Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża do polskiego prawa dyrektywę NIS2, weszła w życie 3 kwietnia 2026 r. Od tego czasu w firmach dzieje się zwykle jedna z dwóch rzeczy: albo cisza, albo panika i pytanie "to my teraz musimy napisać drugi komplet polityk?".
Odpowiedź brzmi: nie, nie drugi komplet. Jeśli macie zrobione RODO, macie już przygotowaną znaczną część tego, czego wymaga KSC - tylko opisaną z innej perspektywy. Ten artykuł pokazuje w prosty sposób: co trzeba mieć na papierze, do kiedy, i gdzie dokładnie RODO i KSC się zazębiają.
Najpierw kalendarz - to on decyduje o kolejności prac
Terminy liczą się od wejścia ustawy w życie (gov.pl):
- 3 kwietnia 2026 - nowelizacja weszła w życie.
- 3 października 2026 - termin na samoocenę i wpis do wykazu podmiotów kluczowych i ważnych (przez system S46). To najbliższa data i najczęściej przegapiana.
- 3 kwietnia 2027 - termin na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), czyli tej całej dokumentacji i procedur.
- 3 kwietnia 2028 - termin na pierwszy audyt bezpieczeństwa. Potem co najmniej raz na trzy lata.
Czyli: najpierw ustalcie, czy w ogóle jesteście podmiotem kluczowym albo ważnym, i zarejestrujcie się. Dokumentację macie rok dłużej. Odwrotna kolejność - najpierw pisanie polityk, potem sprawdzanie, czy trzeba - to najdroższy możliwy błąd.
Co realnie trzeba mieć w tej dokumentacji
Bez prawniczego żargonu, lista rzeczy, które musi objąć SZBI:
- Analiza ryzyka - jakie zagrożenia dotyczą Waszych systemów i usług, jak prawdopodobne, jak dotkliwe, co z nimi robicie.
- Inwentaryzacja - jakie macie systemy, dane, sprzęt, dostawców. Nie da się chronić czegoś, czego nie ma na liście.
- Polityki bezpieczeństwa - zasady dostępu, haseł, aktualizacji, kopii zapasowych, pracy zdalnej.
- Procedura obsługi i zgłaszania incydentów - z twardymi zegarami (o nich za chwilę).
- Ciągłość działania i kopie zapasowe - co robicie, gdy system leży, i jak szybko wracacie.
- Bezpieczeństwo łańcucha dostaw - wymagania wobec dostawców IT, zapisy w umowach.
- Szkolenia - dla pracowników oraz dla kierownictwa (KSC wprost tego wymaga).
- Audyt - zaplanowany, cykliczny, z raportem.
Do tego dochodzi twarda odpowiedzialność osobista kierownika podmiotu - kara może sięgnąć 300% jego miesięcznego wynagrodzenia w podmiotach prywatnych. Kary dla samych podmiotów sięgają 10 mln euro lub 2% obrotu (podmioty kluczowe) i 7 mln euro lub 1,4% obrotu (podmioty ważne). To nie jest kwota, którą się "zaksięguje".
I tu wchodzi RODO - większość tej pracy już zrobiliście
Jeśli macie wdrożone RODO, nie zaczynacie od pustej kartki. Zobaczcie, jak to się pokrywa:
| Macie w dokumentacji RODO | Odpowiada temu w KSC / NIS2 |
|---|---|
| Środki techniczne i organizacyjne (art. 32) | Trzon SZBI - polityki bezpieczeństwa i zabezpieczenia |
| Rejestr czynności przetwarzania (art. 30) | Punkt wyjścia do inwentaryzacji systemów i zasobów |
| Ocena skutków (DPIA) | Podstawa analizy ryzyka |
| Procedura naruszeń ochrony danych | Szkielet procedury obsługi incydentów |
| Umowy powierzenia z dostawcami (art. 28) | Bezpieczeństwo łańcucha dostaw |
| Szkolenia pracowników z ochrony danych | Szkolenia z cyberbezpieczeństwa |
| Rozliczalność (art. 5 ust. 2) | Audyt i wykazanie zgodności |
Różnica jest w perspektywie, nie w dokumentach. RODO pyta: "czy dane osobowe są bezpieczne, czy prawa ludzi są chronione?". KSC pyta: "czy Wasza usługa będzie działać, gdy ktoś Was zaatakuje?". Ten sam serwer, ta sama kopia zapasowa, ta sama procedura - tylko oceniana pod innym kątem.
