To nie żart! Początek kwietnia 2026 r. przynosi firmom dwie ważne zmiany regulacyjne. Na pierwszy rzut oka dotyczą różnych obszarów działalności, ale z perspektywy małych i średnich operatorów telekomunikacyjnych prowadzą do jednego wniosku. Rosną koszty dostosowania się do przepisów.
Od 1 kwietnia obowiązek korzystania z Krajowego Systemu e-Faktur obejmuje kolejną dużą grupę przedsiębiorców. Dwa dni później w życie wchodzi nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca dyrektywę NIS2. W obu przypadkach to przedsiębiorca odpowiada za wdrożenie zmian.
KSeF zmienia sposób pracy z fakturami. Czy na lepsze?
W przypadku KSeF harmonogram jest już znany. Po objęciu największych firm od 1 lutego 2026 r. od 1 kwietnia system obejmuje pozostałych przedsiębiorców. Wyjątek dotyczy tych, których miesięczna sprzedaż dokumentowana fakturami nie przekracza 10 tys. zł brutto. Oni mogą odroczyć obowiązek do 1 stycznia 2027 r. W praktyce ważne jest jednak coś innego. Jeśli firma przekroczy próg 10 tys. zł, musi przejść na KSeF od momentu przekroczenia limitu i nie wraca już do wcześniejszych zasad. Dla wielu najmniejszych firm kluczowe pytanie brzmi więc nie czy, ale kiedy dokładnie wejdą do systemu.
Ministerstwo Finansów przekonuje, że KSeF jest gotowy na większe obciążenie. Do 30 marca wystawiono w nim ponad 87 mln faktur, a korzystało z niego ponad 345 tys. podmiotów. Rekord dobowy przekroczył 3 mln dokumentów. Z punktu widzenia firm nie rozwiązuje to jednak wszystkich problemów. W codziennej pracy liczy się nie tylko wydajność. Równie ważna jest stabilność logowania, jakość integracji z systemami księgowymi i to, czy proces wystawienia i odbioru faktury działa bez zakłóceń. W modelu scentralizowanym każda usterka techniczna szybko przekłada się na realne problemy operacyjne.
KSeF zmienia też sposób funkcjonowania dokumentów. Data wprowadzenia faktury do systemu staje się datą jej wystawienia. Dokument uznaje się za doręczony w momencie nadania mu numeru przez system. Nie można go po prostu usunąć. Każda zmiana wymaga wystawienia korekty. W praktyce oznacza to konieczność uporządkowania procesów. Dotyczy to nadawania uprawnień, obiegu dokumentów, współpracy z biurem rachunkowym i integracji z oprogramowaniem. KSeF przestaje być tylko narzędziem podatkowym i staje się elementem codziennego zarządzania firmą.
Gdy cyberbezpieczeństwo staje się obowiązkiem
3 kwietnia wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa została ogłoszona 2 marca i zaczyna obowiązywać miesiąc później. Prezydent podpisał ją wcześniej i skierował do kontroli następczej w Trybunale Konstytucyjnym, ale nie wstrzymało to wejścia przepisów w życie. Od tego momentu cyberbezpieczeństwo przestaje być tematem do przygotowania. Staje się obowiązkiem prawnym z konkretnymi terminami.
Dla branży telekomunikacyjnej to zmiana fundamentalna. Ustawa wprowadza podział na podmioty kluczowe i ważne. Przedsiębiorcy komunikacji elektronicznej trafiają do systemu niezależnie od skali działalności. Więksi operatorzy są traktowani jako podmioty kluczowe, mniejsi jako podmioty ważne. W praktyce oznacza to jedno. Wielkość firmy nie zwalnia z obowiązków.
Nowe przepisy wprowadzają konkretne ramy czasowe. Firmy mają rok na wdrożenie podstawowych obowiązków. Podmioty kluczowe mają dwa lata na pierwszy audyt. Większość kar zacznie obowiązywać po dwóch latach. Część obowiązków trzeba jednak realizować od razu. Operatorzy objęci wcześniejszymi przepisami mają sześć miesięcy na dostosowanie systemu zgłaszania incydentów. Oznacza to, że działania trzeba rozpocząć natychmiast.
Ustawa wymaga uporządkowania całego podejścia do bezpieczeństwa informacji. Chodzi nie tylko o systemy IT, ale o sposób działania organizacji. Konieczne jest przygotowanie i wdrożenie dokumentów takich jak polityki, procedury i instrukcje. Obejmują one m.in. zarządzanie incydentami, kontrolę dostępu, ciągłość działania, bezpieczeństwo dostawców oraz szkolenia pracowników. Do tego dochodzi obowiązek prowadzenia dokumentacji operacyjnej. Są to rejestry, logi i raporty, które potwierdzają, że procedury faktycznie działają.
Istotne jest także to, że ustawa mówi o systemie informacyjnym, a nie tylko informatycznym. Obejmuje on ludzi, dane, procesy i narzędzia. W praktyce oznacza to, że bezpieczeństwo nie kończy się na sprzęcie i oprogramowaniu. Liczy się również sposób pracy organizacji, dostęp do danych i reakcja na incydenty. Dla wielu mniejszych operatorów będzie to oznaczać konieczność uporządkowania działań, które dotąd funkcjonowały mniej formalnie.
Dwie zmiany, mnóstwo obowiązków
Nowe przepisy dotyczą także dostawców wysokiego ryzyka. Jeśli minister cyfryzacji wyda odpowiednią decyzję, firmy nie będą mogły korzystać z określonych produktów lub usług. W praktyce oznacza to konieczność ich wycofania w określonym czasie. W przypadku funkcji krytycznych maksymalnie w ciągu czterech lat. Koszty ponosi przedsiębiorca. Dla operatorów to szczególnie istotne, ponieważ infrastruktura sieciowa jest inwestycją długoterminową, a jej wymiana wpływa na koszty i ciągłość usług.
Ustawa przewiduje również wysokie kary. W standardowych przypadkach sięgają one milionów euro. Najpoważniejsza sankcja może wynieść do 100 mln zł. Dotyczy sytuacji, w których naruszenie przepisów prowadzi do poważnego zagrożenia dla bezpieczeństwa państwa, ludzi lub ciągłości usług. Pokazuje to wyraźnie, że cyberbezpieczeństwo jest traktowane jako element bezpieczeństwa publicznego.
Dla małych i średnich firm największym wyzwaniem może być nie sam zakres obowiązków, ale ich kumulacja. KSeF wymaga natychmiastowego uporządkowania procesów finansowych. KSC wymaga zaplanowania i wdrożenia zmian w obszarze bezpieczeństwa informacji. W obu przypadkach kluczowe jest uporządkowanie procesów, jasny podział odpowiedzialności i przygotowanie firmy do działania w warunkach stałej zgodności z przepisami.
Z perspektywy MiŚOT początek kwietnia 2026 r. to moment przełomowy. Kończy się etap odkładania zmian na później. KSeF pokazuje, że państwo konsekwentnie cyfryzuje obieg dokumentów. KSC pokazuje, że równie konsekwentnie podchodzi do cyberbezpieczeństwa. Dla operatorów oznacza to konieczność równoczesnego zarządzania finansami, technologią i ryzykiem. Nie w teorii, ale w praktyce od 1 i 3 kwietnia.
Czytaj także:
