Nowe przepisy o cyberbezpieczeństwie – UKSC 2025 – są już na finiszu. Jeśli działasz w jednym z sektorów objętych ustawą, wkrótce możesz zostać uznany za „podmiot ważny” i objęty nowymi obowiązkami.

Kto będzie „podmiotem ważnym”?

To najważniejsze pytanie UKSC.

  1. „Podmiotem ważnym” jest firma/instytucja z listy sektorów wymienionych w załącznikach do ustawy, jeśli spełnia progi średniego przedsiębiorcy (zatrudnienie + obrót/suma bilansowa wg rozporządzenia UE 651/2014).
  2. Są też kategorie, które podlegają niezależnie od wielkości, np. operatorzy DNS, rejestry TLD, dostawcy usług zaufania czy wybrane podmioty publiczne.
  3. Sama przynależność do grupy kapitałowej nie czyni Cię ważnym ani kluczowym, jeśli działasz operacyjnie niezależnie i nie współdzielisz systemów/usług z innymi spółkami.

👉 To właśnie definicja „podmiotów ważnych” przesądzi, kto faktycznie musi dostosować się do wymagań UKSC.

Gdzie jesteśmy w procesie legislacyjnym?

Projekt UKSC przeszedł Stały Komitet Rady Ministrów. Kolejne etapy: Komisja Prawnicza → SKRM → Rada Ministrów → Sejm. Wszystko wskazuje, że ustawa wejdzie w życie w 2025 r.

Kiedy zacznie obowiązywać?

  1. T+1 miesiąc od ogłoszenia – przepisy zaczynają obowiązywać.
  2. T+6 miesięcy – wszystkie podmioty ważne i kluczowe muszą być już dostosowane do wymagań UKSCS (rejestracja, incydenty, polityki).
  3. T+24 miesiące – pierwszy obowiązkowy audyt, ale tylko dla podmiotów „kluczowych”.

7 kroków, które warto zrobić od ręki

  1. Sprawdź status – sektor + wielkość firmy.
  2. Grupa kapitałowa – oceń i opisz niezależność systemów.
  3. Przygotuj dane do rejestru – NIP/REGON, zakres IP, domeny, kontakt.
  4. Polityki bezpieczeństwa – incydenty, dostęp, backupy, łańcuch dostaw, testy penetracyjne.
  5. Ciągłość działania – ustaw RTO/RPO, kopie offline, testy backup'ów.
  6. Łańcuch dostaw – zinwentaryzuj dostawców, wpisz zapisy o cyberbezpieczeństwie do umów.
  7. Raporty dla zarządu – cykliczny raport z ryzykami i rekomendacjami.

Dlaczego warto zacząć teraz?

Masz tylko pół roku na dostosowanie – to mało, jeśli trzeba przebudować procesy, umowy i dokumentację.

Jasne określenie, czy jesteś „podmiotem ważnym”, i pierwszy Audyt zerowy zgodności z UKSC już dziś pozwolą spokojnie wejść w UKSC.