KSC i NIS2

NIS2 i ustawa o KSC — co naprawdę dotyczy Twojej firmy

Od 3 kwietnia 2026 obowiązuje w Polsce znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wdraża unijną dyrektywę NIS2. Zebrałem tu w jednym miejscu, jasnym językiem: kogo obejmuje, czego wymaga, jakie są kary i co zrobić w pierwszej kolejności.

Ten materiał ma charakter informacyjny i nie stanowi porady prawnej. Ostateczną kwalifikację Twojej firmy warto potwierdzić z prawnikiem.

Czym jest NIS2

NIS2 to unijna dyrektywa o cyberbezpieczeństwie — formalnie dyrektywa (UE) 2022/2555. Zastąpiła starszą dyrektywę NIS z 2016 roku i znacząco podniosła poprzeczkę: więcej sektorów, więcej obowiązków i realne kary. Jej cel to wspólny, wysoki poziom cyberbezpieczeństwa w całej Unii.

Każde państwo wdraża dyrektywę do własnego prawa. W Polsce robi to znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026. Polska była jednym z ostatnich państw Unii, które wdrożyły NIS2.

Nowelizacja ustawy o KSC, wdrażająca dyrektywę NIS2, nakłada na podmioty kluczowe oraz ważne określone obowiązki wynikające z ustawy, w tym w szczególności dokonania wpisu do wykazu KSC oraz wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).— Ministerstwo Cyfryzacji, gov.pl
W skrócie

Trzy rzeczy, które trzeba wiedzieć

Kogo dotyczy

Firmy 50+ osób

Podmioty średnie i duże (od 50 pracowników albo 10 mln EUR obrotu) w 18 sektorach — m.in. produkcja, energetyka, transport, ochrona zdrowia, dostawcy usług cyfrowych. Także ich dostawcy, przez wymogi w umowach.

Kara

Do 10 mln EUR

Dla podmiotów kluczowych do 10 mln EUR lub 2% światowego obrotu; dla ważnych do 7 mln EUR lub 1,4%. Do tego odpowiedzialność kierownictwa i możliwość zawieszenia w pełnieniu funkcji.

Termin

3 kwietnia 2027

Ustawa obowiązuje od 3 kwietnia 2026. Wpis do Wykazu KSC — do 3 października 2026. Wdrożenie obowiązków — do 3 kwietnia 2027.

Zakres

Kogo obejmuje NIS2

Dyrektywa dzieli firmy na dwie kategorie — kluczowe i ważne — w zależności od sektora i wielkości.

Podmioty kluczowe

Większe firmy z sektorów krytycznych

Co do zasady firmy powyżej 250 pracowników lub 50 mln EUR obrotu, działające w kluczowych sektorach objętych ustawą. Podlegają ściślejszemu nadzorowi i wyższym karom.

Podmioty ważne

Średnie firmy z sektorów objętych

Firmy średnie (od 50 pracowników albo 10 mln EUR) z sektorów objętych ustawą, które nie spełniają progów podmiotu kluczowego. Niższy pułap kar, te same obowiązki bazowe.

Sektory objęte ustawą

Załącznik I — sektory kluczowe

  • Energetyka, transport, bankowość i infrastruktura rynków finansowych
  • Ochrona zdrowia, woda pitna i ścieki
  • Infrastruktura cyfrowa i zarządzanie usługami teleinformatycznymi
  • Administracja publiczna i przestrzeń kosmiczna

Załącznik II — sektory ważne

  • Produkcja (m.in. wyroby medyczne, elektronika, maszyny, pojazdy)
  • Produkcja, przetwórstwo i dystrybucja żywności
  • Usługi pocztowe i kurierskie, gospodarka odpadami
  • Produkcja chemikaliów i dostawcy usług cyfrowych

Efekt domina w łańcuchu dostaw

Nawet jeśli Twoja firma sama nie podlega NIS2, może zostać wciągnięta pośrednio. Kiedy dostarczasz oprogramowanie, infrastrukturę albo usługi krytyczne dla podmiotu objętego dyrektywą, kontrahent ma obowiązek zweryfikować, jak zarządzasz cyberbezpieczeństwem. W praktyce oznacza to klauzule w umowach, które nakładają na Ciebie podobne wymogi co na dużego klienta.

Obowiązki

Czego wymaga ustawa — dziesięć obszarów

Artykuł 21 dyrektywy określa minimalny zestaw środków zarządzania ryzykiem. Dyrektywa wskazuje wymagane rezultaty i pozostawia wybór technologii firmie.

  • Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych
  • Obsługa incydentów — wykrywanie, reagowanie, dokumentowanie
  • Ciągłość działania: kopie zapasowe, odtwarzanie po awarii, zarządzanie kryzysowe
  • Bezpieczeństwo łańcucha dostaw, w tym relacji z dostawcami oprogramowania
  • Bezpieczeństwo nabywania, rozwoju i utrzymania systemów, w tym obsługa podatności
  • Polityki i procedury oceny skuteczności środków zarządzania ryzykiem
  • Podstawowa cyberhigiena i regularne szkolenia personelu
  • Kryptografia i szyfrowanie tam, gdzie ma sens
  • Bezpieczeństwo kadr, kontrola dostępu i zarządzanie aktywami
  • Uwierzytelnianie wieloskładnikowe (MFA) i bezpieczna łączność
Raportowanie

Zgłaszanie incydentów — 24 / 72 godziny / miesiąc

Poważny incydent zgłasza się etapami do właściwego zespołu CSIRT — zespołu reagowania na incydenty bezpieczeństwa komputerowego (w Polsce m.in. CSIRT NASK). Terminy liczy się od momentu wykrycia.

