wyszukiwanie zawansowane
Kontakt z nami

Newsletter

Zapisz się do newslettera

Uzupełnij swojego maila i bądź na bieżąco z nowościami na stronie prawosportowe.pl

ikonka fb ikonka tw

Organizacje sportowe

  1. Strona główna
    2. »
  2. Organizacje sportowe
    3. »
  3. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

02.06.2026

Nowelizacja ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa wdraża do polskiego prawa unijną dyrektywę NIS2. Nowe przepisy nie obejmują automatycznie wszystkich podmiotowych sportowych. Mogą mieć jednak zastosowanie do wybranych organizacji działających w sektorze sportu – w szczególności tych, które spełniają kryteria wielkości lub wykonują zadania o charakterze publicznym.

Nowelizacja ustawy weszła w życie 3 kwietnia tego roku, a 7 maja pojawiły się pierwsze obowiązki z tego wynikające.

Jaki jest zakres podmiotowy tej nowelizacji w zakresie działalności sportowej?

Po pierwsze, Polskie Związki Sportowe. Wiele Polskich Związków Sportowych (PZS) oraz część większych związków regionalnych (wojewódzkich, okręgowych – w zależności od dyscypliny sportu) może zostać zakwalifikowanych jako podmioty objęte ustawą, jeżeli: wykonują zadania publiczne, są finansowane ze środków publicznych, spełniają kryteria podmiotów „ważnych” lub „kluczowych” w rozumieniu ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej: UoKSC). Kwalifikacja nie jest automatyczna – zależy od analizy funkcji, struktury i znaczenia danego związku.

Po drugie, duże i średnie kluby sportowe.

Kluby sportowe – niezależnie od formy prawnej (stowarzyszenia, spółki kapitałowe, fundacje) – mogą zostać objęte ustawą, jeśli spełniają kryteria wielkości wynikające z definicji przedsiębiorstw:

- średnie przedsiębiorstwo – to takie przedsiębiorstwo, które zatrudnia od 50 do 250pracowników lub generuje obrót do 50 mln Euro (EUR) lub bilans do 43 mln EUR;

- duże przedsiębiorstwo czyli takie, które zatrudnia więcej 250 pracowników lub generuje obrót do 50 mln EUR lub bilans do 43 mln EUR;

Oznacza to, że kluby sportowe zatrudniające powyżej 50 osób lub osiągające obrót powyżej 10 mln EUR mogą zostać zakwalifikowane jako podmioty ważne, jeśli działają w sektorze objętym regulacją lub mają znaczenie dla ciągłości usług.

Po trzecie, kluby sportowe będące spółkami miejskimi

Kluby sportowe będące spółkami komunalnymi mogą zostać uznane za podmioty publiczne, jeżeli: jednostka samorządu terytorialnego sprawuje nad nimi kontrolę, wykonują zadania publiczne, spełniają kryteria sektorowe lub znaczeniowe.

Nie jest to jednak kwalifikacja automatyczna – wymaga analizy indywidualnej.

Jakie obowiązki wynikają z ustawy KSC?

Podmioty zakwalifikowane jako kluczowe lub ważne muszą m.in.:

- dokonać rejestracji w Wykazie KSC poprzez proces samorejestracji na platformie rządowej,

- wdrożyć środki techniczne i organizacyjne adekwatne do zarządzania ryzykiem cyberbezpieczeństwa,

- prowadzić analizę ryzyka i dokumentację bezpieczeństwa,

- zgłaszać poważne incydenty bezpieczeństwa do CSIRT,

- zapewnić nadzór nad łańcuchem dostaw,

- przeprowadzać szkolenia personelu,

. współpracować z organami właściwymi w zakresie kontroli i audytów.

Kiedy organizacja sportowa powinna podjąć działania w tym zakresie? Jeżeli Państwa organizacja: jest dużym lub średnim klubem sportowym lub Polskim Związkiem Sportowym lub spółką miejską prowadzącą działalność sportową i realizuje zadania publiczne lub otrzymuje znaczące finansowanie publiczne, to istnieje wysokie prawdopodobieństwo, że podlega pod regulacje KSC i powinna przygotować się do wdrożenia wymaganych procedur.

