Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252) implementuje dyrektywę NIS2 i wchodzi w życie 3 kwietnia 2026 r. Jeśli Twoja firma działa w jednym z 18 sektorów gospodarki i zatrudnia co najmniej 50 osób lub osiąga 10 mln EUR obrotu — prawdopodobnie musisz wdrożyć system zarządzania bezpieczeństwem informacji, zgłaszać incydenty i przeszkolić zarząd. Ten artykuł wyjaśnia, co, kiedy i dlaczego.
Kluczowy termin: 3 października 2026 — to termin na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych w systemie S46. Samoweryfikacja pod kątem NIS2 powinna rozpocząć się już teraz.
Harmonogram wdrażania — kluczowe daty
Nowelizacja ustawy o KSC nie wymaga spełnienia wszystkich obowiązków od razu. Ministerstwo Cyfryzacji opublikowało oficjalny harmonogram wdrażania:
- 3 marca 2026 — Ogłoszenie ustawy w Dzienniku Ustaw (Dz.U. 2026 poz. 252)
- 3 kwietnia 2026 — Wejście w życie nowelizacji. Dotychczasowi operatorzy usług kluczowych stają się z mocy prawa podmiotami kluczowymi
- 3 maja 2026 — Minister Cyfryzacji uruchamia elektroniczny wykaz podmiotów kluczowych i ważnych (system S46)
- 3 października 2026 — Termin na złożenie wniosku o wpis do wykazu (6 miesięcy od wejścia w życie)
- 3 kwietnia 2027 — Termin na pełne wdrożenie obowiązków — SZBI, procedury incydentowe, szkolenia, dokumentacja (12 miesięcy od wejścia w życie)
- 3 kwietnia 2028 — Pierwszy obowiązkowy audyt cyberbezpieczeństwa (podmioty kluczowe, 24 mies.); koniec 2-letniego okresu ochronnego — organ nadzoru może nakładać kary
Kogo dotyczy NIS2 w Polsce?
Nowelizacja zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych nową klasyfikacją: podmioty kluczowe i podmioty ważne. Kwalifikacja opiera się na dwóch kryteriach: sektorze działalności oraz wielkości przedsiębiorstwa.
Kryterium sektorowe — 18 sektorów w dwóch załącznikach
Ustawa dzieli sektory na dwie grupy. Załącznik nr 1 obejmuje sektory kluczowe (wyższy poziom krytyczności), Załącznik nr 2 — sektory ważne.
| Załącznik | Sektory |
|---|---|
| Załącznik nr 1 (sektory kluczowe) |
Energetyka · Transport · Bankowość · Infrastruktura rynków finansowych · Ochrona zdrowia · Woda pitna · Ścieki · Infrastruktura cyfrowa · Zarządzanie usługami ICT (B2B) · Administracja publiczna · Przestrzeń kosmiczna |
| Załącznik nr 2 (sektory ważne) |
Usługi pocztowe i kurierskie · Gospodarowanie odpadami · Produkcja/dystrybucja chemikaliów · Produkcja/dystrybucja żywności · Produkcja wyrobów (medyczne, elektronika, maszyny, pojazdy) · Dostawcy usług cyfrowych (marketplace, wyszukiwarki, social media) · Badania naukowe |
Kryterium wielkościowe — zasada size-cap
Sama przynależność sektorowa nie wystarczy. Podmiot musi przekraczać progi wielkości określone w rozporządzeniu 651/2014/UE (art. 5 ustawy o KSC):
| Wielkość | Pracownicy | Obrót / bilans | Sektor z Zał. I | Sektor z Zał. II |
|---|---|---|---|---|
| Duże | ≥ 250 | obrót > 50 mln EUR lub bilans > 43 mln EUR |
Podmiot kluczowy | Podmiot ważny |
| Średnie | 50–249 | obrót 10–50 mln EUR i bilans ≤ 43 mln EUR |
Podmiot ważny | Podmiot ważny |
| Mikro / małe | < 50 | obrót < 10 mln EUR i bilans < 10 mln EUR |
Co do zasady poza zakresem* | Poza zakresem* |
Uwaga — grupy kapitałowe: Przy ustalaniu wielkości firmy bierze się pod uwagę dane z całej grupy kapitałowej (przedsiębiorstwa powiązane i partnerskie wg Zalecenia 2003/361/WE). Spółka-córka z 30 pracownikami może być „dużym przedsiębiorcą", jeśli jej grupa ma 500+ osób.
