← Wróć do artykułów
Cyberbezpieczeństwo 13 maja 2026 · 12 min

Pierwsze 40 dni nowej ustawy o KSC. Status implementacji NIS2 w Polsce

13 maja 2026 — czterdzieści dni od wejścia w życie polskiej transpozycji dyrektywy NIS2. Co się stało, co działa, czego brakuje i gdzie czeka pułapka.

3 kwietnia 2026 roku weszła w życie ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252, dalej „nowelizacja"). To z opóźnieniem siedemnastu miesięcy polska transpozycja dyrektywy NIS2 (UE 2022/2555), której termin wdrożenia upłynął 17 października 2024 r.

Po raz pierwszy od ogłoszenia w Dzienniku Ustaw 2 marca 2026 r. mamy stan, w którym obowiązki materialne ustawy stosują się do tysięcy polskich podmiotów. To nie jest już akademicka dyskusja o kierunku regulacji. To jest stan obowiązujący — i każdy dzień bez wdrożenia jest dokumentowany.

Poniżej podsumowanie pierwszych czterdziestu dni stosowania nowelizacji: jakie obowiązki działają, co jest często pomijane w debacie publicznej, i co podmioty objęte ustawą powinny robić teraz.

Kalendarium: 2 marca – 13 maja 2026

2 marca 2026 — ogłoszenie nowelizacji w Dzienniku Ustaw (Dz.U. 2026 poz. 252). Równolegle publikacja tekstu jednolitego ustawy o KSC (Dz.U. 2026 poz. 20).

3 kwietnia 2026 — wejście w życie nowelizacji. Z tym dniem:

  • pojęcia „podmiot kluczowy" i „podmiot ważny" zastępują dotychczasowe pojęcia „operatora usługi kluczowej" i „dostawcy usługi cyfrowej",
  • liczba sektorów objętych ustawą rośnie z 7 do 18 (załączniki nr 1 i 2),
  • zaczynają obowiązywać nowe terminy raportowania incydentów: 24 godziny na wczesne ostrzeżenie, 72 godziny na zgłoszenie incydentu poważnego, miesiąc na sprawozdanie końcowe (art. 11 KSC),
  • wprowadzono osobistą odpowiedzialność kierownika podmiotu (art. 8c KSC).

6 maja 2026 — Ministerstwo Cyfryzacji zakończyło wpis z urzędu pierwszej puli podmiotów do wykazu. Objął on przedsiębiorców telekomunikacyjnych, dostawców usług zaufania, podmioty publiczne oraz podmioty krytyczne. Wpis nastąpił na podstawie art. 7a ust. 2 nowelizacji, na podstawie danych z rejestrów publicznych.

7 maja 2026 — uruchomienie portalu wykaz-ksc.gov.pl, służącego do samodzielnej rejestracji podmiotów kluczowych i ważnych. Portal działa w ramach systemu teleinformatycznego, o którym mowa w art. 46 ust. 1 ustawy o KSC.

13 maja 2026 (dziś) — koniec pierwszego miesiąca po wejściu w życie. Trwa proces samoidentyfikacji i zgłoszeń.

Wykaz podmiotów: jak działa rejestracja

Centralnym instrumentem implementacji jest wykaz podmiotów kluczowych i podmiotów ważnych prowadzony na podstawie art. 7 ustawy o KSC w brzmieniu nadanym nowelizacją. Wykaz jest dostępny w systemie teleinformatycznym Ministerstwa Cyfryzacji pod adresem wykaz-ksc.gov.pl.

Funkcjonują dwa tryby wpisu.

Wpis z urzędu (art. 7a ust. 2). Dla wybranych kategorii podmiotów — przedsiębiorców telekomunikacyjnych, dostawców usług zaufania, podmiotów publicznych, podmiotów krytycznych — minister właściwy do spraw informatyzacji dokonał wpisu na podstawie danych z rejestrów publicznych. Podmioty te zostały już zawiadomione o wpisie i mają obowiązek uzupełnić brakujące dane w terminie 6 miesięcy od dnia doręczenia wezwania (art. 7b ust. 2).

Samorejestracja (art. 7c ust. 1). Każdy podmiot, który z dniem 3 kwietnia 2026 r. spełnia przesłanki uznania za podmiot kluczowy lub podmiot ważny, ma obowiązek złożyć wniosek o wpis do wykazu w terminie 6 miesięcy — czyli do 3 października 2026 r. (zob. także art. 33 ust. 3 nowelizacji).

