Przejdź do treści
Filar I / Ład dokumentacyjny11.05.2026 · 7 min

Nowelizacja KSC 2026: co JST musi zrobić po uruchomieniu Wykazu KSC?

Od 7 maja 2026 r. działa samorejestracja do Wykazu KSC, ale JST są w innej sytuacji niż wiele firm prywatnych. Gminy, powiaty i województwa jako podmioty publiczne mogą zostać wpisane do Wykazu z urzędu. Dlatego najważniejsze jest sprawdzenie statusu, uzupełnienie danych, wyznaczenie osób odpowiedzialnych za system S46

Nowelizacja KSC 2026: Wykaz KSC i S46 dla JST

Wykaz KSC — co faktycznie zmienia się dla samorządu?

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa porządkuje sposób, w jaki państwo komunikuje się z podmiotami objętymi obowiązkami cyberbezpieczeństwa. W centrum tego modelu znajduje się Wykaz KSC prowadzony w ramach Systemu S46.

W praktyce oznacza to, że urząd musi mieć aktualne dane identyfikacyjne, osoby kontaktowe, administratora konta, informacje o domenach i publicznych adresach IP oraz gotowy kanał komunikacji z właściwymi organami i zespołami CSIRT. Ministerstwo Cyfryzacji opisuje Wykaz KSC jako aplikację w ramach S46, która umożliwia współpracę z CSIRT i organami właściwymi, w tym realizację obowiązków dotyczących zgłaszania incydentów.

Dla JST to nie jest wyłącznie sprawa informatyka. Dane do Wykazu dotyczą organizacji, odpowiedzialności, kontaktów, infrastruktury i decyzji kierownika jednostki. Dlatego ten proces powinien być obsłużony wspólnie przez kierownictwo, IT, osobę koordynującą cyberbezpieczeństwo, IOD oraz — jeśli urząd korzysta z outsourcingu — dostawcę IT.

Najważniejsze: JST zwykle nie zaczyna od samorejestracji

W komunikatach o KSC łatwo skupić się na terminie 7 maja 2026 r., bo tego dnia uruchomiono możliwość samodzielnego wpisu do Wykazu. Trzeba jednak rozróżnić dwa tryby.

Pierwszy tryb to wpis z urzędu. Dotyczy m.in. podmiotów publicznych, czyli także JST. Ministerstwo Cyfryzacji wskazuje, że podmioty publiczne są wpisywane do Wykazu przez Ministra Cyfryzacji z urzędu, bez składania wniosku. Po takim wpisie jednostka otrzymuje zawiadomienie i wezwanie do uzupełnienia danych, a na ich uzupełnienie ma 6 miesięcy od otrzymania wezwania.

Drugi tryb to samorejestracja. Dotyczy podmiotów, które nie są objęte wpisem z urzędu, ale spełniają przesłanki uznania za podmiot kluczowy albo ważny. Dla nich termin złożenia wniosku przypada od 7 maja do 3 października 2026 r.

Wniosek dla urzędu jest prosty: najpierw sprawdzić, czy jednostka została wpisana z urzędu albo otrzymała wezwanie. Dopiero potem oceniać, czy konieczna jest inna ścieżka działania.

Co urząd powinien przygotować do Wykazu KSC?

Na poziomie praktycznym urząd powinien przygotować zestaw danych i decyzji organizacyjnych. Nie warto robić tego ostatniego dnia, bo część informacji wymaga współpracy kilku osób.

Do przygotowania są przede wszystkim:

  • dane identyfikacyjne jednostki: nazwa, NIP, REGON, adres;

  • dane kierownika podmiotu albo osoby upoważnionej;

  • administrator konta w Systemie S46;

  • osoby kontaktowe odpowiedzialne za kontakt w sprawach KSC;

  • dane adresowe, e-mail, telefon, adres do e-Doręczeń;

  • zakresy publicznych adresów IP;

  • domeny internetowe używane przez jednostkę;

  • informacje o dostawcach usług zarządzanych, jeżeli jednostka z nich korzysta.

