Dyrektywa NIS 2 i Ustawa i Krajowym Systemie Cyberbezpieczeństwa uchwalona przez Sejm i Senat 29 stycznia 2026 roku!

Sejm uchwalił nowelizacjęę Ustawy o Krajowym Systemie Bezpieczeństwa  23 stycznia 2026 roku. Senat przyjął ją bez poprawek 29 stycznia 2026 roku. Polska wreszcie wdraża dyrektywę NIS2 — z ponad rocznym opóźnieniem względem unijnego terminu, ale z wydłużonymi okresami przejściowymi dla firm.

Co to oznacza w praktyce? Dla około 42 tysięcy polskich organizacji — nowe obowiązki. Dla zarządów — osobistą odpowiedzialność. Dla wszystkich — okazję do uporządkowania tego, co i tak powinno funkcjonować.

Czym jest NIS2 i dlaczego Polska wdraża ją przez UKSC

NIS2 to unijna dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Weszła w życie w styczniu 2023 roku, a państwa członkowskie miały ją wdrożyć do października 2024. Polska, podobnie jak większość krajów UE, nie dotrzymała terminu. Z początkiem 2026 roku, dokładnie 29-01-2026 r. proces legislacyjny w Sejmie i Senacie dobiegł końca. Czas na implementaje.

Implementacja odbywa się przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). To nie jest nowa ustawa — to rozszerzenie regulacji funkcjonującej od 2018 roku, która wdrażała poprzednią dyrektywę NIS.

Różnica skali jest jednak fundamentalna. Dotychczasowa ustawa obejmowała około 400 operatorów usług kluczowych. Nowelizacja rozszerza ten zakres do ponad 42 tysięcy podmiotów. To zmiana nie tylko ilościowa — to zmiana podejścia do cyberbezpieczeństwa jako elementu funkcjonowania państwa i gospodarki.

Kogo dotyczy — podmioty kluczowe i ważne

Nowelizacja wprowadza nowy podział. Zamiast operatorów usług kluczowych i dostawców usług cyfrowych mamy teraz dwie kategorie: podmioty kluczowe i podmioty ważne.

Dyrektywa NIS2 dotyczy średnich i dużych firm (powyżej 50 pracowników lub >10 mln EUR obrotu) oraz podmiotów publicznych z 18 kluczowych sektorów, w tym: energetyki, transportu, bankowości, zdrowia, infrastruktury cyfrowej, administracji publicznej, produkcji (chemikalia, żywność, maszyny) i usług kurierskich, nakładając na nie surowsze wymogi cyberbezpieczeństwa. 

Kluczowe sektory i podmioty objęte NIS2 to:

Sektory ważne: 

  • Energetyka
  • transport,
  • bankowość i infrastruktura rynków finansowych,
  • opieka zdrowotna (szpitale, laboratoria),
  • woda pitna,
  • ścieki, infrastruktura cyfrowa (chmury, centra danych), administracja publiczna, przestrzeń kosmiczna.

Sektory kluczowe (wysoka krytyczność):

  • Usługi pocztowe i kurierskie, 
  • gospodarka odpadami, 
  • produkcja i dystrybucja chemikaliów, 
  • produkcja żywności, 
  • produkcja urządzeń medycznych i maszyn,
  •  elektronika, 
  • dostawcy cyfrowi (wyszukiwarki, platformy społecznościowe). 

Podział na podmioty:

  • Podmioty kluczowe: Zazwyczaj duże firmy (250+ pracowników lub >50 mln EUR obrotu).
  • Podmioty ważne: Średnie firmy (50-250 pracowników lub 10-50 mln EUR obrotu).
  • Wyjątki: Niektóre podmioty (np. DNS, dostawcy usług chmurowych) podlegają NIS2 niezależnie od wielkości. 

NIS2 kładzie duży nacisk na odpowiedzialność zarządu za cyberbezpieczeństwo oraz surowe kary finansowe (do 10 mln EUR lub 2% obrotu). 

Zarządzanie bezpieczeństwem łańcucha dostaw

Jest jednak element, który wiele firm pomija: bezpieczeństwo łańcucha dostaw. Nawet jeśli Twoja firma nie podlega bezpośrednio pod NIS2, możesz zostać objęty wymaganiami pośrednio — jako dostawca dla podmiotu kluczowego lub ważnego. Duże organizacje będą zobowiązane do weryfikacji bezpieczeństwa swoich dostawców, co przełoży się na wymagania kontraktowe wobec mniejszych partnerów.