Szczegółowe informacje dotyczące procesu wpisu znajdują się na stronie Ministerstwa Cyfryzacji.

Warto usystematyzować sobie jakie obowiązki wynikające z UoKSC mają podmioty kluczowe i ważne.

Pierwszy etap realizacji tych obowiązków to rejestracja i formalności:

- Weryfikacja kwalifikacji — sprawdzenie, czy organizacja spełnia kryteria podmiotu kluczowego lub ważnego.

- Rejestracja w Wykazie KSC — dokonanie samorejestracji na platformie rządowej.

- Wyznaczenie osoby kontaktowej — zgłoszenie oficjalnego punktu kontaktowego ds. cyberbezpieczeństwa.

- Przygotowanie dokumentacji formalnej — polityki, procedury, regulaminy.

Drugi etap to zarządzanie ryzykiem i bezpieczeństwem:

- Analiza ryzyka — identyfikacja zagrożeń, podatności i skutków incydentów.

- Wdrożenie środków technicznych i organizacyjnych — zgodnie z art. 20 NIS2 (m.in. kontrola dostępu, szyfrowanie, kopie zapasowe).

- Zarządzanie ciągłością działania — plany awaryjne, procedury odtwarzania.

- Bezpieczeństwo łańcucha dostaw — ocena dostawców IT i usługodawców.

Trzeci etap to monitorowanie i reagowanie:

- System monitorowania incydentów — wykrywanie, rejestrowanie i analiza zdarzeń.

- Procedura zgłaszania incydentów — obowiązek zgłoszenia poważnego incydentu do CSIRT (od ang. Computer Security Incident Response Team) to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. Są to specjalistyczne jednostki, których głównym zadaniem jest monitorowanie zagrożeń w sieci, zapobieganie im oraz szybkie reagowanie na ataki hakerskie i inne incydenty uderzające w cyberbezpieczeństwo.

- Reagowanie na incydenty — instrukcje, role, eskalacja, komunikacja.

- Testy i ćwiczenia — regularne testowanie procedur.

Kluczową kwestią są działania w zakresie samej organizacji i jej personelu:

- Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo — np. Inspektor Cyberbezpieczeństwa.

- Szkolenia pracowników — obowiązkowe, cykliczne, udokumentowane.

- Polityka dostępu i uprawnień — zasada minimalnych uprawnień, weryfikacja kont.

- Weryfikacja podmiotów zewnętrznych — audyty, umowy, SLA. SLA to Service Level Agreement, czyli umowa w branży usługowej i IT o gwarantowanym poziomie świadczenia usług. Dokument ten precyzuje m.in. czas reakcji na awarię, dostępność systemu (np. 99,9% w skali miesiąca) oraz kary finansowe dla dostawcy za niedotrzymanie warunków.).

Dokumentacja i audyty

- Rejestr incydentów — obowiązkowy, przechowywany min. 5 lat.

- Dokumentacja środków bezpieczeństwa — opis wdrożonych zabezpieczeń.

- Audyty wewnętrzne — regularna ocena zgodności.

- Przygotowanie do kontroli organu właściwego — komplet dokumentów, procedur i dowodów.

Obowiązki dodatkowe (dla podmiotów kluczowych)

- Ocena ryzyka na poziomie zarządu — zarząd ponosi odpowiedzialność za nadzór nad cyberbezpieczeństwem.

- Współpraca z CSIRT i organami państwa — obowiązek udzielania informacji i wsparcia.

- Wymogi dotyczące raportowania rocznego — sprawozdanie z działań bezpieczeństwa.

Jakie są kluczowe daty dla omawianej nowelizacji?

