FAQ: Reglyze i UKSC

Często zadawane pytania

Osiem rzeczowych odpowiedzi o Reglyze i zgodności z Krajowym Systemem Cyberbezpieczeństwa (UKSC, Dz.U. 2026 poz. 252) w Polsce. To pytania, które najczęściej słyszymy w rozmowach z podmiotami kluczowymi, podmiotami ważnymi, dostawcami usług MSP oraz administracją publiczną.

Najpierw uczciwie. Reglyze NIE jest polskim dostawcą. To europejska platforma SaaS stworzona we Francji i hostowana w Niemczech. Wolimy powiedzieć to od razu, niż obiecywać polskie pochodzenie, które nie odpowiada rzeczywistości. Cała infrastruktura działa zgodnie z RODO, a żadne dane nie opuszczają Unii Europejskiej. Pełne szczegóły techniczne i umowa powierzenia tutaj.

8 rzeczowych odpowiedzi

Kto podlega Krajowemu Systemowi Cyberbezpieczeństwa?

Obowiązki dotyczą organizacji sklasyfikowanych jako podmiot kluczowy lub podmiot ważny. O przypisaniu decyduje połączenie sektora działalności oraz wielkości organizacji (liczba pracowników i roczny obrót). Wykaz sektorów obejmuje między innymi energię, transport, ochronę zdrowia, zaopatrzenie w wodę, infrastrukturę cyfrową oraz administrację publiczną. Jeśli nie masz pewności, bezpłatna diagnoza ustala Twoją kategorię w kilka minut.

Od kiedy obowiązują przepisy i jakie są terminy?

Podstawą jest ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) w brzmieniu nadanym nowelizacją (Dz.U. 2026 poz. 252), obowiązująca od 3 kwietnia 2026 r. Podmiot kluczowy i podmiot ważny mają obowiązek zgłosić się do organu właściwego oraz wdrożyć system zarządzania bezpieczeństwem informacji zgodnie z art. 8 ust. 1 UKSC. Szczegółowe wymagania techniczne doprecyzuje rozporządzenie wykonawcze.

Jak zgłosić poważny incydent?

Poważny incydent zgłasza się do właściwego CSIRT przez portal incydent.cert.pl. Dla sektora prywatnego i ogólnego właściwy jest CSIRT NASK, dla administracji rządowej CSIRT GOV, a dla obszaru wojskowego CSIRT MON. Obowiązują trzy terminy: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca. Reglyze przygotowuje treść zgłoszenia, ale to operator składa je w portalu CSIRT.

Jakie kary grożą za brak zgodności?

UKSC przewiduje kary administracyjne nakładane przez organ właściwy na podmioty, które nie wypełniają obowiązków, na przykład nie wdrażają wymaganych środków bezpieczeństwa albo nie zgłaszają poważnych incydentów w terminie. Kary mogą być wysokie i obejmować zarówno organizację, jak i osoby zarządzające. Najlepszą ochroną jest udokumentowany, aktualny system zarządzania bezpieczeństwem informacji. Reglyze pomaga taki system zbudować i utrzymać dowody zgodności gotowe do kontroli.

Jaką rolę pełni Minister Cyfryzacji?

Minister Cyfryzacji jest organem właściwym dla krajowego systemu cyberbezpieczeństwa: prowadzi nadzór, przyjmuje zgłoszenia podmiotów i może nakładać kary. Warstwę metodyczną stanowią Narodowe Standardy Cyberbezpieczeństwa (NSC) opracowane przy KPRM i oparte na podejściu NIST. Szczegółowe wymagania techniczne zostaną określone w rozporządzeniu wykonawczym. Reglyze odwzorowuje te warstwy w jednym panelu, więc widzisz wymagania w języku polskiej regulacji.

Jak Reglyze pomaga spełnić wymagania UKSC?

Reglyze prowadzi przez system zarządzania bezpieczeństwem informacji wymagany w art. 8 ust. 1 UKSC, uporządkowany w pięć obszarów: zarządzanie ryzykiem, środki techniczne i organizacyjne, informacje o cyberzagrożeniach, zarządzanie incydentami oraz zapobieganie i ograniczanie wpływu incydentów. Asystent oparty na sztucznej inteligencji prowadzi ocenę, generuje dokumentację i polityki, pilnuje terminów incydentów i utrzymuje dowody gotowe do kontroli.

Czy Reglyze to polski dostawca?

Nie. Reglyze to europejska platforma SaaS stworzona we Francji, z infrastrukturą produkcyjną w Niemczech (Hetzner, Falkenstein). Wolimy powiedzieć to wprost, niż obiecywać polskie pochodzenie, które nie odpowiada rzeczywistości, i po cichu tej obietnicy nie dotrzymać. Cała infrastruktura działa zgodnie z RODO, a dane pozostają w Unii Europejskiej. Ponieważ Polska i Niemcy stosują to samo Rozporządzenie (UE) 2016/679 (RODO), nie ma transferów poza UE. Szczegóły techniczne i umowa powierzenia w sekcji bezpieczeństwo i hosting.

Co zmienia się w praktyce dla mojej organizacji?

W praktyce organizacja musi zgłosić się do organu właściwego, wdrożyć i udokumentować system zarządzania bezpieczeństwem informacji w pięciu obszarach, wyznaczyć osobę odpowiedzialną, ustanowić proces obsługi i zgłaszania poważnych incydentów do właściwego CSIRT oraz objąć nadzorem dostawców i łańcuch dostaw. Reglyze zamienia te wymagania w listę konkretnych kroków z dowodami, zamiast pozostawiać je w formie tekstu prawnego.

Masz inne pytanie? Zacznij od diagnozy

W 2 minuty ustalimy, czy podlegasz UKSC, i dopasujemy rozmowę do Twoich realnych wątpliwości. Bez karty płatniczej i bez danych wychodzących poza Unię Europejską.