Nowe terminy w KSC – harmonogram | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

mężczyzna patrzy się na serwery

Nowe terminy w KSC – harmonogram

8 kwietnia 2026 r. Minister Cyfryzacji wydał komunikat, w którym przedstawił harmonogram kluczowych działań wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Dokument ten ma istotne znaczenie dla podmiotów, które spełniają przesłanki uznania ich za podmioty kluczowe lub podmioty ważne.

Poniżej wskazujemy najważniejsze terminy dla podmiotów sektora ochrony zdrowia.

Kogo dotyczy harmonogram?

Harmonogram ogłoszony przez Ministra Cyfryzacji dotyczy podmiotów, które w dniu wejścia w życie ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw spełniają przesłanki uznania ich za podmiot kluczowy albo podmiot ważny i nie zostały wpisane do wykazu z urzędu.

Dla tych jednostek zostały określone:

  • terminy na złożenie wniosków o wpis do wykazu podmiotów kluczowych i ważnych,
  • terminy rozpoczęcia korzystania z systemu teleinformatycznego, o którym mowa w art. 46 ust. 1 ustawy o KSC.

Terminy składania wniosków o wpis do wykazu

Wnioski o wpis do wykazu mogą być składane przez system S46 od 7 maja do 3 października br. 
Termin ten dotyczy wszystkich podmiotów kluczowych oraz podmiotów ważnych, które nie zostały wpisane do wykazu z urzędu. Wpis z urzędu obejmuje m.in. przedsiębiorców komunikacji elektronicznej oraz podmioty publiczne.

W praktyce oznacza to, że podmioty, które samodzielnie identyfikują się jako spełniające przesłanki ustawowe, powinny w tym okresie:  

  • potwierdzić swój status,  
  • przygotować wymagane informacje,  
  • złożyć wniosek o formalny wpis do wykazu.  

Wpis do wykazu stanowi punkt wyjścia do realizacji dalszych obowiązków wynikających z KSC, w tym sprawozdawczych, organizacyjnych i technicznych.

Obowiązek korzystania z systemu S46

Zgodnie z obowiązującymi przepisami, terminy rozpoczęcia korzystania z systemu S46 zostały zróżnicowane w zależności od dotychczasowego statusu podmiotu i wcześniejszych ustaleń w tym zakresie:

  • od 8 kwietnia br. – dla podmiotów, które wcześniej zawarły porozumienie o korzystaniu z systemu,
  • od 12 czerwca br. – dla pozostałych podmiotów objętych obowiązkiem.

Ostatecznym terminem, do którego podmioty kluczowe i ważne są zobowiązane do pełnego wdrożenia i korzystania z systemu S46 jest 3 kwietnia 2027 r.

Co podmioty sektora ochrony zdrowia powinny zrobić już teraz?

Warto podjąć działania przygotowawcze jak najwcześniej. W szczególności rekomendujemy:

  • potwierdzenie czy podmiot spełnia przesłanki bycia podmiotem kluczowym lub ważnym - użytecznym narzędziem jest ankieta samooceny przygotowana przez CSIRT CeZ;
  • zapoznanie się z zakresem obowiązków wynikających z nowelizacji KSC,
  • ocenę aktualnego poziomu dojrzałości cyberbezpieczeństwa,
  • przygotowanie struktur, procedur i zasobów do obsługi systemu teleinformatycznego.

CSIRT CeZ wspiera podmioty objęte KSC w procesie dostosowania do nowych wymagań, m.in. poprzez działania informacyjne, edukacyjne i narzędzia wspomagające samoocenę.

W tym celu CSIRT CeZ udostępnił bezpłatną ankietę samooceny dla podmiotów ochrony zdrowia, która pozwala w prosty sposób sprawdzić aktualny poziom przygotowania do wymagań wynikających z nowelizacji ustawy o KSC. Narzędzie pomaga zidentyfikować luki, ocenić dojrzałość cyberbezpieczeństwa oraz zaplanować dalsze działania organizacyjne i techniczne, z uwzględnieniem okresów przejściowych przewidzianych w harmonogramie.

Dla podmiotów sektora ochrony zdrowia jest to moment, w którym warto przejść od analizy przepisów do praktycznej oceny gotowości organizacji na nowe obowiązki.

Przydatne linki