 To po pierwsze, 3 kwietnia 2026 – wejście w życie ustawy (Nowelizacja ustawy o KSC zaczęła obowiązywać 3.04.2026 r. Od tego dnia biegną wszystkie terminy dostosowawcze). Po drugie, 13 kwietnia 2026 – uruchomienie Wykazu KSC (Wystartował oficjalny Wykaz podmiotów kluczowych i ważnych). Po trzecie, okres 13 kwietnia – 6 maja 2026 – wpisy z urzędu. Minister Cyfryzacji wpisał automatycznie: dotychczasowych operatorów usług kluczowych (OUK), dostawców usług zaufania, przedsiębiorców telekomunikacyjnych, podmioty publiczne. Po czwarte – okres 7 maja – 3 października 2026 – samorejestracja. To najważniejszy termin dla większości organizacji. Podmioty, które nie zostały wpisane z urzędu, muszą same dokonać wpisu do Wykazu KSC poprzez aplikację wykaz‑ksc.gov.pl. Termin ostateczny to 3 października 2026 roku.  

Co przed nami:

12 czerwca 2026 – pełne uruchomienie systemu S46. System S46 staje się oficjalnym kanałem: raportowania incydentów oraz komunikacji z organami właściwymi. Od tej daty podmioty mogą rozpocząć korzystanie z systemu.

3 kwietnia 2027 – koniec okresu dostosowawczego. Do tego dnia wszystkie podmioty kluczowe i ważne muszą: wdrożyć środki techniczne i organizacyjne, uruchomić SZBI (system zarządzania bezpieczeństwem informacji), wdrożyć procedury reagowania na incydenty, korzystać z systemu S46.

3 kwietnia 2028 – pierwszy obowiązkowy audyt (dla podmiotów kluczowych). Dotyczy podmiotów kluczowych, które wcześniej nie były OUK. To także moment, od którego organy mogą w pełni egzekwować kary finansowe.

Kary finansowe dla Podmiotów Kluczowych mogą wynieść do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu (zawsze wybierana jest kwota wyższa, a dla Podmiotów Ważnych, kary mogą sięgnąć do 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu. Z kolei kary minimalny niezależnie od obrotów mogą sięgać  od 15 000 do 20 000 złotych. Należy jeszcze wspomnieć o osobistej odpowiedzialności kadry zarządzającej. Nowelizacja KSC nakłada obowiązek odbycia szkoleń z cyberbezpieczeństwa na kierowników jednostek. W przypadku rażących zaniedbań zarząd może ponieść konsekwencje osobiste, a nawet finansowe.

 

 

Zadaj nam pytanie!

Zainteresował Cię temat artykułu lub dotyczy Ciebie? Zapraszamy do kontaktu! Zadaj nam pytanie a eksperci Prawa Sportowe: prawnicy, specjaliści w dziedzinie odpowiedniej dla Twojego pytania - odpowiedzą w ciągu 48 godzin! Pierwsza konsultacja jest całkowicie darmowa!

Zadaj nam pytanie

prawo sportowe

cyberbezpieczeństwo

cyberatak

firmy partnerskie

łańcuch dostaw

firma sponsora

sponsor klubu

partner klubu sportowego

Ostatnie wpisy autora

prawosportowe .pl

AUTOR

Portal prawosportowe.pl powstał w 2012 roku i od tego czasu dostarcza czytelnikom wiedzę z zakresu szeroko rozumianego prawa sportowego.

Zadaj pytanie » Artykuły autora »

Inne z kategorii

Zobacz więcej »

Newsletter

Zapisz się do newslettera by być na bieżąco z nowościami na stronie prawosportowe.pl

About

ikonka logo

Portal prawosportowe.pl powstał w 2012 roku i od tego czasu dostarcza czytelnikom wiedzę z zakresu szeroko rozumianego prawa sportowego. Odbiorcami naszych treści są sportowcy amatorzy i profesjonalni, trenerzy, sędziowe, menedżerowie, agenci, działacze organizacji sportowych, sponsorzy. Jesteśmy po to, by pomagać i edukować w sporcie.

Portal od samego początku jest wspierany przez Kancelarię Prawa Sportowego i Gospodarczego DAUERMAN

Kontakt z nami

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Zgodnie z art. 13 ust. 1 i ust. 2 Ogólnego rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informujemy, iż:

Serwis Obsługuje:

logo dauerman

Kontakt:

PrawoSportowe.pl Sp. z o.o.

ul. Powstańców Śląskich

53-332 Wrocław

tel. +48 693 672 258

e-mail: bok@prawosportowe.pl

Na skróty

Zapytaj prawnika » Regulamin serwisu Polityka prywatności
Zamknij formularz pytania

Potrzebujesz pomocy? Skontaktuj się z nami!

