С четверга, 7 мая 2026 года, в Польше начинается саморегистрация в реестре KSC для организаций, которые подпадают под новые правила кибербезопасности, но не были внесены туда автоматически. Обязанность касается ключевых и важных субъектов из отраслей, перечисленных в законе.
KSC, то есть Национальная система кибербезопасности, расширяется из-за внедрения в польское право директивы NIS2. Закон вступил в силу 3 апреля 2026 года, а теперь начинается практический этап: организациям нужно проверить свой статус и при необходимости подать электронное заявление в реестр.
Кому нужно проверить статус в KSC
По данным Министерства цифровизации, самооценку должны провести организации, которые работают в секторах, охваченных новыми правилами. Один код PKD, то есть польский классификатор деятельности, не решает вопрос: важны реальный характер деятельности, размер организации и критерии, указанные в законе.
Проверить статус прежде всего стоит компаниям, учреждениям и поставщикам услуг из сфер, важных для государства, экономики и граждан. Среди них:
- энергетика, транспорт, банковская и финансовая инфраструктура;
- здравоохранение, водоснабжение и отведение сточных вод;
- цифровая инфраструктура, телекоммуникации и услуги информационно-коммуникационных технологий;
- почтовые услуги, отходы, химикаты и пищевое производство;
- публичный сектор и отдельные виды промышленности.
Полный перечень указан в приложениях к закону, но итоговая оценка зависит от конкретной деятельности организации. Отдельное правило действует для телекоммуникационных предпринимателей: они подпадают под закон независимо от размера. Крупные и средние относятся к ключевым субъектам, малые и микро, к важным.
Сроки саморегистрации
Часть субъектов вносится в реестр автоматически. До 6 мая министр цифровизации должен внести туда, среди прочих, публичные субъекты, телекоммуникационных предпринимателей, поставщиков услуг доверия и организации, которые раньше имели статус оператора ключевой услуги.
Для тех, кого не внесли автоматически, установлен отдельный календарь:
- с 13 апреля по 6 мая 2026 года идут автоматические внесения в реестр;
- с четверга, 7 мая, по субботу, 3 октября 2026 года открыта саморегистрация;
- до 3 апреля 2027 года часть субъектов должна начать пользоваться S46 и внедрить обязанности по закону;
- 3 апреля 2028 года истекает срок первого аудита для части ключевых субъектов.
Главный ближайший срок для организаций, которые не внесены автоматически, это 3 октября 2026 года. К этой дате нужно завершить проверку статуса и, если есть основания, подать заявление.
Как подается заявление
Реестр KSC ведется в системе S46 через отдельное веб-приложение Wykaz KSC. Заявления о внесении, изменении данных или исключении из реестра подаются только электронно и подписываются электронной подписью.
Подать и подписать заявление может руководитель ключевого или важного субъекта либо уполномоченное им лицо. Сам реестр не является публичным: доступ к данным имеют уполномоченные органы, команды реагирования на инциденты и представитель организации в части ее собственных данных.
Что меняется после внесения в реестр
Регистрация в KSC не сводится к заполнению одной формы. После внесения в реестр организация должна подготовить систему управления безопасностью информации, внедрить технические и организационные меры, вести документацию и сообщать об инцидентах через предусмотренные каналы.
С 12 июня 2026 года новые субъекты смогут пользоваться системой S46. Она нужна, в частности, для отчетности об инцидентах и коммуникации с компетентными органами в рамках национальной системы кибербезопасности.
Штрафы могут достигать миллионов евро
Главный финансовый риск связан не с платой за регистрацию, а с невыполнением обязанностей. В законе, опубликованном в Dziennik Ustaw, предусмотрены крупные административные санкции.
- для ключевых субъектов: от 20 000 zł до 10 млн евро или до 2% доходов от хозяйственной деятельности за предыдущий оборотный год;
- для важных субъектов: от 15 000 zł до 7 млн евро или до 1,4% доходов;
- для руководителей: возможная личная санкция до 300% получаемого вознаграждения.
За самые серьезные нарушения, связанные с угрозой безопасности, общественному порядку, жизни и здоровью людей или крупным ущербом, штраф может быть выше и достигать 100 млн zł.
По большинству обязанностей административные штрафы смогут применяться после переходного периода, с 3 апреля 2028 года. Но проверку статуса и подготовку к регистрации лучше не откладывать: окно саморегистрации уже ограничено датой 3 октября 2026 года.
На новые правила стоит обратить внимание, если бизнес связан с IT, телекоммуникациями, логистикой, медициной, цифровыми услугами, производством или работой с публичным сектором. Если компания имеет отношение к важным услугам, инфраструктуре, данным или поставкам для стратегических отраслей, безопаснее проверить критерии KSC заранее.
