Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa obowiązuje od 3 kwietnia 2026 roku. Oto co musisz wiedzieć i jakie kroki podjąć, zanim nadejdą kary.
Dyrektywa NIS2 (Network and Information Security Directive 2) to jedno z największych wyzwań regulacyjnych w obszarze cyberbezpieczeństwa od ostatnich lat. W Polsce jej zapisy weszły w życie przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC). Ustawa została opublikowana w Dzienniku Ustaw 2 marca 2026 roku i obowiązuje od 3 kwietnia 2026 roku.
Jeśli Twoja firma działa w jednym z 18 sektorów objętych regulacją lub jest dostawcą usług dla firm, które w nim działają, ten artykuł jest właśnie dla Ciebie. Wyjaśnimy czym jest NIS2, kogo dotyczy, jakie nakłada obowiązki oraz jakie grożą kary za ich zignorowanie.
Czym jest NIS2 i dlaczego teraz?
NIS2 to unijna dyrektywa z 2022 roku, która zastępuje poprzednią dyrektywę NIS z 2016 roku. Jej celem jest podniesienie minimalnego poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich UE – szczególnie w sektorach uznanych za krytyczne dla funkcjonowania państwa i gospodarki.
Skala zmiany jest ogromna. Dotychczasowe polskie przepisy (sprzed nowelizacji) obejmowały zaledwie około 400 operatorów usług kluczowych. Po nowelizacji regulacja obejmuje ponad 42 000 podmiotów w Polsce. To fundamentalna zmiana podejścia do cyberbezpieczeństwa, z wyjątku staje się ono standardem.
Kogo dotyczy NIS2?
Dyrektywa obejmuje podmioty z 18 sektorów gospodarki. Podzielone są one na dwie kategorie:
Podmioty kluczowe (Essential)
Przede wszystkim duże firmy (powyżej 250 pracowników lub obrót powyżej 50 mln EUR) z sektorów o najwyższym stopniu krytyczności. Sektory: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna.
Podmioty ważne (Important)
Najczęściej średnie firmy (50–250 pracowników, obrót 10–50 mln EUR) z sektorów o wyższym ryzyku. Sektory: usługi pocztowe, gospodarka odpadami, produkcja chemiczna, spożywcza, wyroby medyczne, motoryzacja, dostawcy usług cyfrowych (platformy, wyszukiwarki, chmura).
Uwaga: nawet jeśli Twoja firma formalnie nie należy do żadnego z powyższych sektorów, możesz zostać objęty regulacją pośrednio. Podmioty kluczowe i ważne są bowiem zobowiązane do weryfikacji poziomu cyberbezpieczeństwa swoich dostawców i podwykonawców. Oznacza to, że firmy IT świadczące usługi dla sektorów objętych NIS2 będą musiały spełniać analogiczne wymagania wobec swoich klientów.
Harmonogram wdrożenia – kluczowe daty
Ustawa weszła w życie 3 kwietnia 2026 roku, ale przewiduje etapowy harmonogram obowiązków:
| Termin | Co musisz zrobić |
|---|---|
| 3 kwietnia 2026 | Ustawa o KSC wchodzi w życie (vacatio legis zakończone) |
| 3 października 2026 | Ostateczny termin rejestracji w wykazie podmiotów kluczowych i ważnych |
| 3 kwietnia 2027 | Termin wdrożenia środków zarządzania ryzykiem i uruchomienia systemu S46 |
| 3 kwietnia 2028 | Pierwszy audyt dla podmiotów kluczowych; od tej daty możliwe kary pieniężne |
Kary finansowe nie będą nakładane przez pierwsze dwa lata od wejścia ustawy w życie (do kwietnia 2028 roku). To czas na wdrożenie – ale nie na czekanie.
Jakie obowiązki nakłada NIS2?