Jeśli potrzebujesz pomocy prawnej w Twojej działalności sportowej, napisz do nas korzystając z poniższego formularza.

Pamiętaj – odległość nie stanowi problemu. Działamy całkowicie on-line.

Przedstaw nam swój problem, a my dokonamy wstępnej bezpłatnej analizy prawnej. Następnie przedstawimy, co możemy wspólnie w tej sprawie zrobić oraz zaproponujemy zasady współpracy. Oczywiście za wszelkie usługi otrzymasz fakturę VAT.

Wypełnij formularz

Nie jest wymagany, jednak może ułatwić nam kontakt z Tobą jeśli będzie taka potrzeba.
Serwis używa plików cookie, które są niezbędne do komfortowego korzystania z portalu. Możesz w dowolnej chwili zmodyfikować ustawienia cookie w swojej przeglądarce.
×

Polityka prywatności PrawoSportowe.pl Sp. z o.o.

  1. Zakres obowiązywania
    1. Administratorem Danych Osobowych jest PrawoSportowe.pl Sp. z o.o. z siedzibą we Wrocławiu przy ul. Powstańców Śląskich 9, 53-332 Wrocław, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy pod numerem KRS: 0000384634, e-mail: bok@prawosportowe.pl, tel. +48 693 672 258 (dalej: Administrator, ADO).
    2. Celem niniejszej Polityki Prywatności jest określenie działań podejmowanych przez Administratora w zakresie ochrony danych osobowych przetwarzanych, w tym zbieranych za pośrednictwem strony internetowej http://www.prawosportowe.pl.
    3. Dane osobowe to wszelkie informacje, które mogą Cię identyfikować, na przykład Twoje imię i nazwisko, numer telefonu i adres poczty elektronicznej przekazywane przez Ciebie za pomocą formularzy kontaktowych i formularzy zgłoszeń. Kiedy w poniższym dokumencie odwołujemy się do terminu „przetwarzać” albo „przetwarzanie”, mamy na myśli wszelkie czynności i operacje wykonywane na Twoich danych osobowych (np. ich przechowywanie czy analizowanie na potrzeby świadczenia Ci usługi).
  2. Informacje dotyczące ADO
    1. Kontakt z ADO może się odbywać pocztą tradycyjną na adres siedziby, mailowo lub telefonicznie. Dane kontaktowe wskazane zostały w pkt. 1.1 niniejszej Polityki Prywatności.
  3. Cel, podstawa prawna i zasady przetwarzania danych osobowych
    1. Dane osobowe osób fizycznych korzystających z formularzy kontaktowych i formularzy zgłoszeń (dalej zwanymi: Użytkownikami) przetwarzane są w celu:
      1. zawarcia i wykonywania umów w ramach usług prowadzonych przez ADO (art. 6 ust. 1 lit. b) RODO);
      2. prowadzenia działań marketingu bezpośredniego w formie e-mailowego newslettera, na podstawie udzielonej zgody (art. 6 ust. 1 lit. a) RODO);
      3. udzielenia odpowiedzi na przedstawione zagadnienie, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO);
      4. ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO).
    2. Dane osobowe przetwarzane są przez następujący okres:
      1. w celu zawarcia i wykonywania umowy – przez okres prowadzenia negocjacji oraz trwania umowy, a po jej ustaniu do upływu okresów przedawnienia wszelkich roszczeń z niej wynikających,
      2. w celu prowadzenie działań marketingu bezpośredniego w formie e-mailowego newslettera – do czasu cofnięcia zgody przez Użytkownika,
      3. w celu udzielenia odpowiedzi na przedstawione zagadnienie - do czasu załatwienia sprawy, w której zostały zebrane.
    3. Podanie danych osobowych w celu, o którym mowa w pkt. 3.1 lit. a) jest dobrowolne jednakże jest warunkiem zawarcia umowy. W przypadku niepodania danych możemy odmówić złożenia Tobie oferty i zawarcia umowy.

