Poniżej podajemy ogólne terminy dla podmiotów ważnych i podmiotów kluczowych na podstawie tekstu ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
Terminy ogólne dla PK i PW
| Przepis | Czynność / obowiązek | Termin | Od kiedy liczony | Uwagi |
|---|---|---|---|---|
| Art. 16 pkt 1 | Realizacja obowiązków z rozdziału 3 | 12 miesięcy | od dnia spełnienia przesłanek uznania za PK lub PW | Dotyczy zarówno PK, jak i PW. |
| Art. 16 pkt 2 | Pierwszy audyt obowiązkowy | 24 miesiące | od dnia spełnienia przesłanek uznania za PK | Dotyczy tylko PK. |
| Art. 15 ust. 1 | Audyt cykliczny PK | co najmniej raz na 3 lata | od dnia sporządzenia i podpisania raportu z ostatniego audytu | Termin stały, nie tylko pierwszy audyt. |
| Art. 15 ust. 1a | Przekazanie kopii raportu audytu do organu | 3 dni robocze | od dnia otrzymania raportu przez podmiot | Dotyczy raportu audytu PK oraz audytu zleconego decyzją. |
| Art. 7c ust. 1 | Wniosek o wpis do wykazu PK/PW | 6 miesięcy | od dnia spełnienia przesłanek uznania za PK/PW | Dla samorejestracji. |
| Art. 7c ust. 3 | Zmiana danych w wykazie | 14 dni | od dnia zmiany danych | Dotyczy danych z art. 7 ust. 2 pkt 1–18. |
| Art. 46 ust. 4 | Rozpoczęcie korzystania z S46 | 12 miesięcy | od dnia spełnienia przesłanek uznania za PK/PW | Termin ogólny dla podmiotów. |
| Art. 46 ust. 7 | Dostosowanie systemów do minimalnych wymagań S46 | 6 miesięcy | od dnia opublikowania wymagań w BIP ministra | Termin techniczny, niezależny od samego obowiązku wejścia do S46. |
| Art. 8f ust. 1 | Weryfikacja niekaralności (KRK) dla osób realizujących zadania z art. 8 lub 11 | przed rozpoczęciem realizacji zadań | przed dopuszczeniem do tych zadań | To warunek wejścia do roli. |
| Art. 8e | Szkolenie kierownika podmiotu / osób zarządczych | co najmniej raz w roku | cyklicznie | Udział musi być udokumentowany. |
Harmonogram związany z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) został opublikowany przez Ministerstwo Cyfryzacji. Dla wielu organizacji temat ten ma już wymiar nie tylko regulacyjny, ale również operacyjny.
Z opublikowanego komunikatu wynika, że:
- 13 kwietnia 2026 r. uruchomiony zostaje wykaz podmiotów ważnych i podmiotów kluczowych,
- od 13 kwietnia do 6 maja 2026 r. realizowane będą wpisy z urzędu,
- od 7 maja do 3 października 2026 r. część organizacji będzie zobowiązana do samorejestracji,
- od 12 czerwca 2026 r. nowe podmioty mogą korzystać z systemu S46,
- do 3 kwietnia 2027 r. należy rozpocząć pracę w S46 i wdrożyć obowiązki wynikające z ustawy.
Link do strony MC: Harmonogram MC