* Wyjątki — podmioty objęte NIS2 niezależnie od wielkości
Art. 5 ustawy o KSC przewiduje przypadki, w których podmiot podlega obowiązkom bez względu na liczbę pracowników i obrót:
- Dostawcy usług DNS — podmiot kluczowy
- Kwalifikowani dostawcy usług zaufania — podmiot kluczowy
- Rejestry nazw domen TLD — podmiot kluczowy
- Podmioty krytyczne (w rozumieniu dyrektywy CER 2022/2557) — podmiot kluczowy
- Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) — podmiot kluczowy (nawet mali/średni)
- Podmioty publiczne na szczeblu centralnym — podmiot kluczowy
- Przedsiębiorcy komunikacji elektronicznej (mikro/mali) — podmiot ważny
- Niekwalifikowani dostawcy usług zaufania (mikro/mali/średni) — podmiot ważny
- Podmioty o szczególnym znaczeniu dla bezpieczeństwa publicznego — wg indywidualnej decyzji organu nadzoru
Podmiot, który jednocześnie spełnia kryteria podmiotu kluczowego i ważnego, zostaje sklasyfikowany jako kluczowy (art. 5 ust. 4).
10 obowiązków cyberbezpieczeństwa — co musisz wdrożyć
Znowelizowany art. 8 ustawy o KSC nakłada na podmioty kluczowe i ważne obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI). Art. 8 ust. 1 pkt 2 wymienia 14 kategorii środków technicznych i organizacyjnych (lit. a–n), które implementują 10 środków z art. 21 ust. 2 dyrektywy NIS2:
| # | Obszar | Przepis UKSC | NIS2 |
|---|---|---|---|
| 1 | Polityka bezpieczeństwa i analiza ryzyka — udokumentowana polityka SZBI zatwierdzona przez zarząd, systematyczne szacowanie ryzyka | art. 8 ust. 1 pkt 1–2 lit. a | art. 21(2)(a) |
| 2 | Obsługa incydentów — procedura wykrywania, analizy, ograniczania skutków, odzyskiwania; zdolność do zgłoszenia wg terminów ustawowych | art. 8 ust. 1 pkt 4–5 + art. 11–12b | art. 21(2)(b) + art. 23 |
| 3 | Ciągłość działania — plany BCP/DRP, kopie zapasowe, testowanie odtwarzalności | art. 8 ust. 1 pkt 2 lit. f | art. 21(2)(c) |
| 4 | Bezpieczeństwo łańcucha dostaw — ocena dostawców IT, klauzule cyberbezpieczeństwa w umowach | art. 8 ust. 1 pkt 2 lit. e | art. 21(2)(d) |
| 5 | Bezpieczeństwo nabywania i utrzymania systemów — SDLC, zarządzanie podatnościami, patching | art. 8 ust. 1 pkt 2 lit. b | art. 21(2)(e) |
| 6 | Ocena skuteczności środków — audyty, pentesty, przeglądy bezpieczeństwa | art. 8 ust. 1 pkt 2 lit. h | art. 21(2)(f) |
| 7 | Szkolenia i cyberhigiena — edukacja personelu, zasady cyberhigieny, obowiązkowe coroczne szkolenie kierownika | art. 8 ust. 1 pkt 2 lit. i–j + art. 8e | art. 21(2)(g) + art. 20(2) |
| 8 | Kryptografia — polityka szyfrowania danych w spoczynku i w transmisji | art. 8 ust. 1 pkt 2 lit. k | art. 21(2)(h) |
| 9 | Zarządzanie aktywami i kontrola dostępu — inwentaryzacja aktywów IT, zasada minimalnych uprawnień, bezpieczeństwo HR | art. 8 ust. 1 pkt 2 lit. m–n + lit. d | art. 21(2)(i) |
| 10 | MFA i bezpieczna komunikacja — uwierzytelnianie wieloskładnikowe, szyfrowana komunikacja wewnętrzna i awaryjna | art. 8 ust. 1 pkt 2 lit. l | art. 21(2)(j) |
Środki muszą być proporcjonalne do wielkości podmiotu, narażenia na ryzyka, prawdopodobieństwa incydentów oraz skutków społecznych i gospodarczych (art. 8 ust. 1 pkt 2 in principio). Ustawa nie narzuca konkretnych technologii — określa cele, a nie narzędzia.