Wymagania NIS2 mają charakter systemowy – nie ma jednej listy kontrolnej. Każda organizacja musi samodzielnie ocenić swoje ryzyko i dobrać adekwatne środki. Do kluczowych obszarów należą:
1. Zarządzanie ryzykiem
Firmy muszą wdrożyć systematyczny, udokumentowany proces analizy ryzyka. Obejmuje on identyfikację aktywów, zagrożeń i podatności, ocenę prawdopodobieństwa i skutków incydentów, a także wybór odpowiednich środków zaradczych. Proces musi być ciągły – nie wystarczy jednorazowy audyt.
2. Polityka bezpieczeństwa informacji
Konieczne jest opracowanie i zatwierdzenie przez zarząd formalnej polityki bezpieczeństwa informacji. Dokument powinien określać cele, zasady i zakres działań ochronnych w całej organizacji.
3. Reagowanie na incydenty
NIS2 wprowadza rygorystyczne terminy zgłaszania poważnych incydentów:
● Wstępne powiadomienie: 24 godziny od wykrycia incydentu
● Pełne zgłoszenie: 72 godziny od wykrycia
● Raport końcowy: 1 miesiąc po zamknięciu incydentu
Brak zgłoszenia w terminie to podstawa do nałożenia kary. Procedury reagowania muszą być opracowane i przetestowane z wyprzedzeniem.
4. Bezpieczeństwo łańcucha dostaw
To jeden z kluczowych nowych elementów NIS2 w porównaniu z poprzednią dyrektywą. Firmy muszą weryfikować poziom cyberbezpieczeństwa swoich dostawców i podwykonawców, uwzględniać wymagania bezpieczeństwa w umowach oraz monitorować ryzyko ze strony partnerów biznesowych.
5. Ciągłość działania
Organizacje są zobowiązane do opracowania i testowania planów ciągłości działania (BCP) oraz odtwarzania po awarii (DR). Oznacza to regularne kopie zapasowe, procedury przywracania systemów i testy scenariuszy awarii.
6. Odpowiedzialność zarządu
NIS2 wprowadza osobistą odpowiedzialność kadry zarządzającej za obszar cyberbezpieczeństwa. Zarząd musi zatwierdzić i nadzorować środki zarządzania ryzykiem oraz przejść szkolenia z zakresu cyberbezpieczeństwa.
7. Szkolenie pracowników
Regularne szkolenia z cyberhigieny i procedur bezpieczeństwa obejmują wszystkich pracowników, nie tylko dział IT. Każdy pracownik powinien znać procedury reagowania na incydenty i swoje obowiązki w tym zakresie.
Jakie kary grożą za brak zgodności?
| Typ podmiotu | Maksymalna kara | Odpowiedzialność zarządu |
|---|---|---|
| Podmiot kluczowy | do 10 mln EUR lub 2% rocznego obrotu | Osobista odpowiedzialność zarządu do 600% wynagrodzenia |
| Podmiot ważny | do 7 mln EUR lub 1,4% rocznego obrotu | Osobista odpowiedzialność zarządu do 300% wynagrodzenia |
Warto podkreślić, że kary mogą być nakładane dopiero od kwietnia 2028 roku (24 miesiące po wejściu ustawy w życie). Jednak czas potrzebny na rzetelne wdrożenie wszystkich wymagań jest znacznie dłuższy niż rok – dlatego przygotowania warto zacząć jak najszybciej.
Jak się przygotować? Praktyczne kroki
Poniżej przedstawiamy plan działania, który pozwoli Twojej firmie wdrożyć wymagania NIS2 w sposób zorganizowany i bez zbędnego chaosu:
- Ustal swój status – czy jesteś podmiotem kluczowym, ważnym czy pośrednio objętym regulacją przez łańcuch dostaw. Każda firma musi dokonać tej oceny samodzielnie
- Przeprowadź analizę luk (GAP analysis) – porównaj obecny stan bezpieczeństwa z wymaganiami NIS2, aby zidentyfikować obszary wymagające poprawy.
- Opracuj politykę bezpieczeństwa informacji – zatwierdzoną przez zarząd, dostosowaną do specyfiki Twojej organizacji.
