Firmy 50+ osób
Podmioty średnie i duże (od 50 pracowników albo 10 mln EUR obrotu) w 18 sektorach — m.in. produkcja, energetyka, transport, ochrona zdrowia, dostawcy usług cyfrowych. Także ich dostawcy, przez wymogi w umowach.
Od 3 kwietnia 2026 obowiązuje w Polsce znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wdraża unijną dyrektywę NIS2. Zebrałem tu w jednym miejscu, jasnym językiem: kogo obejmuje, czego wymaga, jakie są kary i co zrobić w pierwszej kolejności.
Ten materiał ma charakter informacyjny i nie stanowi porady prawnej. Ostateczną kwalifikację Twojej firmy warto potwierdzić z prawnikiem.
NIS2 to unijna dyrektywa o cyberbezpieczeństwie — formalnie dyrektywa (UE) 2022/2555. Zastąpiła starszą dyrektywę NIS z 2016 roku i znacząco podniosła poprzeczkę: więcej sektorów, więcej obowiązków i realne kary. Jej cel to wspólny, wysoki poziom cyberbezpieczeństwa w całej Unii.
Każde państwo wdraża dyrektywę do własnego prawa. W Polsce robi to znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026. Polska była jednym z ostatnich państw Unii, które wdrożyły NIS2.
Nowelizacja ustawy o KSC, wdrażająca dyrektywę NIS2, nakłada na podmioty kluczowe oraz ważne określone obowiązki wynikające z ustawy, w tym w szczególności dokonania wpisu do wykazu KSC oraz wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).— Ministerstwo Cyfryzacji, gov.pl
Podmioty średnie i duże (od 50 pracowników albo 10 mln EUR obrotu) w 18 sektorach — m.in. produkcja, energetyka, transport, ochrona zdrowia, dostawcy usług cyfrowych. Także ich dostawcy, przez wymogi w umowach.
Dla podmiotów kluczowych do 10 mln EUR lub 2% światowego obrotu; dla ważnych do 7 mln EUR lub 1,4%. Do tego odpowiedzialność kierownictwa i możliwość zawieszenia w pełnieniu funkcji.
Ustawa obowiązuje od 3 kwietnia 2026. Wpis do Wykazu KSC — do 3 października 2026. Wdrożenie obowiązków — do 3 kwietnia 2027.
Dyrektywa dzieli firmy na dwie kategorie — kluczowe i ważne — w zależności od sektora i wielkości.
Co do zasady firmy powyżej 250 pracowników lub 50 mln EUR obrotu, działające w kluczowych sektorach objętych ustawą. Podlegają ściślejszemu nadzorowi i wyższym karom.
Firmy średnie (od 50 pracowników albo 10 mln EUR) z sektorów objętych ustawą, które nie spełniają progów podmiotu kluczowego. Niższy pułap kar, te same obowiązki bazowe.
Załącznik I — sektory kluczowe
Załącznik II — sektory ważne
Nawet jeśli Twoja firma sama nie podlega NIS2, może zostać wciągnięta pośrednio. Kiedy dostarczasz oprogramowanie, infrastrukturę albo usługi krytyczne dla podmiotu objętego dyrektywą, kontrahent ma obowiązek zweryfikować, jak zarządzasz cyberbezpieczeństwem. W praktyce oznacza to klauzule w umowach, które nakładają na Ciebie podobne wymogi co na dużego klienta.
Artykuł 21 dyrektywy określa minimalny zestaw środków zarządzania ryzykiem. Dyrektywa wskazuje wymagane rezultaty i pozostawia wybór technologii firmie.
Poważny incydent zgłasza się etapami do właściwego zespołu CSIRT — zespołu reagowania na incydenty bezpieczeństwa komputerowego (w Polsce m.in. CSIRT NASK). Terminy liczy się od momentu wykrycia.
Wczesne ostrzeżenie. Pierwsza informacja o incydencie, z oznaczeniem, czy może mieć charakter działania złośliwego lub przestępczego.
Zgłoszenie incydentu z wstępną oceną wagi i wpływu na usługę oraz wskaźnikami naruszenia bezpieczeństwa (IoC, ang. indicators of compromise).
Raport końcowy: pełny opis incydentu, analiza przyczyny źródłowej, podjęte środki i ewentualny wpływ transgraniczny.
Dyrektywa wprowadza kary, które liczą się w budżecie każdej firmy. Dla podmiotów kluczowych administracyjne kary pieniężne sięgają 10 mln EUR lub 2% całkowitego rocznego światowego obrotu — w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych to 7 mln EUR lub 1,4% obrotu.
Poza kwotami organ nadzoru może wydać wiążące polecenia, nakazać audyt bezpieczeństwa na koszt firmy, a w skrajnych przypadkach czasowo zawiesić osobę pełniącą funkcję kierowniczą. Odpowiedzialność za zarządzanie ryzykiem cyfrowym spoczywa na kierownictwie.
W Polsce jest jeszcze okno na przygotowanie: w większości przypadków administracyjne kary pieniężne będą mogły być nakładane dopiero po upływie około dwóch lat od wejścia przepisów w życie, czyli po kwietniu 2028.
Terminy dotyczą podmiotów, które w dniu wejścia ustawy spełniały kryteria.
Źródło: Ministerstwo Cyfryzacji, gov.pl.
Znowelizowana ustawa o KSC zaczyna obowiązywać.
Termin na dokonanie wpisu do Wykazu KSC dla podmiotów kluczowych i ważnych.
System Zarządzania Bezpieczeństwem Informacji (SZBI), zgłaszanie incydentów, osoby kontaktowe, weryfikacja niekaralności personelu, podłączenie do systemu S46 (krajowej platformy wymiany informacji o incydentach).
Pierwszy obowiązkowy audyt cyberbezpieczeństwa (podmioty kluczowe). Kolejne co najmniej raz na trzy lata.
Trzy decyzje architektoniczne podejmuję od pierwszego dnia każdego projektu, bo i tak prowadzą w stronę zgodności z dyrektywą.
Dane zostają u Ciebie. Wszystko, co buduję, działa w infrastrukturze klienta (on-prem albo na serwerze, który sam kontrolujesz). To rozwiązuje problem łańcucha dostaw na poziomie technicznym, zanim w ogóle zacznie się o nim rozmawiać.
Logi audytowe od pierwszego dnia. Serwer prowadzi je automatycznie: kto, kiedy, co. Do tego dokładam dowolne audytowanie, którego potrzebujesz lub które wymuszają przepisy. Kontrola dostępu działa na poziomie rekordu, nie tylko ekranu.
Dokumentacja tworzy się sama. Powstaje automatycznie, wraz z budową systemu. Dostajesz gotowy pakiet, który w zasadzie możesz sam wygenerować z systemu w dowolnej chwili — i wykorzystać dalej przy przygotowaniu innych wymaganych dokumentów.
Stan na lipiec 2026. Materiał informacyjny, nie stanowi porady prawnej.
Pierwsza rozmowa to dla mnie spokojne rozpoznanie. Sprawdzam, czy w ogóle mogę pomóc. Bez slajdów, bez ponaglania handlowego. Jeśli widzę, że nie pasujemy — mówię od razu.
Wolisz rozmawiać niż pisać? Wybierz termin w kalendarzu — spotykamy się na Zoomie:
Otwórz Cal.com →
Telefon +48 601 789 966 — można dzwonić, też odbieram osobiście.