Zgłaszanie incydentów — 24h / 72h / 1 miesiąc
Jedną z najistotniejszych zmian jest ustandaryzowanie procedury zgłaszania incydentów poważnych. Art. 11 ust. 1 pkt 4–4c wprowadza trzystopniowy system raportowania:
| Etap | Termin | Co zawiera |
|---|---|---|
| Wczesne ostrzeżenie | 24 godziny od wykrycia | Informacja, czy incydent może być wynikiem działań bezprawnych; czy może mieć wpływ transgraniczny |
| Zgłoszenie incydentu | 72 godziny od wykrycia | Wstępna ocena: zakres, dotkliwość, wpływ; wskaźniki naruszenia (IoC), jeśli dostępne |
| Raport końcowy | 1 miesiąc od zgłoszenia | Szczegółowy opis incydentu, przyczyna źródłowa, podjęte działania zaradcze, wpływ transgraniczny |
Zgłoszenia dokonuje się za pośrednictwem systemu S46 do właściwego CSIRT (CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowy). Jeśli obsługa incydentu trwa dłużej niż termin raportu końcowego, składa się sprawozdanie z postępu (art. 12b).
Nowość NIS2: Ustawa wprowadza także obowiązek informowania użytkowników usługi o poważnym cyberzagrożeniu oraz o incydencie poważnym, jeśli ma on wpływ na świadczoną usługę (art. 11 ust. 2a–2b).
Odpowiedzialność zarządu — to nie jest „sprawa IT"
Jedną z najbardziej przełomowych zmian NIS2 jest przeniesienie odpowiedzialności za cyberbezpieczeństwo na poziom zarządu. W polskiej implementacji reguluje to art. 8c ustawy o KSC:
- Kierownik podmiotu ponosi osobistą odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa (art. 8c ust. 1)
- W przypadku organu wieloosobowego (np. zarząd sp. z o.o.) — jeśli nie wskazano osoby odpowiedzialnej, odpowiadają wszyscy członkowie organu (art. 8c ust. 2)
- Odpowiedzialność nie wygasa po powierzeniu obowiązków innej osobie lub podmiotowi zewnętrznemu (art. 8c ust. 3)
- Coroczne szkolenie kierownika z cyberbezpieczeństwa jest obowiązkowe i musi być udokumentowane (art. 8e)
Kierownik podejmuje decyzje w zakresie SZBI, planuje środki finansowe, przydziela zadania i zapewnia zgodność z przepisami (art. 8d). To odpowiednik art. 20 dyrektywy NIS2, który wymaga, aby organy zarządzające „zatwierdzały środki zarządzania ryzykiem w cyberbezpieczeństwie i nadzorowały ich wdrażanie".
Kara osobista dla kierownika: W określonych przypadkach kara pieniężna dla osoby zarządzającej może wynieść do 300% jej wynagrodzenia. Możliwy jest także zakaz pełnienia funkcji kierowniczych do 2 lat.
Kary za naruszenie
Nowelizacja wprowadza system kar wzorowany na RODO — proporcjonalnych do obrotu globalnego:
| Kategoria | Kara maksymalna | Kara minimalna |
|---|---|---|
| Podmiot kluczowy | 10 mln EUR lub 2% rocznego obrotu globalnego (kwota wyższa) | 20 000 zł |
| Podmiot ważny | 7 mln EUR lub 1,4% rocznego obrotu globalnego (kwota wyższa) | 15 000 zł |
| Naruszenie zagrażające bezpieczeństwu państwa | Do 100 mln zł | |
Kary mogą być nakładane dopiero po 2 latach od wejścia w życie ustawy (tj. od 3 kwietnia 2028) — to czas na dostosowanie się. Ale uwaga: ten moratorium dotyczy kar administracyjnych, nie odpowiedzialności cywilnej za skutki incydentów.
