З четверга, 7 травня 2026 року, у Польщі розпочинається самореєстрація у реєстрі KSC для організацій, які підпадають під нові правила кібербезпеки, але не були внесені туди автоматично. Обов’язок стосується ключових і важливих суб’єктів із галузей, перелічених у законі.
KSC, тобто Національна система кібербезпеки, розширюється через впровадження директиви NIS2 до польського законодавства. Закон набрав чинності 3 квітня 2026 року, а тепер починається практичний етап: організаціям потрібно перевірити свій статус і за потреби подати електронну заяву до реєстру.
Кому потрібно перевірити статус у KSC
За даними Міністерства цифровізації, самооцінку мають провести організації, які працюють у секторах, охоплених новими правилами. Один код PKD, тобто польський класифікатор діяльності, не вирішує питання: важливі реальний характер діяльності, розмір організації та критерії, визначені законом.
Перевірити статус передусім варто компаніям, установам і постачальникам послуг зі сфер, важливих для держави, економіки та громадян. Серед них:
- енергетика, транспорт, банківська та фінансова інфраструктура;
- охорона здоров’я, водопостачання та відведення стічних вод;
- цифрова інфраструктура, телекомунікації та послуги інформаційно-комунікаційних технологій;
- поштові послуги, поводження з відходами, хімічні речовини та виробництво харчових продуктів;
- публічний сектор і окремі види промисловості.
Повний перелік наведено в додатках до закону, але остаточна оцінка залежить від конкретної діяльності організації. Окреме правило діє для телекомунікаційних підприємців: вони підпадають під закон незалежно від розміру. Великі та середні належать до ключових суб’єктів, а малі та мікропідприємства, до важливих.
Строки самореєстрації
Частина суб’єктів вноситься до реєстру автоматично. До 6 травня міністр цифровізації має внести туди, зокрема, публічні суб’єкти, телекомунікаційних підприємців, постачальників послуг довіри та організації, які раніше мали статус оператора ключової послуги.
Для тих, кого не внесли автоматично, встановлено окремий графік:
- з 13 квітня по 6 травня 2026 року відбуваються автоматичні внесення до реєстру;
- з четверга, 7 травня, по суботу, 3 жовтня 2026 року відкрита самореєстрація;
- до 3 квітня 2027 року частина суб’єктів повинна почати користуватися S46 і виконати обов’язки, передбачені законом;
- 3 квітня 2028 року спливає строк першого аудиту для частини ключових суб’єктів.
Найближчий ключовий строк для організацій, які не внесені автоматично, це 3 жовтня 2026 року. До цієї дати потрібно завершити перевірку статусу і, якщо є підстави, подати заяву.
Як подається заява
Реєстр KSC ведеться в системі S46 через окремий вебдодаток Wykaz KSC. Заяви про внесення, зміну даних або виключення з реєстру подаються лише в електронному вигляді та підписуються електронним підписом.
Подати й підписати заяву може керівник ключового або важливого суб’єкта чи уповноважена ним особа. Сам реєстр не є публічним: доступ до даних мають уповноважені органи, команди реагування на інциденти та представник організації лише щодо її власних даних.
Що змінюється після внесення до реєстру
Реєстрація в KSC не обмежується заповненням однієї форми. Після внесення до реєстру організація повинна підготувати систему управління безпекою інформації, впровадити технічні та організаційні заходи, вести документацію та повідомляти про інциденти через передбачені канали.
З 12 червня 2026 року нові суб’єкти зможуть користуватися системою S46. Вона потрібна, зокрема, для звітності про інциденти та комунікації з компетентними органами в межах національної системи кібербезпеки.
Штрафи можуть сягати мільйонів євро
Головний фінансовий ризик пов’язаний не з платою за реєстрацію, а з невиконанням обов’язків. У законі, опублікованому в Dziennik Ustaw, передбачені великі адміністративні санкції.
- для ключових суб’єктів: від 20 000 zł до 10 млн євро або до 2% доходів від господарської діяльності за попередній оборотний рік;
- для важливих суб’єктів: від 15 000 zł до 7 млн євро або до 1,4% доходів;
- для керівників: можлива особиста санкція до 300% винагороди, яку вони отримують.
За найсерйозніші порушення, пов’язані із загрозою безпеці, громадському порядку, життю та здоров’ю людей або великими збитками, штраф може бути вищим і сягати 100 млн zł.
Щодо більшості обов’язків адміністративні штрафи можуть застосовуватися після перехідного періоду, з 3 квітня 2028 року. Однак перевірку статусу та підготовку до реєстрації краще не відкладати: вікно самореєстрації вже обмежене датою 3 жовтня 2026 року.
На нові правила варто звернути увагу, якщо бізнес пов’язаний з IT, телекомунікаціями, логістикою, охороною здоров’я, цифровими послугами, виробництвом або роботою з публічним сектором. Якщо компанія має відношення до важливих послуг, інфраструктури, даних або постачання для стратегічних галузей, безпечніше перевірити критерії KSC заздалегідь.