To termin twardy. Pominięcie samorejestracji jest osobnym deliktem administracyjnym (art. 73 ust. 1a pkt 1 KSC), a po upływie moratorium kar — sankcjonowanym pieniężnie.

Kto jest podmiotem kluczowym, a kto ważnym

Klasyfikacja opiera się zasadniczo na sektorze (załącznik nr 1 lub 2) i wielkości przedsiębiorcy w rozumieniu rozporządzenia 651/2014/UE (zał. I).

Podmiot kluczowy (art. 5 ust. 1 KSC)

Zasadniczo:

  • podmiot z załącznika nr 1, który przewyższa wymogi średniego przedsiębiorstwa (powyżej 250 pracowników albo roczny obrót powyżej 50 mln EUR lub suma bilansowa powyżej 43 mln EUR),
  • niezależnie od wielkości: dostawca usług DNS, kwalifikowany dostawca usług zaufania, podmiot krytyczny, podmiot publiczny z załącznika nr 1, rejestr nazw domen TLD, podmiot świadczący usługi rejestracji nazw domen, operator obiektu energetyki jądrowej.

Podmiot ważny (art. 5 ust. 2 KSC)

Zasadniczo:

  • podmiot z załącznika nr 1, który spełnia wymogi średniego przedsiębiorstwa, ale nie jest podmiotem kluczowym,
  • podmiot z załącznika nr 2, który spełnia wymogi średniego przedsiębiorstwa lub je przewyższa,
  • niekwalifikowany dostawca usług zaufania, przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą, inwestor obiektu energetyki jądrowej.

Załączniki nr 1 i 2 obejmują łącznie 18 sektorów, w tym energetykę, transport, bankowość, infrastrukturę rynków finansowych, ochronę zdrowia, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, podmioty publiczne, przestrzeń kosmiczną, produkcję chemikaliów, produkcję żywności, produkcję, dostawców usług cyfrowych, badania naukowe, usługi pocztowe i gospodarowanie odpadami.

Obowiązki, które już działają

Od 3 kwietnia 2026 r. każdy podmiot spełniający przesłanki uznania za kluczowy lub ważny podlega obowiązkom materialnym z rozdziału 3 ustawy o KSC:

  • System zarządzania bezpieczeństwem informacji (SZBI) — art. 8, z 14 obszarami środków technicznych i organizacyjnych wymienionymi w art. 8 ust. 1 pkt 2 lit. a–n, w tym polityką szacowania ryzyka, bezpieczeństwem łańcucha dostaw, planami ciągłości działania, uwierzytelnianiem wieloskładnikowym, edukacją personelu i kontrolą dostępu.
  • Dokumentacja bezpieczeństwa — art. 10.
  • Raportowanie incydentów — art. 11: 24 godziny na wczesne ostrzeżenie do CSIRT sektorowego, 72 godziny na zgłoszenie incydentu poważnego, sprawozdanie końcowe w ciągu miesiąca.
  • Wewnętrzne struktury cyberbezpieczeństwa lub umowa z dostawcą usług zarządzanych — art. 14.
  • Audyt bezpieczeństwa — art. 15, co najmniej raz na 3 lata dla podmiotu kluczowego.
  • Osobista odpowiedzialność kierownika — art. 8c, 8d, 8e, w tym obowiązek rocznego szkolenia z udokumentowaniem.

Terminy realizacji są przesunięte, ale obowiązki materialne obowiązują od dziś:

  • pełne wdrożenie środków bezpieczeństwa: do 3 kwietnia 2027 r. (12 miesięcy),
  • pierwszy audyt podmiotu kluczowego: do 3 kwietnia 2028 r. (24 miesiące),
  • korzystanie z systemu teleinformatycznego: 12 miesięcy od dnia spełnienia przesłanek uznania.

Moratorium na kary: art. 35 nowelizacji

To aspekt najczęściej powierzchownie komentowany.

Art. 35 ustawy z 23 stycznia 2026 r. stanowi:

„Kary pieniężne, o których mowa w art. 73 ust. 1–4 oraz art. 73a–73c i art. 76b ustawy zmienianej w art. 1 w brzmieniu nadanym niniejszą ustawą mogą być po raz pierwszy nałożone po upływie 2 lat od dnia wejścia w życie ustawy."

