Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa obowiązuje od 3 kwietnia 2026 roku. Dyrektywa NIS2 to jedno z największych wyzwań regulacyjnych w cyberbezpieczeństwie od lat. Jeśli Twoja firma działa w jednym z 18 objętych sektorów albo jest dostawcą dla firm, które w nim działają, ten artykuł jest właśnie dla Ciebie. Wyjaśniamy, czym jest NIS2, kogo dotyczy, jakie nakłada obowiązki i jakie są terminy, zanim nadejdą kary.
NIS2 (Network and Information Security Directive 2) to unijna dyrektywa z 2022 roku, która zastępuje poprzednią dyrektywę NIS z 2016 roku. Jej celem jest podniesienie minimalnego poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich UE, szczególnie w sektorach uznanych za krytyczne dla funkcjonowania państwa i gospodarki. W Polsce jej zapisy weszły w życie przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), opublikowaną w Dzienniku Ustaw 2 marca 2026 roku i obowiązującą od 3 kwietnia 2026 roku.
Skala zmiany jest ogromna. Dotychczasowe przepisy obejmowały zaledwie około 400 operatorów usług kluczowych. Po nowelizacji regulacja obejmuje ponad 42 000 podmiotów w Polsce. To fundamentalna zmiana podejścia: z wyjątku cyberbezpieczeństwo staje się standardem. Tę zmianę szczególnie odczują firmy z branż, które obsługujemy, na przykład sektor przemysłowy.
Dyrektywa obejmuje podmioty z 18 sektorów gospodarki, podzielone na dwie kategorie.
To przede wszystkim duże firmy (powyżej 250 pracowników lub obrót powyżej 50 mln EUR) z sektorów o najwyższym stopniu krytyczności: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna i przestrzeń kosmiczna.
To najczęściej średnie firmy (50–250 pracowników, obrót 10–50 mln EUR) z sektorów o wyższym ryzyku: usługi pocztowe, gospodarka odpadami, produkcja chemiczna, spożywcza, wyroby medyczne, motoryzacja oraz dostawcy usług cyfrowych (platformy, wyszukiwarki, chmura).
Uwaga: nawet jeśli Twoja firma formalnie nie należy do żadnego z tych sektorów, możesz zostać objęty regulacją pośrednio. Podmioty kluczowe i ważne są bowiem zobowiązane do weryfikacji poziomu cyberbezpieczeństwa swoich dostawców i podwykonawców. Oznacza to, że firmy IT świadczące usługi dla sektorów objętych NIS2 będą musiały spełniać analogiczne wymagania wobec swoich klientów. Więcej o dopasowaniu zabezpieczeń do sektora piszemy na stronie branże, które obsługujemy.
Ustawa weszła w życie 3 kwietnia 2026 roku, ale przewiduje etapowy harmonogram obowiązków. Najważniejsze terminy to wpis do rejestru podmiotów kluczowych i ważnych najpóźniej do 3 października 2026 roku oraz okno na wdrożenie zabezpieczeń. Kary finansowe nie będą nakładane przez pierwsze dwa lata od wejścia ustawy w życie, czyli do kwietnia 2028 roku. To czas na wdrożenie, ale nie na czekanie.
Wymagania NIS2 mają charakter systemowy: nie ma jednej listy kontrolnej. Każda organizacja musi samodzielnie ocenić swoje ryzyko i dobrać adekwatne środki. Do kluczowych obszarów należą:
Firmy muszą wdrożyć systematyczny, udokumentowany proces analizy ryzyka: identyfikację aktywów, zagrożeń i podatności, ocenę prawdopodobieństwa i skutków incydentów oraz wybór środków zaradczych. Proces musi być ciągły, jednorazowy audyt nie wystarczy.
Konieczne jest opracowanie i zatwierdzenie przez zarząd formalnej polityki bezpieczeństwa informacji. Dokument powinien określać cele, zasady i zakres działań ochronnych w całej organizacji.
NIS2 wprowadza rygorystyczne terminy zgłaszania poważnych incydentów: wstępne powiadomienie w 24 godziny od wykrycia, pełne zgłoszenie w 72 godziny, a raport końcowy w miesiąc po zamknięciu incydentu. Brak zgłoszenia w terminie to podstawa do nałożenia kary. Procedury reagowania muszą być opracowane i przetestowane z wyprzedzeniem.
To jeden z kluczowych nowych elementów NIS2. Firmy muszą weryfikować poziom cyberbezpieczeństwa swoich dostawców i podwykonawców, uwzględniać wymagania bezpieczeństwa w umowach oraz monitorować ryzyko ze strony partnerów biznesowych.