Dlatego analizę ryzyka robi się raz, ale patrzy się na nią dwojgiem oczu: co grozi danym osobowym (RODO) i co grozi ciągłości usługi (KSC). Jeden dokument, dwie kolumny wniosków.
Najważniejszy praktyczny punkt: incydent to jedno zdarzenie, ale dwa zgłoszenia
To jest miejsce, w którym firmy najczęściej się przewracają. Wyciek danych klientów jest jednocześnie:
- naruszeniem ochrony danych osobowych → zgłoszenie do PUODO w ciągu 72 godzin (art. 33 RODO), a przy wysokim ryzyku - zawiadomienie osób, których dane wyciekły,
- incydentem poważnym → zgłoszenie do właściwego CSIRT: wczesne ostrzeżenie w ciągu 24 godzin, właściwe zgłoszenie w ciągu 72 godzin, raport końcowy w ciągu miesiąca.
Dwa różne organy, dwa różne zegary, najkrótszy z nich to 24 godziny. W praktyce oznacza to jedno: wasza procedura incydentowa musi mieć obie ścieżki w jednym dokumencie, z jasnym "kto dzwoni, kto pisze, kto decyduje". Osoba, która o 2:00 w nocy zauważy włamanie, nie będzie porównywać dwóch osobnych segregatorów.
Najczęstszy błąd: dwa równoległe światy dokumentacji
Widzimy to regularnie: firma ma politykę bezpieczeństwa "od RODO" i drugą politykę "od KSC". Dwa rejestry zasobów. Dwie procedury incydentów. Dwa plany szkoleń.
Takiego układu nikt nie utrzyma przy życiu dłużej niż rok. Dokumenty się rozjadą, a przy kontroli okaże się, że w jednym rejestrze system istnieje, a w drugim już nie. Zdrowe podejście jest jedno: jeden system zarządzania bezpieczeństwem, w którym RODO i KSC są dwoma wymaganiami, a nie dwiema szafami.
Co zrobić - sześć kroków po kolei
- Sprawdźcie, czy jesteście podmiotem kluczowym lub ważnym. Sektor, wielkość, rodzaj usług. To decyzja na godzinę, nie na kwartał.
- Zarejestrujcie się do 3 października 2026 r. Brak wpisu do wykazu to samodzielna podstawa do kary - niezależnie od tego, jak dobrze jesteście zabezpieczeni.
- Wyciągnijcie dokumentację RODO i potraktujcie ją jako punkt startu. Rejestr czynności, DPIA, procedura naruszeń, umowy powierzenia - to fundamenty, nie makulatura.
- Zróbcie jedną analizę ryzyka z dwoma spojrzeniami - dane osobowe i ciągłość usługi.
- Scalcie procedurę incydentową - jedno zgłoszenie wewnętrzne, dwie ścieżki na zewnątrz (CSIRT 24 h / 72 h, PUODO 72 h).
- Dopiszcie to, czego w RODO nie ma: ciągłość działania, wymagania wobec dostawców IT, szkolenie kierownictwa, plan audytu do 3 kwietnia 2028 r.
Do 3 kwietnia 2027 r. macie czas na SZBI. Do 3 października 2026 r. macie czas na wpis do wykazu - i to jest zegar, który tyka teraz.
Nie wiecie, od czego zacząć - albo czy w ogóle Was to dotyczy? Kiran Sp. z o.o. od 2018 roku zajmuje się wdrożeniami RODO: audytem prawnym i informatycznym, dokumentacją i cyklicznym monitoringiem. Ta sama dokumentacja jest dziś fundamentem zgodności z KSC. Napiszcie do nas - zaczniemy od ustalenia, czy jesteście podmiotem kluczowym lub ważnym, i co z tego wynika. Przyda się też nasz artykuł Audyt RODO krok po kroku.
