POLEGIS
Formularz KSC

Wyślij dane do analizy

To jest szybka ścieżka startowa. Podaj podstawowe dane firmy i kontakt, a zespół POLEGIS przeprowadzi wstępną kwalifikację pod KSC oraz wskaże, jakie działania trzeba rozpocząć teraz w związku z nowelizacją ustawy o KSC i wdrożeniem NIS2.

Terminy już biegną

Od 13 kwietnia 2026 r. działa Wykaz KSC. To oznacza, że organizacje objęte ustawą powinny już aktywnie potwierdzać tryb wpisu, przygotowywać dane do rejestracji, wyznaczać role do S46 i rozpoczynać wdrożenie wymogów KSC/NIS2, zamiast odkładać działania na koniec okresu dostosowawczego.

Dlaczego warto zrobić to teraz?

  • Od 13 kwietnia 2026 r. uruchomiono Wykaz KSC, a od tej daty biegną realne okna działań dla wpisów z urzędu, samorejestracji i uruchomienia S46.
  • Okno samorejestracji dla podmiotów niewpisywanych z urzędu trwa od 7 maja do 3 października 2026 r., więc czasu na zebranie danych, ustalenie statusu i podpis elektroniczny jest mniej, niż zwykle zakładają organizacje.
  • Wymagania obejmują nie tylko zabezpieczenia techniczne, ale też governance, ryzyko, ciągłość i dowodowość działań.
  • Dla incydentów poważnych przewidziano szybkie okna raportowania, co wymaga gotowych procesów i przypisanej odpowiedzialności.
  • Ocena obejmuje także łańcuch dostaw ICT i relacje z podmiotami zewnętrznymi.

Najważniejsze terminy KSC 2026-2028

Poniżej znajduje się praktyczny harmonogram działań wynikający z nowelizacji ustawy o KSC. To nie są terminy teoretyczne. One już determinują kolejność prac po stronie podmiotów objętych ustawą.

13 kwietnia 2026 r.
Uruchomienie Wykazu KSC

Ruszył wykaz podmiotów kluczowych i podmiotów ważnych. Od tego dnia należy potwierdzić, czy organizacja podlega wpisowi z urzędu, czy musi przygotować samorejestrację.

13 kwietnia - 6 maja 2026 r.
Wpisy z urzędu przez Ministra Cyfryzacji

W tym oknie do wykazu wpisywane są z urzędu m.in. dotychczasowi operatorzy usług kluczowych, dostawcy usług zaufania, przedsiębiorcy telekomunikacyjni oraz podmioty publiczne. Trzeba monitorować poprawność danych i gotowość do ich uzupełnienia.

7 maja - 3 października 2026 r.
Samorejestracja w Wykazie KSC

Podmioty niewpisywane z urzędu składają wniosek samodzielnie w aplikacji Wykaz KSC dostępnej pod adresem https://wykaz-ksc.gov.pl. Wniosek i późniejsze zmiany wpisu są składane elektronicznie i podpisywane podpisem elektronicznym.

12 czerwca 2026 r.
Start korzystania z systemu S46 dla nowych podmiotów

Od tej daty nowe podmioty mogą rozpocząć korzystanie z S46, który będzie używany m.in. do raportowania incydentów i komunikacji z właściwymi organami.

3 kwietnia 2027 r.
Koniec okresu dostosowawczego

Do tego dnia podmioty, które spełniały przesłanki objęcia ustawą w dniu wejścia w życie nowelizacji, powinny rozpocząć korzystanie z S46 i wdrożyć obowiązki ustawowe, w tym SZBI oraz procesy operacyjne.

3 kwietnia 2028 r.
Pierwszy audyt SZBI dla części podmiotów kluczowych

To termin pierwszego audytu dla podmiotów kluczowych, które wcześniej nie były operatorami usług kluczowych. Podmioty już audytowane w starym reżimie utrzymują dotychczasowy cykl co najmniej raz na 3 lata.

