NIS2 obowiązuje w Polsce od 3 kwietnia 2026. 40 tys. firm w nowym reżimie cyberbezpieczeństwa

Najważniejsze fakty

• Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa została podpisana przez Prezydenta 19 lutego 2026 r., opublikowana 2 marca 2026 r., a w życie weszła 3 kwietnia 2026 r.
• Liczba podmiotów objętych przepisami wzrośnie z około 400 do ponad 40 000 – ponad 100-krotny wzrost
• Termin złożenia wniosku o wpis do wykazu: 3 października 2026 r. (6 miesięcy od wejścia w życie)
• Podmioty mają czas na dostosowanie systemów do 3 kwietnia 2027 r.
• Pierwszy audyt cyberbezpieczeństwa dla podmiotów kluczowych: do 3 kwietnia 2028 r.
• Kary dla podmiotów kluczowych: do 10 mln EUR lub 2% rocznego obrotu globalnego
• Kary dla podmiotów ważnych: do 7 mln EUR lub 1,4% obrotu
• Raportowanie incydentów: wstępne powiadomienie w ciągu 24 godzin, szczegółowe raporty w ciągu 72 godzin
• 36% ekspertów ds. cyberbezpieczeństwa nie wie, czy ich firma jest objęta NIS2

Implementacja dyrektywy NIS2 – ramy prawne i harmonogram

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa stanowi implementację dyrektywy NIS2 (Network and Information Security 2) Unii Europejskiej, która zastąpiła wcześniejszą dyrektywę NIS1 z 2016 roku. Polska wdrożyła nowe przepisy z prawie 18-miesięcznym opóźnieniem względem pierwotnego terminu transpozycji w UE, który wynosił 17 października 2024 roku. Dokument prawny przeszedł pełną ścieżkę legislacyjną na początku 2026 roku. Prezydent podpisał nowelizację ustawy o KSC 19 lutego 2026 roku, a publikacja w Dzienniku Ustaw nastąpiła 2 marca 2026 roku. Nowelizacja oficjalnie weszła w życie 3 kwietnia 2026 roku, rozpoczynając okres przejściowy dla podmiotów objętych nowymi wymogami.

Skala zmian – ponad 100-krotny wzrost liczby podmiotów objętych

Najistotniejszą zmianą jest radykalne rozszerzenie zakresu podmiotowego regulacji. Dotychczasowe przepisy obejmowały około 400 podmiotów, podczas gdy po nowelizacji liczba ta wzrośnie do ponad 40 000. Ten ponad 100-krotny wzrost oznacza, że znaczna część polskiej gospodarki znajdzie się pod nadzorem w zakresie cyberbezpieczeństwa. Nowe przepisy wprowadzają podział na dwie kategorie podmiotów: podmioty kluczowe (essential entities) oraz podmioty ważne (important entities). Do sektorów kluczowych należą między innymi: energia, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna oraz sektor kosmiczny. Sektory ważne obejmują natomiast usługi pocztowe i kurierskie, gospodarkę odpadami, chemikalia, żywność, produkcję, badania oraz dostawców usług cyfrowych.

Kluczowe terminy i kamienie milowe 2026-2028

Ustawodawca przewidział rozłożony w czasie harmonogram wdrożenia nowych wymogów. Pierwszym kluczowym terminem jest 3 października 2026 roku – sześć miesięcy od wejścia w życie nowelizacji – kiedy to podmioty objęte regulacją muszą złożyć wniosek o wpis do wykazu. Rok na pełne dostosowanie systemów i procedur do nowych wymogów mają podmioty do 3 kwietnia 2027 roku. Pierwszy obowiązkowy audyt cyberbezpieczeństwa dla podmiotów kluczowych musi zostać przeprowadzony do 3 kwietnia 2028 roku. Dopiero po kwietniu 2028 roku możliwe będzie nakładanie kar administracyjnych za nieprzestrzeganie przepisów.

System sankcji finansowych i odpowiedzialność osobista kierownictwa

Nowelizacja wprowadza dotkliwe sankcje finansowe, zróżnicowane w zależności od kategorii podmiotu. Podmioty kluczowe mogą zostać obciążone karą do 10 mln EUR lub 2% rocznego obrotu globalnego – w zależności od tego, która wartość jest wyższa. Dla podmiotów ważnych maksymalna kara wynosi 7 mln EUR lub 1,4% obrotu. Rewolucyjnym rozwiązaniem jest wprowadzenie bezpośredniej osobistej odpowiedzialności kierownictwa za wdrożenie wymogów. CEO, dyrektor generalny, rektor czy wójt odpowiadają osobiście za zapewnienie zgodności z przepisami. Ustawa przewiduje także możliwość nałożenia czasowych zakazów pełnienia funkcji na osoby odpowiedzialne za zaniedbania w obszarze cyberbezpieczeństwa.

Obowiązki podmiotów – zarządzanie ryzykiem i raportowanie incydentów

Nowelizacja nakłada na podmioty objęte regulacją szereg konkretnych obowiązków. Podstawowym wymogiem jest wdrożenie systemu zarządzania ryzykiem cyberbezpieczeństwa oraz procedur reagowania na incydenty i zarządzania kryzysowego. Szczególnie rygorystyczne są wymogi dotyczące raportowania incydentów ICT. Wstępne powiadomienie o incydencie musi nastąpić w ciągu 24 godzin, a szczegółowe raporty – w ciągu 72 godzin od wykrycia zdarzenia. Podmioty kluczowe zobowiązane są także do przeprowadzania audytu cyberbezpieczeństwa co 3 lata oraz regularnych testów bezpieczeństwa. Wszystkie podmioty muszą wdrożyć zaawansowane środki zarządzania ryzykiem cybernetycznym.

Problemy z identyfikacją podmiotów objętych regulacją

Badania przeprowadzone na przełomie 2025 i 2026 roku ujawniły istotny problem z rozpoznawalnością nowych przepisów. Aż 36% ekspertów ds. cyberbezpieczeństwa nie wie, czy ich firma jest objęta wymogami NIS2. Oznacza to, że nawet specjaliści IT nie mają jasności co do statusu własnych podmiotów. Ta sytuacja może prowadzić do ryzyka niezamierzonego naruszenia przepisów przez podmioty, które nie zdają sobie sprawy z objęcia ich nowymi wymogami. Stanowi to wyzwanie zarówno dla samych organizacji, jak i dla organów nadzorczych odpowiedzialnych za egzekwowanie przepisów.

Kontekst europejski i wyzwania wdrożeniowe

Polska znalazła się w gronie krajów, które wdrożyły dyrektywę NIS2 z opóźnieniem. Pierwotny termin transpozycji w Unii Europejskiej wynosił 17 października 2024 roku, co oznacza, że Polska spóźniła się z implementacją o prawie 18 miesięcy. To opóźnienie mogło wpłynąć na stopień przygotowania polskich firm do nowych wymogów. Szeroki zakres sektorowy regulacji oraz znaczna liczba podmiotów objętych przepisami stanowią istotne wyzwanie zarówno dla biznesu, jak i dla administracji publicznej. Konieczność zapewnienia zgodności z wymogami wymaga nie tylko nakładów finansowych na infrastrukturę IT, ale także organizacyjnych – w tym przeszkolenia kadry, wdrożenia procedur oraz zapewnienia ciągłości monitoringu i raportowania incydentów.