W praktyce: pierwsze kary za naruszenia ustawy mogą zostać nałożone dopiero 3 kwietnia 2028 r.

Moratorium jest pełniejsze, niż się często przyjmuje. Obejmuje:

  • art. 73 ust. 1–4 KSC — kary administracyjne dla podmiotów: do 10 mln EUR lub 2 % przychodów rocznych dla podmiotu kluczowego, do 7 mln EUR lub 1,4 % dla podmiotu ważnego,
  • art. 73a KSC — kary osobiste dla kierownika podmiotu, do 300 % rocznego wynagrodzenia (100 % w sektorze publicznym),
  • art. 73b KSC — kary dla rejestrów nazw domen, podmiotów świadczących usługi rejestracji oraz producentów sprzętu i oprogramowania,
  • art. 73c KSC — kary dla podmiotów finansowych spoza zakresu podmiotu kluczowego lub ważnego,
  • art. 76b KSC — okresowe kary pieniężne za nieprzestrzeganie decyzji organu, do 100 tys. zł dziennie.

W tym zakresie ustawodawca dał faktycznie dwuletni okres karencji. W tym czasie podmioty mają wdrożyć obowiązki, zorganizować dokumentację i przeszkolić kierownictwo.

Ale moratorium ma jedną istotną lukę.

Wyjątek, którego prawie nikt nie zauważył: art. 73 ust. 5

Art. 35 nowelizacji wymienia wprost: art. 73 ust. 1–4, art. 73a–73c, art. 76b. Nie wymienia art. 73 ust. 5.

Art. 73 ust. 5 KSC w brzmieniu nadanym nowelizacją stanowi:

„Jeżeli podmiot kluczowy albo podmiot ważny narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 100 000 000 zł."

Sto milionów złotych. Bez moratorium. Od pierwszego dnia obowiązywania ustawy.

W debacie publicznej najczęściej zwraca się uwagę na pierwszą przesłankę — „obronność, bezpieczeństwo państwa, porządek publiczny, życie i zdrowie ludzi". Rzeczywiście dotyczy to operatorów infrastruktury krytycznej, sieci energetycznych, kolei, szpitali.

Druga przesłanka jest jednak znacznie szersza. „Zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług" to katalog otwarty, który może obejmować:

  • ransomware na dużym e-commerce powodujący kilkudniową przerwę w sprzedaży,
  • atak DDoS na bank zakłócający dostęp do bankowości elektronicznej,
  • awarię systemu płatniczego u dostawcy usług finansowych,
  • naruszenie ciągłości usług IT dla dużej grupy klientów B2B,
  • wyciek danych połączony z zakłóceniem usług w SaaS obsługującym podmioty regulowane.

W każdym takim przypadku — jeżeli można wykazać, że naruszenie ustawy (np. brak SZBI, niewłaściwa obsługa incydentu, brak raportowania) przyczyniło się do zagrożenia — organ właściwy do spraw cyberbezpieczeństwa nakłada karę. Słowo „nakłada" — nie „może nałożyć" — ma znaczenie legislacyjne: ust. 5 ma charakter sankcji obligatoryjnej.

W praktyce uruchomienie tego mechanizmu wymaga ustalenia, kto jest organem właściwym dla danego sektora (art. 41 i 41a KSC). Lista jest długa — od ministra właściwego do spraw informatyzacji (sektor podmiotów publicznych i infrastruktury cyfrowej), przez Prezesa UKE (komunikacja elektroniczna), Komisję Nadzoru Finansowego (bankowość i infrastruktura rynków finansowych), aż po Ministra Obrony Narodowej (podmioty obrony narodowej). To organy, które dotychczas rzadko korzystały z uprawnień quasi-karnych w zakresie cyberbezpieczeństwa. Dziś dysponują nimi w pełni i bez ograniczenia czasowego.

Co podmioty kluczowe i ważne powinny zrobić teraz

Priorytety operacyjne na II i III kwartał 2026 r.

1. Samoidentyfikacja

Jeżeli nie zostałeś wpisany z urzędu, oceń, czy spełniasz przesłanki uznania za podmiot kluczowy lub ważny. Klasyfikacja opiera się na sektorze (zał. nr 1 lub 2) i wielkości (rozporządzenie 651/2014/UE). Złożenie wniosku o wpis do wykazu w terminie do 3 października 2026 r. — w portalu wykaz-ksc.gov.pl — jest obowiązkowe.