To nie jest tylko formularz. To pierwsza próba odpowiedzi na pytanie, czy urząd wie, kto odpowiada za cyberbezpieczeństwo, jakie ma zasoby publiczne, kto odbiera komunikaty i kto reaguje, gdy pojawi się incydent. Instrukcja Systemu S46 wskazuje wprost, że formularz obejmuje m.in. informacje podstawowe, klasyfikację, dane adresowe, osoby kontaktowe, specyfikację sieci oraz dostawców usług zarządzanych.

W tym miejscu dobrze pasuje M05 Podstawy KRI, bo porządkuje bazowe polityki, aktywa IT, dostęp, backup, pracę zdalną i rejestr systemów. W architekturze SamorządIT ten moduł jest punktem startowym dla każdej jednostki, także wtedy, gdy IT jest outsourcowane.

System S46 wymaga nie tylko konta, ale procesu

Samo konto w systemie nie rozwiązuje problemu. Po wpisie urząd musi wiedzieć, kto odbiera komunikaty, kto klasyfikuje zdarzenia, kto kontaktuje się z CSIRT, kto informuje kierownictwo i kto dokumentuje decyzje.

To jest moment, w którym samorząd powinien uporządkować obsługę incydentów. Jeżeli w urzędzie nie ma jasnego procesu zgłoszenia, klasyfikacji i eskalacji, to System S46 stanie się kolejnym kanałem, który „ktoś musi obsłużyć”. A w incydencie takie podejście kończy się chaosem.

Dlatego z perspektywy JST szczególnie ważny jest M06 Obsługa incydentów cyberbezpieczeństwa. Moduł obejmuje zgłoszenie, klasyfikację, kartę zdarzenia, rejestr incydentów i playbooki. Jego celem jest sprawna obsługa incydentu od zgłoszenia do decyzji.

Jeżeli problemem jest brak podziału odpowiedzialności, warto dołożyć M07 Organizacja zespołu reagowania. Ten moduł porządkuje RACI, eskalację, komunikację kryzysową, współpracę z dostawcami i wariant małej jednostki, gdzie jedna osoba pełni kilka ról.

Najważniejsze terminy dla JST

W komunikacji do kierownictwa nie ma sensu pokazywać całej ustawy. Wystarczy kilka dat, które porządkują działania.

13 kwietnia – 6 maja 2026 r. to okres wpisów z urzędu realizowanych przez Ministra Cyfryzacji dla wybranych grup, w tym podmiotów publicznych. Od 7 maja do 3 października 2026 r. trwa samorejestracja dla podmiotów, które nie są wpisywane z urzędu. 12 czerwca 2026 r. uruchomiono możliwość korzystania z S46 dla nowych podmiotów. Do 3 kwietnia 2027 r. podmioty objęte nowymi obowiązkami mają czas na rozpoczęcie korzystania z Systemu S46 i wdrożenie obowiązków wynikających z ustawy. 3 kwietnia 2028 r. przypada termin pierwszego audytu SZBI dla podmiotów kluczowych, które wcześniej nie były operatorami usług kluczowych.

Dla urzędu oznacza to trzy proste zadania: ustalić status wpisu, uporządkować dane i role, a następnie wdrożyć realny proces bezpieczeństwa informacji.

Wykaz KSC ujawnia problem dostawców

Wiele JST opiera część bezpieczeństwa na dostawcach: serwisie systemów dziedzinowych, hostingu, integratorze, firmie od infrastruktury, operatorze usług chmurowych albo zewnętrznym informatyku. To normalne. Problem zaczyna się wtedy, gdy urząd nie ma opisanych zasad dostępu, obowiązków zgłaszania incydentów, zakresu odpowiedzialności i prawa do weryfikacji.

Nowy model KSC wzmacnia znaczenie łańcucha dostaw. Urząd powinien wiedzieć, którzy dostawcy mają dostęp do systemów, danych, kont administracyjnych i usług krytycznych. Powinien też mieć w umowach zapisy dotyczące zgłaszania incydentów, bezpieczeństwa dostępu, podwykonawców, aktualizacji i odpowiedzialności.

Tutaj naturalnym modułem jest M11 Dostawcy i łańcuch dostaw IT. Jego celem jest kontrola ryzyka dostawców i usług zewnętrznych: ocena dostawców, dostęp serwisowy, podwykonawcy oraz nadzór nad łańcuchem dostaw.

Jeżeli urząd dopiero kupuje nowe rozwiązania, warto połączyć to z M12 Cyberbezpieczeństwo w zamówieniach publicznych. Ten moduł pomaga wymagać cyberbezpieczeństwa już na etapie OPZ, SWZ, oceny ofert i odbioru, zamiast próbować dopisywać wymagania po podpisaniu umowy.

Co powinien zrobić wójt, burmistrz albo sekretarz?

Nie musi znać szczegółów technicznych S46. Musi dopilnować, żeby jednostka miała właściciela procesu.

Minimalna decyzja organizacyjna powinna brzmieć: kto odpowiada za uzupełnienie danych w Wykazie, kto jest administratorem konta, kto odbiera komunikaty, kto zgłasza incydenty, kto dokumentuje decyzje i kto raportuje stan przygotowania kierownictwu.

Jeżeli tych odpowiedzi nie ma, to urząd nie ma jeszcze procesu. Ma tylko obowiązek.

W SamorządIT taki porządek wynika z architektury systemu: kierownik jednostki akceptuje ryzyka wysokie, wyjątki i kierunki działań, koordynator cyber odpowiada za governance i spójność systemu, ASI lub IT za wykonanie techniczne, IOD za obszar danych osobowych, a właściciele procesów i usług za skutki przerw w działaniu usług.

Od czego zacząć w praktyce?

Najrozsądniejsza ścieżka dla JST wygląda tak:

  1. Sprawdź, czy urząd został wpisany do Wykazu z urzędu albo czy otrzymał wezwanie do uzupełnienia danych.

  2. Wyznacz osobę odpowiedzialną za obsługę konta i osoby kontaktowe.

  3. Zbierz domeny, publiczne adresy IP, dane kontaktowe i informacje o dostawcach.

  4. Uporządkuj podstawowe rejestry i polityki.

  5. Przygotuj proces obsługi incydentów.

  6. Zweryfikuj umowy z dostawcami IT.

  7. Zaplanuj wdrożenie SZBI i audyt.

Jeżeli jednostka zaczyna od zera, najpierw warto oprzeć się na minimum: M05 Podstawy KRI, M01 Minimalny standard stacji i serwera, M02 Konta uprzywilejowane i techniczne, M06 Obsługa incydentów cyberbezpieczeństwa oraz M14 Monitoring i wykrywanie zagrożeń. To odpowiada rekomendowanemu baseline JST w SamorządIT.

Podsumowanie

Wykaz KSC nie jest osobnym, technicznym zadaniem do „odhaczenia” przez informatyka. To punkt startowy do uporządkowania odpowiedzialności za cyberbezpieczeństwo w urzędzie.

Dla JST najważniejsze są dziś trzy rzeczy: sprawdzić tryb wpisu, przygotować dane i zbudować proces działania po wpisie. Jeżeli urząd wie, kto odpowiada za dane w Wykazie, kto odbiera komunikaty, kto zgłasza incydenty i kto nadzoruje dostawców, wtedy System S46 staje się narzędziem pracy. Jeżeli tego nie ma, staje się kolejnym źródłem ryzyka.

SamorządIT porządkuje ten proces modułowo: od podstawowej dokumentacji i ról, przez obsługę incydentów, po dostawców, zamówienia publiczne i system zarządzania bezpieczeństwem informacji. Dzięki temu JST nie musi zaczynać od pustej kartki.