Przejdź do treści
Breachroad
Wróć do bloga
Compliance

NIS2 w Polsce: nowe obowiązki i terminy 2026

Nowelizacja ustawy o KSC wdraża NIS2 i obowiązuje od 3 kwietnia 2026. Wyjaśniamy, kogo dotyczy, jakie są terminy i co trzeba zrobić.

KR
Karol Rapacz
28 czerwca 2026 · 12 min czytania
NIS2 w Polsce: nowe obowiązki i terminy 2026

Cyberbezpieczeństwo przestaje być wyłącznie tematem działu IT — staje się obowiązkiem prawnym z osobistą odpowiedzialnością zarządu. Dyrektywa NIS2 została w Polsce wdrożona nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która obowiązuje od 3 kwietnia 2026 roku. Poniżej praktyczne podsumowanie tego, co się zmienia.

Kogo dotyczy

Nowe przepisy rozszerzają listę sektorów i obniżają progi wielkości, więc obejmą znacznie więcej podmiotów niż dotychczasowa ustawa — w tym wiele średnich firm, które wcześniej nie były regulowane. Podmioty dzieli się na kluczowe i ważne, z różnym poziomem nadzoru. Pierwszy krok to samodzielna ocena, czy i do której kategorii się kwalifikujesz.

Kluczowe terminy

  • 3 kwietnia 2026 — nowelizacja wchodzi w życie.
  • 3 października 2026 — termin złożenia wniosku o wpis do właściwego wykazu przez podmioty spełniające kryteria.
  • 3 kwietnia 2027 — czas na dostosowanie systemów, procedur i struktur do wymagań.
  • 3 kwietnia 2028 — do tego dnia podmioty kluczowe muszą przeprowadzić pierwszy audyt cyberbezpieczeństwa; kolejne nie rzadziej niż co trzy lata.

Ustawodawca przewidział też okres przejściowy dla kar — administracyjne kary pieniężne w większości przypadków będą mogły być nakładane dopiero po około dwóch latach od wejścia przepisów w życie.

Które sektory obejmują nowe przepisy

Lista sektorów jest szeroka i wykracza daleko poza „klasyczną” infrastrukturę krytyczną. Do sektorów wysokiej krytyczności (podmioty najczęściej kluczowe) należą m.in.: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa (DNS, chmura, centra danych), administracja publiczna oraz przestrzeń kosmiczna. Do sektorów ważnych zaliczono m.in.: usługi pocztowe i kurierskie, gospodarowanie odpadami, chemię, produkcję żywności, produkcję (w tym urządzeń medycznych, elektroniki, maszyn i pojazdów), usługi cyfrowe (platformy handlowe, wyszukiwarki, media społecznościowe) oraz badania naukowe.

Progi wielkości są niskie: co do zasady wystarczy 50 pracowników lub 10 mln EUR obrotu, by średnia firma z sektora znalazła się w zakresie regulacji. Co istotne, obowiązki dotykają pośrednio także mniejszych firm — jako dostawców w łańcuchu dostaw podmiotów regulowanych, które będą wymagać od kontrahentów wykazania poziomu bezpieczeństwa.

Terminy zgłaszania incydentów w praktyce

Nowe zasady raportowania incydentów poważnych są rygorystyczne i warto je znać na pamięć:

  • 24 godziny od wykrycia — wczesne ostrzeżenie do właściwego CSIRT (m.in. informacja, czy incydent mógł być skutkiem działania bezprawnego lub mieć skutki transgraniczne).
  • 72 godziny — pełne zgłoszenie incydentu z oceną jego powagi i skutków.
  • Na żądanie CSIRT — raporty okresowe o postępach obsługi.
  • 1 miesiąc — sprawozdanie końcowe z opisem przyczyn, przebiegu i zastosowanych środków zaradczych.

Te terminy są nierealne do dotrzymania bez wcześniej przygotowanego procesu: kto klasyfikuje incydent, kto pisze zgłoszenie, kto je zatwierdza i przez jaki kanał trafia do CSIRT. To dokładnie ten sam mechanizm, który opisujemy przy reagowaniu na wycieki danych — warto zbudować go raz, dla RODO i NIS2 łącznie.

