Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża do polskiego prawa dyrektywę NIS2, weszła w życie 3 kwietnia 2026 r. Od tego czasu w firmach dzieje się zwykle jedna z dwóch rzeczy: albo cisza, albo panika i pytanie "to my teraz musimy napisać drugi komplet polityk?".

Odpowiedź brzmi: nie, nie drugi komplet. Jeśli macie zrobione RODO, macie już przygotowaną znaczną część tego, czego wymaga KSC - tylko opisaną z innej perspektywy. Ten artykuł pokazuje w prosty sposób: co trzeba mieć na papierze, do kiedy, i gdzie dokładnie RODO i KSC się zazębiają.

Najpierw kalendarz - to on decyduje o kolejności prac

Terminy liczą się od wejścia ustawy w życie (gov.pl):

  • 3 kwietnia 2026 - nowelizacja weszła w życie.
  • 3 października 2026 - termin na samoocenę i wpis do wykazu podmiotów kluczowych i ważnych (przez system S46). To najbliższa data i najczęściej przegapiana.
  • 3 kwietnia 2027 - termin na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), czyli tej całej dokumentacji i procedur.
  • 3 kwietnia 2028 - termin na pierwszy audyt bezpieczeństwa. Potem co najmniej raz na trzy lata.

Czyli: najpierw ustalcie, czy w ogóle jesteście podmiotem kluczowym albo ważnym, i zarejestrujcie się. Dokumentację macie rok dłużej. Odwrotna kolejność - najpierw pisanie polityk, potem sprawdzanie, czy trzeba - to najdroższy możliwy błąd.

Co realnie trzeba mieć w tej dokumentacji

Bez prawniczego żargonu, lista rzeczy, które musi objąć SZBI:

  1. Analiza ryzyka - jakie zagrożenia dotyczą Waszych systemów i usług, jak prawdopodobne, jak dotkliwe, co z nimi robicie.
  2. Inwentaryzacja - jakie macie systemy, dane, sprzęt, dostawców. Nie da się chronić czegoś, czego nie ma na liście.
  3. Polityki bezpieczeństwa - zasady dostępu, haseł, aktualizacji, kopii zapasowych, pracy zdalnej.
  4. Procedura obsługi i zgłaszania incydentów - z twardymi zegarami (o nich za chwilę).
  5. Ciągłość działania i kopie zapasowe - co robicie, gdy system leży, i jak szybko wracacie.
  6. Bezpieczeństwo łańcucha dostaw - wymagania wobec dostawców IT, zapisy w umowach.
  7. Szkolenia - dla pracowników oraz dla kierownictwa (KSC wprost tego wymaga).
  8. Audyt - zaplanowany, cykliczny, z raportem.

Do tego dochodzi twarda odpowiedzialność osobista kierownika podmiotu - kara może sięgnąć 300% jego miesięcznego wynagrodzenia w podmiotach prywatnych. Kary dla samych podmiotów sięgają 10 mln euro lub 2% obrotu (podmioty kluczowe) i 7 mln euro lub 1,4% obrotu (podmioty ważne). To nie jest kwota, którą się "zaksięguje".

I tu wchodzi RODO - większość tej pracy już zrobiliście

Jeśli macie wdrożone RODO, nie zaczynacie od pustej kartki. Zobaczcie, jak to się pokrywa:

Macie w dokumentacji RODOOdpowiada temu w KSC / NIS2
Środki techniczne i organizacyjne (art. 32)Trzon SZBI - polityki bezpieczeństwa i zabezpieczenia
Rejestr czynności przetwarzania (art. 30)Punkt wyjścia do inwentaryzacji systemów i zasobów
Ocena skutków (DPIA)Podstawa analizy ryzyka
Procedura naruszeń ochrony danychSzkielet procedury obsługi incydentów
Umowy powierzenia z dostawcami (art. 28)Bezpieczeństwo łańcucha dostaw
Szkolenia pracowników z ochrony danychSzkolenia z cyberbezpieczeństwa
Rozliczalność (art. 5 ust. 2)Audyt i wykazanie zgodności

Różnica jest w perspektywie, nie w dokumentach. RODO pyta: "czy dane osobowe są bezpieczne, czy prawa ludzi są chronione?". KSC pyta: "czy Wasza usługa będzie działać, gdy ktoś Was zaatakuje?". Ten sam serwer, ta sama kopia zapasowa, ta sama procedura - tylko oceniana pod innym kątem.

