 2025” wynika, że 36 proc. specjalistów cyberbezpieczeństwa nie wie, czy ich firma jest objęta dyrektywą NIS2. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 252), która wchodzi w życie już 3 kwietnia, zakłada tymczasem, że firmy dokonają samooceny i na jej podstawie wpiszą się do wykazu podmiotów ważnych i kluczowych. Kryteriów wpisania do tego wykazu jest wiele. Dotyczą one zarówno wyników finansowych, jak i liczby pracowników, ale też branży. Jak się w tym odnaleźć?

Przede wszystkim trzeba zajrzeć do załączników do ustawy i sprawdzić, czy podlegamy pod działalność tam wskazaną. W załącznikach wskazana jest lista sektorów kluczowych i ważnych; w tym zakresie przydatne będą prawidłowo przypisane do działalności kody PKD. Następnie trzeba określić wielkość przedsiębiorstwa zgodnie z obowiązującymi od lat unijnymi regulacjami. Co do zasady pod ustawę o KSC podlegają przynajmniej średnie przedsiębiorstwa, czyli te, mające powyżej 50 mln euro obrotu i zatrudniające co najmniej 250 pracowników, ale są pojedyncze wyjątki, np. podsektor przedsiębiorstw komunikacji elektronicznej.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Przepisom podlega działalność danego podmiotu – niezależnie czy główna, czy pomocnicza

Nowe przepisy mogą objąć kilkadziesiąt tysięcy podmiotów. Czy rząd planuje działania edukacyjne w tym zakresie?

Od początku procesu prac nad ustawą planowaliśmy etap edukacyjny po wejściu w życie ostatecznego kształtu ustawy. Ministerstwo Cyfryzacji wraz z innymi organami właściwymi do spraw cyberbezpieczeństwa będzie wspierać podmioty w realizacji obowiązków wynikających z ustawy. Po pierwsze, zostanie opublikowany zestaw pytań i odpowiedzi dotyczących stosowania ustawy. Ministerstwo Cyfryzacji przygotuje również mapowanie dokumentów normalizacyjnych z zakresu cyberbezpieczeństwa odpowiadających na wymogi przepisów ustawy.