NIS2 a DORA — sektor finansowy
Podmioty sektora finansowego objęte rozporządzeniem DORA (2022/2554) — banki, ubezpieczyciele, fundusze, firmy inwestycyjne — podlegają DORA jako lex specialis w zakresie zarządzania ryzykiem ICT, obsługi incydentów i testowania odporności cyfrowej. W tych obszarach DORA zastępuje obowiązki z NIS2 (motyw 28 dyrektywy NIS2, art. 4 DORA). Podmiot finansowy nadal figuruje w wykazie, ale wykonuje obowiązki wg DORA, nie wg art. 8 UKSC.
Samoweryfikacja — 5 kroków do rejestracji
W odróżnieniu od poprzedniego stanu prawnego (gdzie OUK byli wyznaczani decyzją organu), nowelizacja wprowadza zasadę samoidentyfikacji. To podmiot sam musi ocenić, czy podlega nowym przepisom, i złożyć wniosek o wpis.
Krok 1: Sprawdź sektor działalności
Porównaj PKD swojej firmy z Załącznikami nr 1 i 2 do ustawy o KSC. Uwzględnij wszystkie rodzaje prowadzonej działalności — firma może figurować w wykazie kilkakrotnie, jeśli prowadzi kilka rodzajów działalności objętych NIS2.
Krok 2: Ustal wielkość przedsiębiorstwa
Sprawdź liczbę pracowników, obrót i sumę bilansową — z uwzględnieniem danych całej grupy kapitałowej (przedsiębiorstwa powiązane i partnerskie). Dane ustalasz na dzień sporządzenia ostatniego sprawozdania finansowego.
Krok 3: Dokonaj klasyfikacji
Na podstawie sektora i wielkości określ, czy jesteś podmiotem kluczowym, ważnym czy poza zakresem. Sprawdź wyjątki (art. 5). Jeśli spełniasz kryteria obu kategorii — jesteś podmiotem kluczowym. Udokumentuj rozumowanie.
Krok 4: Złóż wniosek o wpis do wykazu
Wniosek składasz elektronicznie w systemie S46 w terminie 6 miesięcy od spełnienia przesłanek. Wniosek zawiera m.in. nazwę, NIP, sektor, dane osoby odpowiedzialnej za cyberbezpieczeństwo. Wniosek opatrzony jest oświadczeniem kierownika pod rygorem odpowiedzialności karnej (art. 233 § 6 k.k.).
Krok 5: Wdróż obowiązki w ciągu 12 miesięcy
Od wejścia w życie ustawy masz 12 miesięcy na pełne wdrożenie: SZBI, procedury incydentowe, BCP/DRP, szkolenia, dokumentacja, bezpieczeństwo łańcucha dostaw, kontrola dostępu, MFA. Podmioty kluczowe muszą przeprowadzić pierwszy audyt w ciągu 24 miesięcy.
Sprawdź, czy Twoja firma podlega NIS2
Bezpłatny NIS2 Compliance Scan — odpowiedz na pytania o sektor, wielkość i obecne zabezpieczenia. Otrzymasz raport klasyfikacji, ocena dojrzałości cyberbezpieczeństwa i drafty dokumentów. 10 minut, bez zobowiązań.