Dlatego analizę ryzyka robi się raz, ale patrzy się na nią dwojgiem oczu: co grozi danym osobowym (RODO) i co grozi ciągłości usługi (KSC). Jeden dokument, dwie kolumny wniosków.

Najważniejszy praktyczny punkt: incydent to jedno zdarzenie, ale dwa zgłoszenia

To jest miejsce, w którym firmy najczęściej się przewracają. Wyciek danych klientów jest jednocześnie:

  • naruszeniem ochrony danych osobowych → zgłoszenie do PUODO w ciągu 72 godzin (art. 33 RODO), a przy wysokim ryzyku - zawiadomienie osób, których dane wyciekły,
  • incydentem poważnym → zgłoszenie do właściwego CSIRT: wczesne ostrzeżenie w ciągu 24 godzin, właściwe zgłoszenie w ciągu 72 godzin, raport końcowy w ciągu miesiąca.

Dwa różne organy, dwa różne zegary, najkrótszy z nich to 24 godziny. W praktyce oznacza to jedno: wasza procedura incydentowa musi mieć obie ścieżki w jednym dokumencie, z jasnym "kto dzwoni, kto pisze, kto decyduje". Osoba, która o 2:00 w nocy zauważy włamanie, nie będzie porównywać dwóch osobnych segregatorów.

Najczęstszy błąd: dwa równoległe światy dokumentacji

Widzimy to regularnie: firma ma politykę bezpieczeństwa "od RODO" i drugą politykę "od KSC". Dwa rejestry zasobów. Dwie procedury incydentów. Dwa plany szkoleń.

Takiego układu nikt nie utrzyma przy życiu dłużej niż rok. Dokumenty się rozjadą, a przy kontroli okaże się, że w jednym rejestrze system istnieje, a w drugim już nie. Zdrowe podejście jest jedno: jeden system zarządzania bezpieczeństwem, w którym RODO i KSC są dwoma wymaganiami, a nie dwiema szafami.

Co zrobić - sześć kroków po kolei

  1. Sprawdźcie, czy jesteście podmiotem kluczowym lub ważnym. Sektor, wielkość, rodzaj usług. To decyzja na godzinę, nie na kwartał.
  2. Zarejestrujcie się do 3 października 2026 r. Brak wpisu do wykazu to samodzielna podstawa do kary - niezależnie od tego, jak dobrze jesteście zabezpieczeni.
  3. Wyciągnijcie dokumentację RODO i potraktujcie ją jako punkt startu. Rejestr czynności, DPIA, procedura naruszeń, umowy powierzenia - to fundamenty, nie makulatura.
  4. Zróbcie jedną analizę ryzyka z dwoma spojrzeniami - dane osobowe i ciągłość usługi.
  5. Scalcie procedurę incydentową - jedno zgłoszenie wewnętrzne, dwie ścieżki na zewnątrz (CSIRT 24 h / 72 h, PUODO 72 h).
  6. Dopiszcie to, czego w RODO nie ma: ciągłość działania, wymagania wobec dostawców IT, szkolenie kierownictwa, plan audytu do 3 kwietnia 2028 r.

Do 3 kwietnia 2027 r. macie czas na SZBI. Do 3 października 2026 r. macie czas na wpis do wykazu - i to jest zegar, który tyka teraz.


Nie wiecie, od czego zacząć - albo czy w ogóle Was to dotyczy? Kiran Sp. z o.o. od 2018 roku zajmuje się wdrożeniami RODO: audytem prawnym i informatycznym, dokumentacją i cyklicznym monitoringiem. Ta sama dokumentacja jest dziś fundamentem zgodności z KSC. Napiszcie do nas - zaczniemy od ustalenia, czy jesteście podmiotem kluczowym lub ważnym, i co z tego wynika. Przyda się też nasz artykuł Audyt RODO krok po kroku.