      Podanie danych osobowych w celu, o którym mowa w pkt. 3.1. lit. b), c) jest dobrowolne. Jeżeli nie podasz danych lub nie wyrazisz zgody nie będziemy mogli w przyszłości informować Cię bezpośrednio o naszej bieżącej ofercie lub udzielić odpowiedzi na przedstawione zagadnienia.
    4. Dane osobowe Użytkowników nie są przekazywane poza teren Polski, Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
    5. Dane osobowe użytkowników mogą być powierzane przez ADO do przetwarzania następującym kategoriom podmiotów: Kancelaria Radcy Prawnego Tomasz Dauerman, portale internetowe z którymi portal prawosportowe.pl współpracuje na podstawie odrębnych umów, firmy księgowe, biura rachunkowe, firmy informatyczne. Dane osobowe mogą być także udostępnione: odpowiednim organom państwowym na ich żądanie na podstawie odpowiednich przepisów prawa.
  4. Prawa osoby, której dane dotyczą
    1. Każdy Użytkownik ma prawo dostępu do treści swoich danych i otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu oraz prawo do przenoszenia danych.
    2. Jeżeli przetwarzanie odbywa się na podstawie zgody, Użytkownik ma prawo cofnąć zgodę na przetwarzanie danych osobowych. Cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
    3. Użytkownik ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy prawa o ochronie danych osobowych.
    4. W przedmiocie realizacji swoich praw oraz cofnięcia zgody można skontaktować się z ADO przy użyciu danych wskazanych w pkt 1.1 niniejszej Polityki Prywatności.
  5. Cookies
    1. Ciasteczka (ang. cookies) to niewielkie pliki, zapisywane i przechowywane na twoim komputerze, tablecie lub smartphonie podczas gdy odwiedzasz różne strony w internecie. Ciasteczko zazwyczaj zawiera nazwę strony internetowej, z której pochodzi, „długość życia” ciasteczka (to znaczy czas jego istnienia), oraz przypadkowo wygenerowany unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną internetową.
    2. W związku z udostępnianiem zawartości serwisu internetowego prawosportowe.pl stosuje się  tzw. cookies, tj. informacje zapisywane przez serwery na urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia końcowego, może także używać innych technologii o funkcjach podobnych lub tożsamych z cookies. Opisane w niniejszym punkcie Polityki Prywatności, informacje dotyczące cookies mają zastosowanie również do innych podobnych technologii stosowanych w ramach naszych serwisów internetowych. Pliki cookies (tzw."ciasteczka") stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika serwisu internetowego prawosportowe.pl. Cookies zazwyczaj zawierają nazwę domeny serwisu internetowego, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
    3. Pliki cookies wykorzystywane są w celu:
      1. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości,
      2. utrzymania sesji użytkownika serwisu internetowego (po zalogowaniu), dzięki której użytkownik nie musi na każdej podstronie serwisu ponownie wpisywać loginu i hasła"
    4. W ramach serwisu internetowego prawosportowe.pl możemy stosować następujące rodzaje plików cookies:
      1. "niezbędne" pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach serwisu internetowego, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach serwisu,
      2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach serwisu,
      3. pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych serwisu.
    5. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy prawosportowe.pl serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika serwisu internetowego. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.
    6. Wyłączenie stosowania cookies może spowodować utrudnienia korzystanie z niektórych usług w ramach naszych serwisów internetowych, w szczególności wymagających logowania. Wyłączenie opcji przyjmowania cookies nie powoduje natomiast braku możliwości czytania lub oglądania treści zamieszczanych w serwisie internetowym prawosportowe.pl z zastrzeżeniem tych, do których dostęp wymaga logowania. Poniżej informacja jak wyłączyć pliki cookie w przeglądarce:
      Jak wyłączyć pliki cookie w przeglądarce ?
  6. Postanowienia końcowe
    1. ADO dokłada wszelkich starań, aby zapewnić wszelkie środki fizyczne, techniczne i organizacyjne ochrony danych osobowych przed ich przypadkowym czy umyślnym zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem, wykorzystaniem czy dostępem, zgodnie ze wszystkimi obowiązującymi przepisami.
    2. ADO zastrzega sobie prawo do zmiany treści niniejszej Polityki Prywatności.
Akceptuję