Audyty KRI, KSC, NIS2, PKE

KSC Podmioty Kluczowe Ważne Status Obowiązki

Posted on 29 stycznia 2026 by Audytor ISO 27001

Sprawdź, kogo obejmuje nowelizacja ustawy, jakie są terminy wdrożeń, zakres odpowiedzialności kierownictwa oraz sankcje.

1. Status podmiotu kluczowego

Podmiot kluczowy to podmiot wskazany w ustawie o krajowym systemie cyberbezpieczeństwa, w szczególności:

  • podmiot należący do sektora określonego w załączniku nr 1 do ustawy, spełniający kryteria uznania,
  • podmiot wskazany w ustawie niezależnie od wielkości,
  • podmiot uznany za kluczowy decyzją właściwego organu.

2. Wykaz podmiotów

Podmiot kluczowy składa wniosek o wpis do wykazu podmiotów kluczowych i ważnych w terminie 6 miesięcy od dnia spełnienia przesłanek uznania.

W przypadku wpisu z urzędu podmiot jest zobowiązany do uzupełnienia danych w terminie wskazanym przez organ, nie dłuższym niż 6 miesięcy.

3. System zarządzania cyberbezpieczeństwem

Podmiot kluczowy wdraża i utrzymuje system zarządzania bezpieczeństwem informacji w systemach informacyjnych wykorzystywanych do realizacji usług.

System obejmuje w szczególności:

  • zarządzanie ryzykiem cyberbezpieczeństwa,
  • stosowanie środków technicznych i organizacyjnych adekwatnych do ryzyka,
  • zarządzanie incydentami,
  • ciągłość działania i odtwarzanie po incydentach,
  • bezpieczeństwo łańcucha dostaw.

4. Struktura organizacyjna

Podmiot kluczowy zapewnia realizację obowiązków w zakresie cyberbezpieczeństwa poprzez:

  • wewnętrzne struktury organizacyjne, albo
  • zawarcie umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

5. Odpowiedzialność kierownictwa

Kierownik podmiotu odpowiada za:

  • wdrożenie i utrzymanie systemu cyberbezpieczeństwa,
  • zapewnienie finansowania,
  • nadzór nad realizacją obowiązków,
  • zgodność działań z przepisami ustawy.

Delegowanie zadań nie zwalnia kierownika z odpowiedzialności.

6. Szkolenia i wymagania kadrowe

Kierownik podmiotu oraz osoby wykonujące obowiązki w zakresie cyberbezpieczeństwa podlegają obowiązkowi okresowych szkoleń.

Ustawa przewiduje możliwość stosowania wymogów dotyczących niekaralności osób realizujących określone zadania.

7. Incydenty

Podmiot kluczowy zgłasza incydenty do właściwego CSIRT w terminach określonych w ustawie, w tym:

  • wczesne ostrzeżenie – do 24 godzin od wykrycia,
  • zgłoszenie incydentu poważnego – do 72 godzin od wykrycia,
  • sprawozdanie końcowe – w terminie ustawowym.

8. Audyty i kontrole

Podmiot kluczowy przeprowadza audyt bezpieczeństwa systemu informacyjnego nie rzadziej niż raz na 3 lata.

Raport z audytu przekazywany jest właściwemu organowi w terminie określonym w ustawie.

Organ może przeprowadzać kontrole planowe, doraźne oraz zlecać oceny bezpieczeństwa.

9. Sankcje

Ustawa przewiduje w szczególności:

  • administracyjne kary pieniężne nakładane na podmiot kluczowy,
  • administracyjne kary pieniężne nakładane na kierownika podmiotu,
  • środki nadzorcze w formie decyzji administracyjnych,
  • obowiązek wykonania zaleceń organu,
  • obowiązek przeprowadzenia audytu.
KSC podmioty kluczowe wymagania audyty sankcje i terminy Nowelizacja KSC podmioty kluczowe wymagania systemowe i audyty Podmioty kluczowe KSC obowiązki ustawowe audyty i odpowiedzialność kierownictwa