Mechanizm samoidentyfikacji — sprawdź czy podlegasz pod NIS 2?

To jedna z najważniejszych zmian względem poprzedniej regulacji. Dawniej status operatora usług kluczowych był nadawany decyzją administracyjną — firma dowiadywała się oficjalnie, że podlega pod przepisy.

Nowelizacja wprowadza mechanizm samoidentyfikacji. Organizacje same muszą ocenić, czy spełniają kryteria zakwalifikowania jako podmiot kluczowy lub ważny. Jeśli tak — mają obowiązek zarejestrować się w wykazie prowadzonym przez właściwy organ.

To przenosi odpowiedzialność na firmy. Brak rejestracji przy jednoczesnym spełnianiu kryteriów nie zwalnia z obowiązków — naraża natomiast na sankcje za niedopełnienie procedury.

Dotychczasowi operatorzy usług kluczowych zostaną automatycznie wpisani do nowego wykazu. Pozostałe organizacje muszą przeprowadzić analizę samodzielnie.

Terminy na wdrożenie

Sejm przyjął poprawki wydłużające pierwotnie planowane terminy. To dobra wiadomość dla firm, które jeszcze nie rozpoczęły przygotowań.

Ustawa o Krajowym Systemie Informatycznym wejdzie w życie w lutym-marcu 2026, po podpisie prezydenta i miesięcznym vacatio legis.

Podmiot zobowiązany ma:

6 miesięcyna złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych. Pierwotnie planowano 3 miesiące.

12 miesięcy na wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie. Pierwotnie planowano 6 miesięcy.

12 miesięcy na rozpoczęcie korzystania z systemu S46 do zgłaszania incydentów. Pierwotnie planowano 6 miesięcy.

24 miesiące zanim zaczną być nakładane administracyjne kary pieniężne. To okres, w którym firmy mogą wdrażać wymagania bez ryzyka sankcji finansowych.

Przy założeniu wejścia ustawy w życie w marcu 2026, pełne wymagania zaczną obowiązywać wiosną 2027, a kary będą mogły być nakładane od wiosny 2028.

Obowiązki — co trzeba wdrożyć

NIS2 odchodzi od sztywnych wymagań na rzecz podejścia opartego na analizie ryzyka. Nie ma jednej listy kontrolnej do odhaczenia. Każda organizacja musi sama ocenić swoje ryzyko i wdrożyć środki adekwatne do tej oceny.

  1. System zarządzania bezpieczeństwem informacji stanowi podstawę działań. Obejmuje polityki i procedury bezpieczeństwa, podział odpowiedzialności oraz mechanizmy nadzorcze. W organizacjach posiadających ISO 27001 lub TISAX wiele wymagań będzie już spełnionych.
  2. Zarządzanie ryzykiem polega na regularnej analizie zagrożeń i podatności, ocenie możliwych skutków incydentów oraz wdrażaniu środków ograniczających ryzyko. Analiza musi obejmować także łańcuch dostaw — to nowy element w porównaniu z poprzednią regulacją.
  3. Obsługa incydentów obejmuje procedury wykrywania, reagowania i raportowania zdarzeń. NIS2 wprowadza ścisłe terminy zgłoszeń: wstępne powiadomienie w ciągu 24 godzin od wykrycia poważnego incydentu, pełne zgłoszenie w ciągu 72 godzin oraz raport końcowy w ciągu miesiąca.
  4. Ciągłość działania wymaga przygotowania planów utrzymania lub odtworzenia kluczowych funkcji po incydencie. Obejmuje to kopie zapasowe, procedury przywracania oraz testowanie planów awaryjnych.
  5. Bezpieczeństwo dostawców i partnerów polega na uwzględnianiu wymagań bezpieczeństwa w umowach oraz monitorowaniu ryzyka związanego ze współpracą.
  6. Szkolenia są obowiązkowe zarówno dla pracowników, jak i kadry zarządzającej. Zarząd powinien posiadać wiedzę umożliwiającą nadzorowanie realizacji obowiązków w obszarze cyberbezpieczeństwa.

Zapraszamy do wyceny usługi wdrożenia nowych wymogów – opis usługi na stronie AUDYT NIS2 >

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *