W dniu 3 kwietnia br. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która wdraża do polskiego porządku prawnego dyrektywę NIS2. Znowelizowana ustawa wprowadza pojęcia podmiotów ważnych i kluczowych w miejsce operatorów usług kluczowych i dostawców usług cyfrowych.
Terminy spełnienia poszczególnych obowiązków wynikających z ustawy kształtują się następująco:
1. do dnia 3 października 2026 r. podmioty ważne i kluczowe zobowiązane są złożyć wniosek o wpis do wykazu podmiotów ważnych i kluczowych;
2. do dnia 3 kwietnia 2027 r. podmioty ważne i kluczowe zobowiązane są spełnić większość obowiązków, które nakłada na nie znowelizowana ustawa o cyberbezpieczeństwie, w tym wdrożyć system zarządzania bezpieczeństwem informacji; 3. do dnia 3 kwietnia 2028 r. podmioty kluczowe zobowiązane są do przeprowadzenia, po raz pierwszy, audytu bezpieczeństwa systemu informacyjnego
