Planowana data efektywnego wejścia w życie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Strona główna / Wpisy blogowe / Planowana data efektywnego wejścia w życie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczenstwa

Planowana data efektywnego wejścia w życie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Opublikowano: 14 sierpnia 2025 | Autor: Zespół Trecom

Przewidywana data zatwierdzenia przez polski rząd nowelizacji UoKSC to przełom roku 2025 i 2026 - najprawdopodobniej grudzień 2025 roku. Zanim jednak przepisy i wymogi zaczną realnie obowiązywać minie 7 miesięcy (1 miesiąc vacatio legis oraz 6 miesięcy na dostosowanie się). Oznacza to, że planowana data efektywnego wejścia w życie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa to lipiec 2026 roku.

Vacatio legis

Po opublikowaniu w Dzienniku Ustaw ustawa nie zacznie obowiązywać natychmiast. Zostanie wprowadzony okres vacatio legis, który według obecnych założeń wyniesie miesiąc.

Vacatio legis pełni funkcję „okresu przejściowego” - daje instytucjom czas na zapoznanie się z nowymi regulacjami, przygotowanie procedur i rozpoczęcie wdrożeń.

3 miesiące na samorejestrację w systemie S46

Zgodnie z aktualnymi przepisami, po wejściu w życie nowelizacji, podmioty objęte ustawą będą miały 3 miesiące na dokonanie samorejestracji w systemie S46. System ten będzie również służył do dwukierunkowej komunikacji dotyczącej incydentów bezpieczeństwa, w tym wysyłania wczesnych ostrzeżeń, zgłoszeń i raportów.

Samorejestracja to jeden z pierwszych formalnych obowiązków, od którego zależeć będzie dalsze monitorowanie zgodności z ustawą i egzekwowanie wymogów cyberbezpieczeństwa.

6 miesięcy na pełne dostosowanie do nowelizacji UoKSC

Po wejściu ustawy w życie przewidziany jest dodatkowy sześciomiesięczny okres dostosowawczy. W tym czasie podmioty objęte regulacjami będą musiały w pełni dostosować się do wymogów zaktualizowanej Ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Oznacza to, że efektywne obowiązywanie przepisów, czyli moment, w którym wszystkie sankcje i wymogi będą w pełni egzekwowane, nastąpi mniej więcej w lipcu 2026 roku.

Grafika - Timeline, kiedy realnie zacznie obowiązywać UoKSC - Trecom, Baza Wiedzy NIS 2

Dla przypomnienia, nowelizacja UoKSC nakłada na podmioty następujące obowiązki:

  1. Samorejestracja w systemie S46 - wniosek składa kierownik podmiotu, 3 miesiące od spełnienia przesłanek (Art. 7, 46).
  2. Wyznaczenie osób do kontaktu - min. 2 osoby (dla mikro i małych firm - 1 osoba) (Art. 9).
  3. Dokumentacja bezpieczeństwa - opracowanie, stosowanie i aktualizacja dokumentacji normatywnej i operacyjnej (Art. 10).
  4. Struktura odpowiedzialna za cyberbezpieczeństwo - powołanie wewnętrznej struktury lub umowa z dostawcą usług zarządzania cyberbezpieczeństwem (Art. 14).
  5. Audyty bezpieczeństwa (tylko podmioty kluczowe) - pierwszy audyt w ciągu 24 miesięcy, kolejne co 3 lata, możliwe audyty ad hoc (Art. 15).
  6. Informowanie użytkowników - o zagrożeniach i incydentach poważnych oraz środkach zapobiegawczych (Art. 11 ust. 2a i 2b).
  7. Obsługa i raportowanie incydentów:
    • wczesne ostrzeżenie - do 24 h,
    • zgłoszenie incydentu - do 72 h,
    • raport końcowy - do 1 miesiąca,
    • współpraca z CSIRT (Art. 11, 12, 13).
  8. Usuwanie podatności - obowiązek usunięcia podatności na wniosek CSIRT (Art. 32 ust. 2).
  9. Wdrożenie SZBI (Systemu Zarządzania Bezpieczeństwem Informacji) - m.in. szacowanie ryzyka, polityki bezpieczeństwa, ciągłość działania, monitorowanie, aktualizacje, edukacja, szyfrowanie, MFA (Art. 8).
    Podmioty publiczne-ważne - wdrażają uproszczony SZBI (załącznik nr 4).
  10. Odpowiedzialność kierownika podmiotu - pełna odpowiedzialność za cyberbezpieczeństwo, zapewnienie finansowania, nadzór nad realizacją, obowiązkowe szkolenia raz w roku (Art. 8 c, d, e).