- Wdróż system zarządzania ryzykiem – udokumentowany, cykliczny proces identyfikacji i mitygacji zagrożeń.
- Przygotuj procedury reagowania na incydenty – z jasno określonymi rolami i terminami zgłaszania.
- Zabezpiecz łańcuch dostaw – zweryfikuj swoich dostawców i uwzględnij wymagania bezpieczeństwa w umowach.
- Zaplanuj szkolenia – zarząd i wszyscy pracownicy muszą znać swoje obowiązki w obszarze cyberbezpieczeństwa.
- Złóż wniosek o wpis do rejestru – najpóźniej do 3 października 2026 roku.
Podsumowując, nie czekaj na ostatnią chwilę
NIS2 to systemowa zmiana podejścia do cyberbezpieczeństwa, która ma realnie wzmocnić odporność polskich firm na zagrożenia cyfrowe. Firmy, które podejdą do wdrożenia poważnie i z wyprzedzeniem, nie tylko unikną kar, ale też realnie poprawią swoje bezpieczeństwo i wiarygodność w oczach kontrahentów.
Wdrożenia wymagań NIS2 wymaga połączenia kompetencji technicznych, organizacyjnych i prawnych. Dla wielu firm – szczególnie tych bez własnego działu IT lub CISO – najefektywniejszym rozwiązaniem jest współpraca z zewnętrznym partnerem IT, który przeprowadzi cię przez cały proces: od analizy luk, przez wdrożenie zabezpieczeń, po przygotowaniu dokumentacji.
Potrzebujesz wsparcia przy wdrożeniu NIS2?
Specjalizujemy się w audytach bezpieczeństwa, wdrożeniach infrastruktury IT i doradztwie w zakresie zgodności z NIS2. Skontaktuj się z nami – pierwsza konsultacja jest bezpłatna.
FAQ – najczęściej zadawane pytania
Czy NIS2 dotyczy małych firm?
Co do zasady – nie bezpośrednio. NIS2 obejmuje głównie średnie i duże przedsiębiorstwa (powyżej 50 pracowników lub obrót powyżej 10 mln EUR). Jednak małe firmy, które są podwykonawcami lub dostawcami podmiotów kluczowych i ważnych, mogą być pośrednio zobowiązane do spełnienia podobnych wymagań na podstawie umów z klientami.
Co grozi firmie, która nie zarejestruje się w wykazie?
Brak wpisu do rejestru podmiotów kluczowych lub ważnych może skutkować karą administracyjną. Termin rejestracji upływa 3 października 2026 roku – sześć miesięcy po wejściu ustawy w życie.
Czy posiadanie certyfikatu ISO 27001 wystarczy do zgodności z NIS2?
ISO 27001 stanowi solidny fundament, ale nie gwarantuje automatycznej zgodności z NIS2. Dyrektywa wprowadza dodatkowe wymagania – w szczególności w zakresie raportowania incydentów (terminy 24h/72h), bezpieczeństwa łańcucha dostaw oraz osobistej odpowiedzialności zarządu – których certyfikat ISO nie pokrywa w pełni.
Od kiedy można nakładać kary?
Kary finansowe mogą być nakładane dopiero po upływie 24 miesięcy od wejścia ustawy w życie, czyli najwcześniej od kwietnia 2028 roku. Nie oznacza to jednak, że można zwlekać z wdrożeniem – przeprowadzenie rzetelnej analizy, opracowanie dokumentacji i wdrożenie środków technicznych zajmuje zwykle od 6 do 18 miesięcy.
Kto odpowiada za cyberbezpieczeństwo w firmie po wdrożeniu NIS2?
NIS2 nakłada osobistą odpowiedzialność na kadrę zarządzającą. Zarząd musi zatwierdzać środki zarządzania ryzykiem i aktywnie nadzorować obszar cyberbezpieczeństwa. W praktyce firmy często wyznaczają osobę odpowiedzialną za bezpieczeństwo informacji (CISO) lub korzystają z usługi vCISO – wirtualnego dyrektora ds. bezpieczeństwa w modelu outsourcingowym.