2. Audyt zerowy

Zinwentaryzuj obecny stan zarządzania bezpieczeństwem informacji w odniesieniu do 14 obszarów z art. 8 ust. 1 pkt 2 lit. a–n. To podstawa wszystkich dalszych prac.

3. Powierzenie odpowiedzialności kierowniczej

Określ formalnie kierownika podmiotu odpowiedzialnego za cyberbezpieczeństwo (art. 8c i 8d KSC). Zorganizuj pierwsze szkolenie z art. 8e — udział wymaga udokumentowania.

4. Procedura obsługi incydentu

Zaktualizuj politykę reagowania na incydenty, uwzględniając terminy 24 / 72 godziny / 30 dni (art. 11). Wyznacz co najmniej dwie osoby kontaktowe (art. 9 ust. 1 pkt 1). Sprawdź, jak działa Twój CSIRT sektorowy i jakie procedury zgłaszania zostały przez niego opublikowane.

5. Łańcuch dostaw

Art. 8 ust. 1 pkt 2 lit. e nakłada obowiązek zarządzania ryzykiem cyber w łańcuchu dostaw produktów ICT. Przegląd umów z kluczowymi dostawcami pod kątem klauzul bezpieczeństwa, prawa do audytu i raportowania incydentów — to praca, której nie da się odłożyć na ostatni miesiąc przed deadlinem.

6. Pierwszy audyt podmiotu kluczowego

Termin 24 miesięcy upływa 3 kwietnia 2028 r. Nie czekaj do ostatniego kwartału — przygotowanie do audytu zewnętrznego wymaga 6–12 miesięcy pracy organizacyjnej.

7. Polisy D&O

Standardowe polisy odpowiedzialności cywilnej kierownictwa nie pokrywają administracyjnych kar pieniężnych z art. 73a. Przegląd zakresu ubezpieczenia jest niezbędny i często wymaga aneksu albo nowej polisy.

Najbliższe deadline'y

Data Co
3 października 2026 Termin samorejestracji w wykazie podmiotów (art. 33 ust. 3 nowelizacji)
3 kwietnia 2027 Pełne wdrożenie obowiązków rozdziału 3 KSC (art. 33 ust. 1 nowelizacji)
3 kwietnia 2028 Pierwszy audyt podmiotu kluczowego (art. 33 ust. 2 nowelizacji). Koniec moratorium na kary (art. 35 nowelizacji)

Trzy lata. Czas wygląda na komfortowy. Nie jest.

Konkluzja

Polska transpozycja NIS2 jest realnością. W pierwszych czterdziestu dniach uruchomiono wykaz podmiotów, zakończono wpisy z urzędu i otworzono samorejestrację. Punkt ciężkości przesunął się z dyskusji o regulacji na operacyjne wdrożenie.

Moratorium na większość kar daje dwa lata, ale jest jeden wyjątek — art. 73 ust. 5 — o którym warto pamiętać. W praktyce dotyczy on sytuacji, w których incydent powoduje poważną szkodę majątkową lub utrudnienia w świadczeniu usług. Ten opis pasuje do większości średnich i dużych podmiotów w sektorach NIS2.

W Harbor LEGAL pierwsze tygodnie po wejściu w życie ustawy to czas intensywnej pracy z klientami nad klasyfikacją, audytem zerowym, dokumentacją SZBI i procedurami raportowania incydentów. Zachęcamy do kontaktu w sprawie:

  • oceny statusu (podmiot kluczowy / podmiot ważny / poza zakresem),
  • klasyfikacji sektorowej i przygotowania wniosku do wykazu,
  • wdrożenia SZBI zgodnego z art. 8 KSC,
  • procedur obsługi incydentów zgodnych z art. 11 KSC,
  • audytu pre-compliance przed pierwszym formalnym audytem podmiotu kluczowego.

Potrzebujesz pomocy prawnej z NIS2?

Skorzystaj z bezpłatnego NIS2 Compliance Scan lub umów konsultację z radcą prawnym specjalizującym się w cyberbezpieczeństwie i compliance regulacyjnym.

NIS2 Compliance Scan — za darmo →

Powiązane artykuły

Autor: Przemysław Kołakowski · Radca Prawny (WA-13427) · Harbor Legal