NIS2 i KSC – ważne terminy dla Partnerów DomainMaker
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, została opublikowana w Dzienniku Ustaw i weszła w życie 3 kwietnia 2026 r. Od tego momentu rozpoczął się bieg ustawowych terminów dla podmiotów objętych nowymi przepisami.
Co istotne, zgodnie z art. 5 ust. 1 pkt 4 lit. j ustawy podmioty świadczące usługi rejestracji nazw domen zostały zaliczone do kategorii podmiotów kluczowych. Oznacza to, że jako Partner DomainMaker świadczący usługi rejestracji domen internetowych jesteś objęty ustawą niezależnie od wielkości swojej organizacji. Wczesne wdrożenie wymaganych procedur pozwoli dotrzymać ustawowych terminów oraz sprawnie przygotować się do realizacji obowiązków wynikających z KSC i NIS2.
Najważniejsze terminy
- 3 kwietnia 2026 r. – wejście w życie nowelizacji ustawy o KSC (dzień „zero” harmonogramu).
- Do 3 października 2026 r. – termin złożenia wniosku o wpis do Wykazu KSC (System S46) dla podmiotów, które spełniały kryteria już w dniu wejścia ustawy w życie. Rekomendujemy zakończenie procesu jeszcze we wrześniu, aby uniknąć przeciążenia systemu i opóźnień.
- Do 3 kwietnia 2027 r. – termin wdrożenia większości obowiązków wynikających z ustawy, w tym Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), procedur zarządzania ryzykiem, reagowania na incydenty oraz wymaganej dokumentacji.
- Do 3 kwietnia 2028 r. – termin przeprowadzenia pierwszego audytu zgodności (jako podmiot kluczowy). Kolejne audyty co najmniej raz na trzy lata.
Uwaga: powyższe terminy przejściowe dotyczą podmiotów, które spełniały ustawowe kryteria już 3 kwietnia 2026 r. Jeśli rozpoczniesz świadczenie usług rejestracji domen później, terminy (6 miesięcy na wpis do wykazu, 12 miesięcy na wdrożenie obowiązków) liczone są od dnia spełnienia przesłanek.
Obowiązki wynikające z ustawy o KSC
Jako podmiot kluczowy jesteś zobowiązany m.in. do:
- zarządzania ryzykiem cyberbezpieczeństwa,
- wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i polityk bezpieczeństwa,
- przygotowania procedur zgłaszania incydentów do właściwego CSIRT (dla większości firm — CSIRT NASK), z zachowaniem terminów: wczesne ostrzeżenie do 24 godzin, zgłoszenie do 72 godzin, raport końcowy do 1 miesiąca,
- prowadzenia wymaganej dokumentacji,
- szkolenia pracowników oraz kadry kierowniczej,
- przeprowadzenia audytu zgodności oraz współpracy z organami nadzorczymi.
Dobre praktyki dla rejestratorów domen
W działalności rejestracyjnej szczególnie istotne jest, aby zadbać o:
- weryfikację i aktualizację danych abonentów domen,
- zapewnienie poprawności i aktualności danych rejestracyjnych,
- monitorowanie bezpieczeństwa domen oraz zmian w DNS.
Bezpieczeństwo domen internetowych staje się jednym z kluczowych elementów zgodności z KSC i NIS2. Warto wykorzystać obecny okres na uporządkowanie procesów, dokumentacji i procedur.
Dlaczego warto działać już teraz?
Ustawa przewiduje dotkliwe sankcje. Kary dla podmiotów kluczowych mogą sięgać 10 mln euro lub 2% całkowitego rocznego obrotu, a odpowiedzialność może obciążać również kierownictwo osobiście. Choć administracyjne kary pieniężne będą mogły być nakładane co do zasady dopiero po upływie dwóch lat od wejścia ustawy w życie (po 3 kwietnia 2028 r.), realne przygotowanie organizacji — analiza luk, wdrożenie zabezpieczeń, dokumentacja i szkolenia — zajmuje zwykle wiele miesięcy.