Organizacje są zobowiązane do opracowania i testowania planów ciągłości działania (BCP) oraz odtwarzania po awarii (DR). Oznacza to regularne kopie zapasowe, procedury przywracania systemów i testy scenariuszy awarii.
NIS2 wprowadza osobistą odpowiedzialność kadry zarządzającej za obszar cyberbezpieczeństwa. Zarząd musi zatwierdzić i nadzorować środki zarządzania ryzykiem oraz przejść szkolenia z zakresu cyberbezpieczeństwa.
Regularne szkolenia z cyberhigieny i procedur bezpieczeństwa obejmują wszystkich pracowników, nie tylko dział IT. Każdy powinien znać procedury reagowania na incydenty i swoje obowiązki.
Kary mogą być nakładane dopiero od kwietnia 2028 roku, czyli 24 miesiące po wejściu ustawy w życie. Nie oznacza to jednak, że można zwlekać. Czas potrzebny na rzetelne wdrożenie wszystkich wymagań jest znacznie dłuższy niż rok, dlatego przygotowania warto zacząć jak najszybciej.
Poniżej plan działania, który pozwoli wdrożyć wymagania NIS2 w sposób zorganizowany, bez zbędnego chaosu:
W praktyce technicznej wdrożenie zaczynamy od audytu i uporządkowania infrastruktury. Jak to wygląda w naszej usłudze, opisujemy na stronie outsourcing IT dla firm. Aktualne komunikaty o zagrożeniach i obowiązkach znajdziesz też u CERT Polska oraz na stronie programu Ministerstwa Cyfryzacji.
NIS2 to systemowa zmiana podejścia do cyberbezpieczeństwa, która ma realnie wzmocnić odporność polskich firm na zagrożenia cyfrowe. Firmy, które podejdą do wdrożenia poważnie i z wyprzedzeniem, nie tylko unikną kar, ale też poprawią swoje bezpieczeństwo i wiarygodność w oczach kontrahentów.
Wdrożenie NIS2 wymaga połączenia kompetencji technicznych, organizacyjnych i prawnych. Dla wielu firm, szczególnie tych bez własnego działu IT, najefektywniejszym rozwiązaniem jest współpraca z zewnętrznym partnerem IT, który przeprowadzi Cię przez cały proces: od analizy luk, przez wdrożenie zabezpieczeń, po przygotowanie dokumentacji. Specjalizujemy się w audytach bezpieczeństwa, wdrożeniach infrastruktury i doradztwie w zakresie zgodności z NIS2. Pierwsza konsultacja jest bezpłatna.
Co do zasady nie bezpośrednio. NIS2 obejmuje głównie średnie i duże przedsiębiorstwa (powyżej 50 pracowników lub obrót powyżej 10 mln EUR). Jednak małe firmy, które są podwykonawcami lub dostawcami podmiotów kluczowych i ważnych, mogą być pośrednio zobowiązane do spełnienia podobnych wymagań na podstawie umów z klientami.
Brak wpisu do rejestru podmiotów kluczowych lub ważnych może skutkować karą administracyjną. Termin rejestracji upływa 3 października 2026 roku, sześć miesięcy po wejściu ustawy w życie.
ISO 27001 stanowi solidny fundament, ale nie gwarantuje automatycznej zgodności z NIS2. Dyrektywa wprowadza dodatkowe wymagania, w szczególności w zakresie raportowania incydentów (terminy 24 h / 72 h), bezpieczeństwa łańcucha dostaw oraz osobistej odpowiedzialności zarządu, których certyfikat nie pokrywa w pełni.
Kary finansowe mogą być nakładane dopiero po upływie 24 miesięcy od wejścia ustawy w życie, czyli najwcześniej od kwietnia 2028 roku. Nie oznacza to jednak, że można zwlekać. Rzetelna analiza, dokumentacja i wdrożenie środków technicznych zajmują zwykle od 6 do 18 miesięcy.
NIS2 nakłada osobistą odpowiedzialność na kadrę zarządzającą. Zarząd musi zatwierdzać środki zarządzania ryzykiem i aktywnie nadzorować obszar cyberbezpieczeństwa. W praktyce firmy często wyznaczają osobę odpowiedzialną za bezpieczeństwo informacji (CISO) lub korzystają z usługi vCISO, czyli wirtualnego dyrektora ds. bezpieczeństwa w modelu outsourcingowym.
Przeprowadzimy Cię przez cały proces: od analizy luk, przez wdrożenie zabezpieczeń, po dokumentację. Pierwsza konsultacja jest bezpłatna, bez zobowiązań.