KSC 2026: Czy Twoja firma obroni się przed karami 10 mln euro za telefony służbowe?

Od kwietnia 2026 roku obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2. Firmy muszą mieć pełną kontrolę nad służbowymi urządzeniami – telefonami, laptopami, tabletami. Problem? Tylko 19% polskich firm jest na to przygotowanych, a kary mogą sięgać 10 milionów euro. Sprawdź, czy ustawa dotyczy Twojej firmy i co musisz zrobić, by uniknąć sankcji.

W skrócie dla niecierpliwych – 5 najważniejszych informacji

Ustawa KSC obowiązuje od kwietnia 2026 – musisz mieć pełną kontrolę nad służbowymi urządzeniami.

Kary sięgają 10 mln euro (lub 2% obrotu) + sankcje osobiste dla zarządu.

Tylko 19% polskich firm jest gotowych – większość ryzykuje kontrolą.

MDM (zarządzanie urządzeniami mobilnymi) to klucz – możesz wdrożyć własne lub zlecić outsourcing.

Ekosystem Apple może oszczędzać ok. 2000 zł/urządzenie w 5 lat – spójny ekosystem obniża koszty IT.

Czy ustawa KSC dotyczy Twojej firmy? Sprawdź w 30 sekund

Odpowiedz na 3 pytania:

1. Czy Twoja firma zatrudnia powyżej 50 osób lub ma roczne przychody powyżej 10 mln euro?
2. Czy działasz w sektorze: energetyka, transport, bankowość, ochrona zdrowia, administracja publiczna, usługi cyfrowe, gospodarka odpadami lub infrastruktura krytyczna?
3. Czy Twoi pracownicy używają służbowych telefonów, laptopów lub tabletów?

Jeśli odpowiedziałeś TAK na pytania 1 i 3 – ustawa KSC prawdopodobnie dotyczy Twojej firmy.

Jeśli odpowiedziałeś TAK na pytanie 2 – ustawa na pewno Cię obejmuje, niezależnie od wielkości firmy.

Termin na wdrożenie: Przepisy obowiązują od kwietnia 2026 – jeśli jeszcze nie wdrożyłeś zmian, ryzykujesz kontrolą i karami.

Co to jest ustawa KSC? Definicja dla przedsiębiorców

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) to polskie prawo wdrażające unijną dyrektywę NIS2. Określa wymogi bezpieczeństwa cyfrowego dla firm i nakazuje pełną kontrolę nad wszystkimi urządzeniami używanymi w organizacji – od komputerów, przez telefony, po tablety.

W praktyce oznacza to:

• Monitoring urządzeń w czasie rzeczywistym (musisz wiedzieć, co dzieje się z każdym służbowym iPhone’em czy laptopem),
• Uwierzytelnianie wieloskładnikowe (MFA) na wszystkich urządzeniach,
• Zarządzanie aktualizacjami (żadne urządzenie nie może działać na nieaktualnym systemie),
• Dokumentację wszystkich działań (przy audycie musisz wykazać, co i kiedy zrobiłeś),
• Raporty poincydentalne (każdy problem bezpieczeństwa musi być opisany i przeanalizowany).

Ile wynoszą kary za brak zgodności z KSC? Tabela sankcji

Przykładowo:

• Firma z obrotem 50 mln zł rocznie może dostać karę do 1 mln zł (2% z 50 mln).
• Prezes zarabiający 20 000 zł/mies. – karę do 60 000 zł.

Jak polskie firmy oceniają swoją gotowość? Dane z raportu 2025

Według raportu „Incydenty pod kontrolą” (Mediarecovery, Safesqr, PMR Market Experts, 2025):

• 91% firm słyszało o NIS2 i uważa, że dotyczy ich bezpośrednio lub pośrednio
• Tylko 19% ocenia, że w znacznym stopniu spełnia wymagania
• Średnia samoocena gotowości: 3,27/5 (stan niepewności)
• 77% firm wskazuje ograniczony budżet IT jako główną barierę
• Tylko 5% przygotowuje raporty poincydentalne (obowiązkowe według KSC)
• 89% planuje wydatki IT związane z dostosowaniem do NIS2

Wniosek: Większość firm wie o problemie, ale nie jest gotowa. Czas działa na Twoją niekorzyść.

Co musisz zrobić, by spełnić wymogi KSC? Instrukcja dla zarządu

KROK 1: Zrób audyt urządzeń (do końca maja 2026)

Ustal:

• Ile urządzeń końcowych (telefony, laptopy, tablety) działa w firmie?
• Kto z nich korzysta?
• Czy masz nad nimi pełną kontrolę? (możliwość zdalnego blokowania, aktualizacji, monitoringu)

Narzędzie, które możesz wykorzystać to na przykład Arkusz Excel ze spisem + rozmowa z działem IT.