Etap 1

24 godziny

Wczesne ostrzeżenie. Pierwsza informacja o incydencie, z oznaczeniem, czy może mieć charakter działania złośliwego lub przestępczego.

Etap 2

72 godziny

Zgłoszenie incydentu z wstępną oceną wagi i wpływu na usługę oraz wskaźnikami naruszenia bezpieczeństwa (IoC, ang. indicators of compromise).

Etap 3

1 miesiąc

Raport końcowy: pełny opis incydentu, analiza przyczyny źródłowej, podjęte środki i ewentualny wpływ transgraniczny.

Kary i odpowiedzialność zarządu

Dyrektywa wprowadza kary, które liczą się w budżecie każdej firmy. Dla podmiotów kluczowych administracyjne kary pieniężne sięgają 10 mln EUR lub 2% całkowitego rocznego światowego obrotu — w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych to 7 mln EUR lub 1,4% obrotu.

Poza kwotami organ nadzoru może wydać wiążące polecenia, nakazać audyt bezpieczeństwa na koszt firmy, a w skrajnych przypadkach czasowo zawiesić osobę pełniącą funkcję kierowniczą. Odpowiedzialność za zarządzanie ryzykiem cyfrowym spoczywa na kierownictwie.

W Polsce jest jeszcze okno na przygotowanie: w większości przypadków administracyjne kary pieniężne będą mogły być nakładane dopiero po upływie około dwóch lat od wejścia przepisów w życie, czyli po kwietniu 2028.

Harmonogram w Polsce

Terminy, które warto zapisać

Terminy dotyczą podmiotów, które w dniu wejścia ustawy spełniały kryteria.
Źródło: Ministerstwo Cyfryzacji, gov.pl.

Wejście w życie

3 kwietnia 2026

Znowelizowana ustawa o KSC zaczyna obowiązywać.

Wpis do wykazu

3 października 2026

Termin na dokonanie wpisu do Wykazu KSC dla podmiotów kluczowych i ważnych.

Wdrożenie obowiązków

3 kwietnia 2027

System Zarządzania Bezpieczeństwem Informacji (SZBI), zgłaszanie incydentów, osoby kontaktowe, weryfikacja niekaralności personelu, podłączenie do systemu S46 (krajowej platformy wymiany informacji o incydentach).

Pierwszy audyt

3 kwietnia 2028

Pierwszy obowiązkowy audyt cyberbezpieczeństwa (podmioty kluczowe). Kolejne co najmniej raz na trzy lata.

Jak buduję systemy zgodne z NIS2

Trzy decyzje architektoniczne podejmuję od pierwszego dnia każdego projektu, bo i tak prowadzą w stronę zgodności z dyrektywą.

Dane zostają u Ciebie. Wszystko, co buduję, działa w infrastrukturze klienta (on-prem albo na serwerze, który sam kontrolujesz). To rozwiązuje problem łańcucha dostaw na poziomie technicznym, zanim w ogóle zacznie się o nim rozmawiać.

Logi audytowe od pierwszego dnia. Serwer prowadzi je automatycznie: kto, kiedy, co. Do tego dokładam dowolne audytowanie, którego potrzebujesz lub które wymuszają przepisy. Kontrola dostępu działa na poziomie rekordu, nie tylko ekranu.

Dokumentacja tworzy się sama. Powstaje automatycznie, wraz z budową systemu. Dostajesz gotowy pakiet, który w zasadzie możesz sam wygenerować z systemu w dowolnej chwili — i wykorzystać dalej przy przygotowaniu innych wymaganych dokumentów.

Źródła

  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) — EUR-Lex
  • Ministerstwo Cyfryzacji, nowelizacja ustawy o KSC — gov.pl
  • NIS2 dla przedsiębiorców — Biznes.gov.pl
  • ENISA — Agencja Unii Europejskiej ds. Cyberbezpieczeństwa — enisa.europa.eu

Stan na lipiec 2026. Materiał informacyjny, nie stanowi porady prawnej.

Pierwszy krok

Zarezerwuj 30 minut. Sam odbieram każdego maila.

Pierwsza rozmowa to dla mnie spokojne rozpoznanie. Sprawdzam, czy w ogóle mogę pomóc. Bez slajdów, bez ponaglania handlowego. Jeśli widzę, że nie pasujemy — mówię od razu.

Wolisz rozmawiać niż pisać? Wybierz termin w kalendarzu — spotykamy się na Zoomie:
Otwórz Cal.com →

Telefon +48 601 789 966 — można dzwonić, też odbieram osobiście.

Podaj imię i nazwę firmy.
Podaj numer telefonu albo adres e-mail.
Wybierz wielkość firmy.
Wybierz branżę.
Napisz krótko, o czym chciałbyś porozmawiać.

Wysłane. Dziękuję.

Odpisuję w jednym dniu roboczym, zwykle szybciej.