Nowa ustawa o krajowym systemie cyberbezpieczeństwa – czy obejmuje szkoły

Michał Kowalski
Data publikacji: 22 kwietnia 2026 r.
Poleć znajomemu
Nowa ustawa o krajowym systemie cyberbezpieczeństwa – czy obejmuje szkoły

Od 3 kwietnia 2026 r. obowiązuje ważna nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Czy zmiana tej ustawy spowodowała, że krajowy system cyberbezpieczeństwa obejmuje również szkoły i placówki oświatowe? Odpowiedź w artykule.

Ważna nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw stanowi kolejny etap wdrażania unijnej dyrektywy NIS2. Ustawa ta wprowadza nowe obowiązki dla podmiotów włączonych do KSC. Zakres zastosowania ustawy został uregulowany sektorowo – objęto nim m.in. administrację publiczną. Czy to oznacza, że nowe przepisy nakładają dodatkowe obowiązki na szkoły i placówki oświatowe prowadzone przez jednostki samorządy terytorialnego i organy administracji rządowej?

Szkoły jako podmioty ważne w rozumieniu ustawy o KSC

Istotne jest tu posiadanie statusu podmiotu kluczowego lub podmiotem ważnego. Do tej pierwszej grupy, ogólnie rzecz ujmując, należy zaliczyć podmioty o szczególnym znaczeniu dla funkcjonowania gospodarki. Z kolei podmiotem ważnym jest organizacja o mniejszym znaczeniu dla gospodarki, ale działająca w sektorach istotnych dla cyberbezpieczeństwa. Do tej grupy należy zaliczyć także szkoły i placówki.

Szkoły i placówki oświatowe nie mają statusu podmiotu kluczowego ale są podmiotami ważnymi.

Nowe zadania dotyczące szkół i placówek oświatowych wg ustawy o KSC

W związku z posiadaniem statusu podmiotu ważnego szkoły i placówki oświatowe zostały objęte wymogami systemu zarządzania bezpieczeństwem informacji (SZBI) wymienionymi w załączniku nr 4 do ustawy. Muszą one zapewnić funkcjonowanie takiego systemu, który obejmuje co najmniej:

1) inwentaryzację produktów ICT (sieci i usług informatycznych), usług ICT i procesów ICT służących do przetwarzania informacji;

2) kontrolowanie podstawowych wersji używanego produktów ICT lub usług ICT, a jeżeli to możliwe, korzystanie z mechanizmów kontroli instalacji produktów ICT lub usług ICT na urządzeniach, w tym na urządzeniach mobilnych;

3) zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, w zakresie:

a) ochrony fizycznej miejsc, w których jest przetwarzana informacja, w przypadku przetwarzania danych w urządzeniach znajdujących się pod kontrolą podmiotu,

b) ochrony wykorzystującej oprogramowanie zabezpieczające lub sprzętowe zabezpieczenia, w które są wyposażone urządzenia przetwarzające informacje, albo

c) udokumentowania mechanizmów zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami w przypadku korzystania z usług dostawcy chmury obliczeniowej lub dostawcy usługi centrum przetwarzania danych;

4) dopuszczenie do informacji wyłącznie osób posiadających stosowne uprawnienia do systemów informacyjnych (w tym systemów operacyjnych, usług sieciowych i aplikacji) oraz zapewnienie środków uniemożliwiających nieautoryzowany dostęp do tych systemów;

5) stosowanie zasad przyznania minimalnych uprawnień niezbędnych dla realizacji zadań;

6) bezzwłoczne cofanie przyznanych uprawnień w przypadku stwierdzenia braku podstawy dostępu do informacji na stałe lub zawieszanie uprawnień w przypadku niewykonywania obowiązków co najmniej przez jeden miesiąc;

7) modyfikację zakresu przyznanych uprawnień, jeżeli jest to zasadne z uwagi na zmianę charakteru wykonywanych zadań i zakresu dostępu do informacji;

8) ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

9) kontrolę usług poczty elektronicznej wykorzystującej mechanizmy, wg art. 24 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej;

10) wykonywanie zapasowych kopii danych odseparowanych logicznie i fizycznie od danych przetwarzanych w systemach informacyjnych dla realizacji zadania publicznego;

11) testowanie pod kątem kompletności i możliwości odtworzenia danych zawartych w zapasowych kopiach;

12) przygotowanie i testowanie procedury w przypadku wystąpienia awarii lub incydentu;

13) stosowanie oprogramowania antywirusowego;

14) stosowanie zasad cyberhigieny przez pracowników korzystających z systemów informacyjnych, w tym osobę pełniącą funkcję kierowniczą

15) monitorowanie częstotliwości wydawania kolejnych wersji produktów ICT, źródeł dystrybucji produktów ICT oraz cyklu życia produktów ICT w celu zapewnienia bezpieczeństwa systemu informacyjnego;

16) stosowanie stabilnych wersji produktów ICT lub usług ICT, w stosunku do których nie występują informacje o krytycznych podatnościach, a w przypadku ich wystąpienia dopuszczalne jest stosowanie tych wersji produktów ICT lub usług ICT, które nie stwarzają istotnego negatywnego wpływu na poziom bezpieczeństwa systemów informacyjnych;

17) stosowanie środków minimalizujących wystąpienie incydentów przez szkolenie osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem takich zagadnień, jak:

a) rodzaje cyberzagrożeń,

b) podstawowe zasady cyberhigieny,

c) reagowania na wystąpienie incydentu,

d) świadomość skutków naruszenia zasad bezpieczeństwa informacji;

18) określenie procedur i zasad działania na wypadek wystąpienia cyberzagrożenia lub w przypadku wystąpienia incydentu.

Przewidziano także obowiązek dokonywania przeglądu SZBI:

1) co najmniej raz w roku albo

2) bezzwłocznie w przypadku wydania przez Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa rekomendacji, w zakresie, w jakim dotyczy ona systemów informacyjnych, produktów ICT lub usług ICT podmiotu, albo

3) bezzwłocznie w przypadku wystąpienia okoliczności, które mogą wpłynąć na ryzyko wystąpienia incydentu poważnego i wymagających ponownego zrealizowania działań opisanych w przyjętym systemie zarządzania bezpieczeństwie informacji lub zmian w samym systemie.

Realizacja wskazanych zadań musi zostać udokumentowana.

Obowiązek zgłaszania incydentów do CSIRT – w ciągu 72 godzin

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza także obowiązki związane z obsługą i zgłaszaniem incydentów. Podmioty objęte ustawą, w tym szkoły i placówki oświatowe jako podmioty ważne, są zobowiązane do:

  • identyfikowania incydentów bezpieczeństwa,

  • ich klasyfikowania (w tym incydentów poważnych),

  • podejmowania działań ograniczających skutki incydentu,

  • zgłaszania incydentów poważnych do właściwego zespołu CSIRT.

Zgłoszenie incydentu poważnego do CSIRT musi nastąpić w ciągu 72 godzin od jego wykrycia.

CUW wsparciem dla dyrektora w wykonywaniu obowiązków z ustawy o KSC

Choć odpowiedzialność za wykonywanie tych zadań ponosić będzie dyrektor jako kierownik jednostki, to jednak w ustawie nie wykluczono ich wspólnej realizacji ze wsparciem organu prowadzącego lub jednostki obsługującej np. CUW. W praktyce w przypadku szkół realizacja obowiązków związanych ze zgłaszaniem incydentów będzie więc mogła odbywać się we współpracy z organem prowadzącym, który zapewnia obsługę techniczną i organizacyjną systemów informatycznych.

Kary dla dyrektorów szkół za nieprzestrzeganie nowych przepisów – od 2028 r.

Nowe wymogi muszą być wdrożone do 3 kwietnia 2027 r. (art. 33 nowelizacji). Niemniej jednak do końca 2027 r. za ich niewykonywanie nie będą nakładane kary (art. 35 nowelizacji). Te zaś od 2028 r. będą mogły objąć także dyrektora szkoły.

Od 1 stycznia 2028 r. za niewykonanie obowiązków wskazanych w ustawie o KSC na dyrektora szkoły będzie mogła zostać nałożona kara do 100% jego miesięcznego wynagrodzenia.
Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252)
Opracowanie: Michał Kowalski

Najbliższa konsultacja

Brak konsultacji
w najbliższym czasie

Sprawdź terminy innych konsultacji

Planowane konsultacje

Brak nadchodzących wydarzeń

Sprawdź terminy
planowanych konsultacji
Narzędzia

Nagrody i wyróżnienia

AI Assistant

Witaj! Jestem Lumen
Jak mogę Ci pomóc?

Nie masz aktywnego dostępu - możesz zadać jedno testowe pytanie.

Wystarczy szybka weryfikacja:

1
Wypełnij krótki formularz
podaj numer telefonu i e-mail
2
Potwierdź 4‑cyfrowy kod z SMS
to zajmie tylko chwilę
3
Zadaj pytanie i otrzymaj odpowiedź
szybko, prosto i bez zobowiązań

Czat testowy

Masz jednorazowy dostęp - wpisz swoje pytanie poniżej.
Jestem Twoim wirtualnym Asystentem, który łączy wiedzę ekspertów Portalu Oświatowego z możliwościami sztucznej inteligencji. Zadaj pytanie, a otrzymasz najlepszą możliwą odpowiedź.
0 / 6000

Chcesz zadać więcej pytań?

Odblokuj pełny dostęp do portalu
i korzystaj z wiedzy wtedy, gdy jej potrzebujesz.:

  • Nieograniczona liczba pytań
  • Odpowiedzi wtedy, gdy ich potrzebujesz.
  • Lumen korzysta wyłącznie z wiedzy portalu.
Uzyskaj pełny dostęp

Chcesz porozmawiać z Lumenem?

Zaloguj się, aby korzystać z czatu
w ramach swojej subskrypcji.:

  • Pełny dostęp dla aktywnych subskrybentów
  • Błyskawiczne odpowiedzi na trudne pytania.
  • Wiedza oparta wyłącznie na zasobach portalu.
Zaloguj się i sprawdź dostęp

Sprawdź inne serwisy

Epedagogika Poradnik Dyrektora Szkoły Strefa logopedy Educado Zarządzanie przedszkolem kadry i finanse resql

Portal Oświatowy Copyright © 2025 Wszelkie prawa zastrzeżone | Właściciel Portalu: Wiedza i Praktyka Sp. z o.o. Wydawnictwo Wiedza i Praktyka