Grafika - Grafika - Najważniejsze obowiązki wynikające z UoKSC - Trecom Baza Wiedzy NIS 3 - Trecom, Baza Wiedzy NIS 2

Dlaczego nie warto czekać z wdrożeniem wymogów nowelizacji UoKSC?

Choć formalnie firmy i instytucje będą miały łącznie około 6 miesięcy od publikacji ustawy na wdrożenie wymogów (1 miesiące vacatio legis + 6 miesięcy na pełne dostosowanie), rozpoczęcie przygotowań dopiero po jej ogłoszeniu może oznaczać ryzyko:

  • braku czasu na rzetelne wdrożenie,
  • wyższych kosztów realizacji projektów „na ostatnią chwilę”,
  • problemów z dostępnością ekspertów i dostawców usług bezpieczeństwa.

Z naszego doświadczenia we wdrażaniu wymogów NIS 2 i UoKSC wynika, że proces ten zajmuje średnio 9-12 miesięcy w zależności od dojrzałości organizacji pod kątem cyberbezpieczeństwa. Oznacza to, że zwlekanie z podjęciem działań do momentu wejścia w życie nowelizacji UoKSC znacznie ogranicza czas na dostosowanie się do nowych obowiązków.

Zachęcamy do umówienia bezpłatnej konsultacji i przedyskutowania tematu wdrożenia wymogów NIS 2/UoKSC z naszymi ekspertami wykorzystując formularz kontaktowy.

Obserwuj nas na:

Przeczytaj również

6 lipca 2016
Dyrektywa NIS (2016) - nowy rozdział w cyberbezpieczeństwie UE.

W 2016 roku Unia Europejska uchwaliła dyrektywę NIS (Network and Information Security Directive), będącą pierwszym ogólnoeuropejskim aktem prawnym dotyczącym cyberbezpieczeństwa. Jej celem było podniesienie poziomu ochrony systemów informacyjnych i sieci w państwach członkowskich. W Polsce dokument ten stał się podstawą do opracowania i wdrożenia Ustawy o krajowym systemie cyberbezpieczeństwa (UoKSC), obowiązującej od sierpnia 2018 roku.

Czytaj więcej
16 grudnia
16 grudnia 2020 – Komisja Europejska publikuje projekt Dyrektywy NIS 2. Co się zmieni?

Dyrektywa NIS (Network and Information Security Directive) z 2016 roku była pierwszym unijnym aktem prawnym regulującym kwestie cyberbezpieczeństwa. Jednak dynamiczny rozwój technologii, rosnąca liczba cyberataków oraz zróżnicowany poziom wdrożenia przepisów w państwach członkowskich doprowadziły do potrzeby jej aktualizacji.16 grudnia 2020 roku Komisja Europejska opublikowała projekt nowelizacji – Dyrektywy NIS 2, która miała wzmocnić pierwotne przepisy i dostosować je do realiów cyfrowych lat 2020+.

Czytaj więcej
13 maja
13 maja 2022 – Wstępne porozumienie Rady UE i Parlamentu Europejskiego w sprawie Dyrektywy NIS 2

3 maja 2022 roku Rada Unii Europejskiej i Parlament Europejski osiągnęły wstępne porozumienie dotyczące nowej wersji przepisów o cyberbezpieczeństwie – Dyrektywy NIS 2. Celem nowej regulacji jest podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w całej UE, zwiększenie odporności na zagrożenia oraz poprawa zdolności reagowania na incydenty w sektorze publicznym, prywatnym i na poziomie unijnym.

Czytaj więcej

Umów się na konsultację

Dlaczego Trecom?

Doświadczenie w NIS 2

Realne doświadczenie we wdrażaniu wymogów NIS i NIS 2.

Interdyscyplinarny zespół

Zespół łączący kompetencje cybersecurity, sieciowe i systemowe - przeprowadzimy całe wdrożenie wymogów - od audytu luki przez wybór i instalację rozwiązań technologicznych po monitoring SOC 24/7 i rekomendacje dalszego rozwoju.

Niezależność technologiczna

Współpraca z ponad 70 vendorami – dopasujemy rozwiązania technologiczne do potrzeb i możliwości Twojej organizacji.

Wypełnij formularz, aby wycenić projekt.

Co stanie się po wysłaniu formularza?
Twoje zgłoszenie trafi do opiekuna handlowego specjalizującego się w Twojej branży. W ciągu 24 godzin (pn-pt) skontaktujemy się z Tobą, aby ustalić termin konsultacji z udziałem przedstawiciela działu technicznego.