KROK 2: Wdróż system MDM – Mobile Device Management (czerwiec 2026)

Co to jest MDM? To system centralnego zarządzania urządzeniami mobilnymi. Pozwala administratorowi:

• Zdalnie aktualizować systemy,
• Wymuszać stosowanie MFA (uwierzytelnianie dwuskładnikowe),
• Blokować zgubione/skradzione urządzenia,
• Automatycznie logować wszystkie zdarzenia bezpieczeństwa,
• Tworzyć raporty dla audytów.

Gdzie wdrożyć? Możesz:

• Zrobić to wewnętrznie (potrzebujesz działu IT),
• Zlecić na zewnątrz (outsourcing – często szybciej i taniej).

KROK 3: Wybierz rozwiązanie technologiczne (lipiec 2026)

Eksperci rekomendują spójne ekosystemy (np. Apple, Samsung), które:

• Mają wbudowane funkcje bezpieczeństwa,
• Wymagają mniej wsparcia IT (mniej zgłoszeń problemów),
• Generują niższe koszty w długim terminie.

Twarde dane: Według raportu Forrester Consulting (2024, na zlecenie Apple) Mac może zaoszczędzić ok. 2000 zł na urządzenie w ciągu 5 lat (mniej napraw, mniej problemów, mniej czasu IT).

KROK 4: Wdróż polityki bezpieczeństwa i dokumentację (sierpień 2026)

Stwórz pisemne procedury:

• Polityka aktualizacji (kiedy i jak często),
• Polityka haseł i MFA,
• Procedura zgłaszania incydentów,
• Procedura reakcji na zgubienie urządzenia.

KSC wymaga dokumentacji każdego działania. Bez niej podczas audytu nie udowodnisz zgodności.

„Odpowiedzialne zarządzanie urządzeniami zgodne z zasadami bezpieczeństwa nie jest już wyborem, ale wymogiem. Firmy, które do tej pory odkładały tę kwestię, mają teraz konkretną datę i konkretne konsekwencje. Dla nas oznacza to, że rozmowy z klientami nie dotyczą już tego, czy wdrażać narzędzia Mobile Device Management, ale jak zrobić to możliwie szybko i efektywnie.” – komentuje Mariusz Pik, ekspert ds. wdrożeń w iMad.

Jakie grożą konsekwencje prawne za brak wdrożenia? Odpowiada radca prawny

„Na gruncie KSC maksymalne administracyjne kary pieniężne nakładane na podmioty kluczowe mogą sięgać 10 milionów euro lub 2% całkowitego rocznego globalnego obrotu firmy, a w przypadku podmiotów ważnych – do 7 milionów euro lub 1,4% obrotu. Nowe regulacje pozwalają również na nakładanie sankcji bezpośrednio na osoby zarządzające. Członkowie zarządów podmiotów kluczowych i ważnych mogą zostać ukarani grzywną w wysokości do trzykrotności miesięcznego wynagrodzenia, a wobec kierujących podmiotami kluczowymi może zostać wydana decyzja czasowo zakazująca pełnienia funkcji kierowniczych. Dodatkowo brak należytej staranności może skutkować odpowiedzialnością cywilną.” – podaje Agnieszka Wachowska, radca prawny, Co-Managing Partner w Traple Konarski Podrecki i Partnerzy

Najczęściej zadawane pytania (FAQ) – ustawa KSC 2026

1. Od kiedy obowiązuje ustawa KSC?

Od kwietnia 2026 roku. Firmy objęte ustawą muszą już teraz spełniać wymogi.

2. Czy ustawa dotyczy małych firm?

Tak, jeśli działasz w sektorze kluczowym (np. zdrowie, transport, finanse). W przypadku innych sektorów – jeśli zatrudniasz 50+ osób lub masz roczny obrót 10+ mln euro.

3. Co to jest MDM?

Mobile Device Management – system do centralnego zarządzania telefonami, laptopami i tabletami w firmie.

4. Ile kosztuje wdrożenie MDM?

Zależy od wielkości firmy. Outsourcing często jest tańszy niż budowanie własnego działu IT. Mac generuje oszczędności ok. 2000 zł/urządzenie w 5 lat.

5. Czy mogę dostać karę osobiście jako prezes?

Tak. Możesz dostać grzywnę do 3x miesięcznej pensji, zakaz pełnienia funkcji kierowniczych lub odpowiedzialność cywilną/karną.

6. Co grozi za brak raportów poincydentalnych?

Brak dokumentacji = brak zgodności z KSC = kara administracyjna podczas audytu.

7. Jak szybko mogę wdrożyć MDM?

Z partnerem outsourcingowym – 2-4 tygodnie. Samodzielnie – 3-6 miesięcy.

Wyniki Biznes Fakty:

• Przeprowadź natychmiastowy audyt wszystkich urządzeń firmowych, aby zidentyfikować luki w kontroli i bezpieczeństwie.
• Rozważ outsourcing wdrożenia systemu MDM, aby przyspieszyć proces i zapewnić zgodność z przepisami KSC w wyznaczonym terminie.

Źródło wiadomości : mojafirma.infor.pl