3 kwietnia 2028 r.
Początek stosowania przepisów o karach

Dopiero od tej daty mogą być nakładane kary pieniężne, ale wcześniej organ może kierować ostrzeżenia, żądania wyjaśnień i oczekiwać usunięcia stwierdzonych braków.

Co zyskuje firma po analizie?

  • Wstępną decyzję, czy i w jakim zakresie firma podlega pod KSC.
  • Listę luk organizacyjnych i technicznych do zamknięcia przed kontrolą.
  • Priorytety wdrożeniowe: co trzeba zrobić najpierw, aby ograniczyć ryzyko regulacyjne.
  • Konkretną mapę dalszych kroków do pełnej gotowości.

Zakres analizy (ankieta KSC)

  • Governance i odpowiedzialność zarządu
  • Zarządzanie ryzykiem cyberbezpieczeństwa
  • Zabezpieczenia techniczne i operacyjne
  • Incydenty, raportowanie i dowodowość
  • Ciągłość działania oraz odtwarzanie usług
  • Łańcuch dostaw ICT i relacje z dostawcami

Co to oznacza w praktyce?

Podmioty, które mogą podlegać nowelizacji ustawy o KSC i dyrektywie NIS2, powinny prowadzić równolegle analizę prawną, organizacyjną i techniczną. Minimalny pakiet działań startowych obejmuje:

  • przeanalizowanie, czy organizacja spełnia przesłanki uznania za podmiot kluczowy albo ważny na podstawie załączników do ustawy oraz reguł kwalifikacji sektorowej,
  • ustalenie, czy wpis nastąpi z urzędu, czy wymagana będzie samorejestracja w oknie 7 maja - 3 października 2026 r.,
  • przygotowanie danych identyfikacyjnych, osób kontaktowych, trybu podpisu elektronicznego i procedury aktualizacji wpisu,
  • zaplanowanie wdrożenia SZBI, governance, rejestru aktywów, analizy ryzyka, ciągłości działania i wymagań dla łańcucha dostaw ICT,
  • wyznaczenie ról do obsługi S46, incydentów, komunikacji z organem właściwym oraz do utrzymania dowodów zgodności,
  • rozpoczęcie działań już teraz, tak aby do 3 kwietnia 2027 r. organizacja nie tylko była wpisana i obecna w S46, ale realnie wykonywała obowiązki ustawowe.

Formularz kontaktowy KSC

Po wypełnieniu formularza skontaktujemy się z Państwem i przedstawimy dalszy plan analizy.

Podaj jeden identyfikator podmiotu: KRS, NIP albo REGON.

Podaj co najmniej jeden kanał kontaktu: e-mail lub telefon.

Formularz służy do wstępnej kwalifikacji pod KSC. Po analizie przekażemy informację, czy organizacja podlega pod ustawę oraz jakie działania należy zaplanować w pierwszej kolejności.
Informacja o przetwarzaniu danych

Administratorem danych jest POLEGIS Sp. z o.o., Milenijna 43 / 2, 03-130 Warszawa, Polska. Kontakt w sprawach formularza: biuro@polegis.pl.

  • Dane przetwarzamy w celu obsługi zgłoszenia KSC, kontaktu zwrotnego oraz przygotowania wstępnej kwalifikacji regulacyjnej.
  • Podstawą przetwarzania jest podjęcie działań na żądanie osoby kontaktującej się z POLEGIS oraz prawnie uzasadniony interes administratora polegający na obsłudze zapytań biznesowych.
  • Dane przechowujemy przez czas prowadzenia korespondencji, a następnie przez okres niezbędny do obrony przed roszczeniami i wykazania przebiegu obsługi zapytania.
  • Przysługuje Państwu prawo dostępu do danych, sprostowania, ograniczenia przetwarzania, sprzeciwu oraz wniesienia skargi do Prezesa UODO.