Sankcje: co realnie grozi

Widełki kar administracyjnych są wysokie: dla podmiotów kluczowych do 10 mln EUR lub 2% światowego obrotu (wyższa z kwot), dla ważnych do 7 mln EUR lub 1,4% obrotu. Nowością o dużym ciężarze praktycznym jest osobista odpowiedzialność kierownictwa — na osobę zarządzającą może zostać nałożona kara do wysokości kilkukrotności jej wynagrodzenia, a w skrajnych przypadkach możliwy jest czasowy zakaz pełnienia funkcji kierowniczych w podmiocie kluczowym. To zmienia rozmowę o budżecie na bezpieczeństwo: ryzyko przestaje być abstrakcyjne dla zarządu.

Główne obowiązki

  • Zarządzanie ryzykiem i wdrożenie adekwatnych, udokumentowanych zabezpieczeń.
  • Zgłaszanie incydentów według ujednoliconych, zaostrzonych zasad i terminów.
  • Ciągłość działania i bezpieczeństwo łańcucha dostaw.
  • Odpowiedzialność organów zarządzających — cyberbezpieczeństwo zostaje formalnie przypisane kierownictwu, z osobistą odpowiedzialnością.

Jak się przygotować

Zgodność z NIS2 to nie jednorazowy projekt, lecz proces. Rozsądna kolejność:

  1. Ustal status — czy jesteś podmiotem kluczowym, ważnym, czy poza zakresem.
  2. Zrób analizę luk względem wymagań (zarządzanie ryzykiem, incydenty, ciągłość, łańcuch dostaw).
  3. Wdróż brakujące elementy i udokumentuj je — audyt sprawdzi także dowody, nie tylko deklaracje.
  4. Zaplanuj audyt z wyprzedzeniem, tak by zmieścić się w terminie 2028.

Warto potraktować NIS2 nie jak biurokratyczny ciężar, lecz jak zewnętrzny impuls do uporządkowania bezpieczeństwa — wiele wymagań to po prostu dobre praktyki, o których piszemy w kontekście reagowania na incydenty. Jeśli chcesz ocenić swoją gotowość, skontaktuj się z nami.

Najczęstsze pytania (FAQ)

Skąd mam wiedzieć, czy moja firma podlega NIS2? Sprawdź trzy rzeczy: czy Twoja działalność mieści się w którymś z sektorów z załączników ustawy, czy przekraczasz progi wielkości (co do zasady 50 pracowników lub 10 mln EUR obrotu) oraz czy nie należysz do kategorii objętych niezależnie od wielkości (np. część infrastruktury cyfrowej). W przypadkach granicznych — np. grupa kapitałowa, działalność mieszana — warto skonsultować kwalifikację z prawnikiem; my pomagamy od strony technicznej oceny luk.

Czy mała firma-podwykonawca też musi się przejmować NIS2? Formalnie może być poza zakresem, ale praktycznie — tak. Podmioty regulowane mają obowiązek zarządzać bezpieczeństwem łańcucha dostaw, więc będą wymagać od dostawców m.in. polityk bezpieczeństwa, wyników testów i zapisów umownych. Brak tych elementów zaczyna oznaczać przegrane przetargi, nie tylko ryzyko regulacyjne.

Czym różni się podmiot kluczowy od ważnego? Zakres obowiązków jest zbliżony — różni się intensywność nadzoru i sankcje. Podmioty kluczowe podlegają nadzorowi bieżącemu (w tym zapowiedzianym i niezapowiedzianym kontrolom oraz obowiązkowym audytom co najmniej raz na trzy lata), a ważne — nadzorowi następczemu, czyli głównie po incydencie lub sygnale o naruszeniach.

Czy certyfikat ISO 27001 załatwia zgodność z NIS2? Nie automatycznie, ale bardzo pomaga. ISO 27001 pokrywa większość wymagań dotyczących zarządzania ryzykiem i dokumentacji; NIS2 dodaje m.in. konkretne terminy raportowania incydentów, obowiązki rejestracyjne i odpowiedzialność zarządu. Mapowanie różnic to typowy element analizy luk.

Od czego zacząć, jeśli dziś nie mamy nic? Od ustalenia statusu i rejestracji w terminie, równolegle od analizy luk. Potem: proces obsługi incydentów z terminami 24/72 h, inwentaryzacja systemów i dostawców, podstawowe zabezpieczenia (MFA, kopie zapasowe, zarządzanie podatnościami) oraz szkolenie zarządu — bo to on formalnie odpowiada. Audyt gotowości NIS2 porządkuje te działania w plan z priorytetami.


Źródła i dalsza lektura: gov.pl — nowelizacja ustawy o KSC, Biznes.gov.pl. Ten artykuł nie jest poradą prawną.

Udostępnij artykuł

Usługi Umów konsultację