Sprawdź gotowość na NIS2 →lub umów rozmowę z radcą prawnym
Praktyczny plan działań — od czego zacząć
Nie musisz wdrażać wszystkiego naraz. Oto priorytetyzowany plan, który uwzględnia terminy ustawowe:
Faza 1: Teraz → październik 2026 (samoweryfikacja i rejestracja)
- Inwentaryzacja systemów informacyjnych i usług
- Analiza sektorowa — porównaj z Załącznikami 1 i 2
- Ustalenie wielkości z uwzględnieniem grupy kapitałowej
- Klasyfikacja (kluczowy / ważny / poza zakresem) — udokumentuj
- Wniosek o wpis do wykazu S46 (do 03.10.2026)
- Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo
Faza 2: Q4 2026 → kwiecień 2027 (wdrożenie SZBI)
- Opracowanie polityki bezpieczeństwa informacji
- Pierwsza analiza ryzyka cyberbezpieczeństwa
- Procedura zarządzania incydentami (z uwzględnieniem terminów 24h/72h/1 miesiąc)
- Plan ciągłości działania (BCP) i odtwarzania po awarii (DRP)
- Przegląd umów z dostawcami IT — klauzule cyberbezpieczeństwa
- Wdrożenie MFA do krytycznych systemów
- Szkolenie zarządu i pracowników
- Inwentaryzacja aktywów IT i polityka kontroli dostępu
Faza 3: 2027–2028 (audyt i monitoring)
- Pierwszy audyt bezpieczeństwa (podmioty kluczowe — do 03.04.2028, potem co 3 lata)
- Bieżący monitoring i aktualizacja SZBI
- Powtórna samoweryfikacja statusu (co 6 miesięcy)
- Testowanie procedur incydentowych i planów BCP
Podmiot kluczowy vs. ważny — praktyczne różnice
Obowiązki merytoryczne (SZBI, zgłaszanie incydentów, szkolenia) są identyczne. Różnice dotyczą nadzoru, kar i audytu:
| Element | Podmiot kluczowy | Podmiot ważny |
|---|---|---|
| Nadzór | Proaktywny (audyty ex ante, kontrole planowe) | Reaktywny (ex post — po incydencie lub sygnale) |
| Obowiązkowy audyt | Co 3 lata (pierwszy w 24 mies.) | Brak obowiązku cyklicznego audytu |
| Kary max | 10 mln EUR / 2% obrotu | 7 mln EUR / 1,4% obrotu |
| Kary min | 20 000 zł | 15 000 zł |
Kto Cię nadzoruje? Organ właściwy i CSIRT
Organ nadzoru i zespół reagowania na incydenty zależą od sektora działalności:
| Sektor | Organ właściwy | CSIRT |
|---|---|---|
| Energetyka | Minister Klimatu i Środowiska | CSIRT GOV |
| Transport | Minister Infrastruktury | CSIRT NASK |
| Bankowość / rynki fin. | KNF | CSIRT KNF (sektorowy) |
| Ochrona zdrowia | Minister Zdrowia | CSIRT NASK |
| Woda / Ścieki | Minister Infrastruktury | CSIRT NASK |
| Infrastruktura cyfrowa / ICT | Minister Cyfryzacji | CSIRT NASK |
| Administracja publiczna | Minister Cyfryzacji | CSIRT GOV |
| Poczta / Odpady / Chemia / Żywność / Produkcja | Odpowiedni minister resortowy | CSIRT NASK |
| Usługi cyfrowe | Minister Cyfryzacji | CSIRT NASK |
Dokładne przypisanie CSIRT sektorowych zostanie doprecyzowane w aktach wykonawczych. Powyższa tabela odzwierciedla stan na marzec 2026.
Znane ryzyka i niepewności prawne
- Akty wykonawcze nie wydane — harmonogram wpisywania sektorów do wykazu oraz szczegółowe mapowanie CSIRT sektorowych zostaną doprecyzowane w rozporządzeniach Ministra Cyfryzacji. Warto śledzić Dziennik Urzędowy MC.
- Wniosek do TK — Prezydent podpisał ustawę, ale skierował wniosek o kontrolę następczą do Trybunału Konstytucyjnego (dotyczy przepisów o dostawcach wysokiego ryzyka). Nie wstrzymuje to wejścia w życie ustawy.
- Polska rozszerzyła zakres vs NIS2 — ustawa obejmuje więcej sektorów jako kluczowe niż wymaga dyrektywa (np. apteki, JST, instytucje edukacyjne). Krytycy wskazują na nadregulację.
Podsumowanie
NIS2 to najważniejsza zmiana w polskim prawie cyberbezpieczeństwa od 2018 roku. Oto co musisz zapamiętać:
- 3 kwietnia 2026 — ustawa wchodzi w życie; rozpocznij samoweryfikację
- 3 października 2026 — ostateczny termin na wniosek o wpis do wykazu S46
- 3 kwietnia 2027 — termin na pełne wdrożenie SZBI i procedur
- Zarząd odpowiada osobiście — cyberbezpieczeństwo to obowiązek kierownika, nie działu IT
- Kary do 10 mln EUR — ale dopiero po 2 latach okresu ochronnego
- Samoweryfikacja jest obowiązkowa — nikt nie wyda Ci decyzji; musisz sam ocenić, czy podlegasz przepisom
- Nie czekaj na akty wykonawcze — obowiązki wynikają wprost z ustawy, a 12-miesięczny termin wdrożenia biegnie od 3 kwietnia 2026