NIS2 w Polsce już obowiązuje. Masz czas do 3 października.

O nas
Prawo nowych technologii

NIS2 w Polsce już obowiązuje. Masz czas do 3 października.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa wdrażająca dyrektywę NIS2 weszła w życie 3 kwietnia 2026 roku. Terminy biegną od tygodni. Do 3 października 2026 roku każda firma objęta ustawą musi przeprowadzić samoidentyfikację i złożyć wniosek o wpis do wykazu KSC. Do 3 kwietnia 2027 roku wdrożyć pełny system zarządzania bezpieczeństwem.

Jeśli Twoja firma jeszcze tego nie zrobiła, zostały mniej niż cztery miesiące na pierwszy krok.

Co zmieniła ustawa o KSC

Nowelizacja ustawy o KSC trafiła do Dziennika Ustaw 2 marca 2026 roku i weszła w życie miesiąc później. Tym samym Polska wdrożyła do krajowego porządku prawnego unijną dyrektywę NIS2 — z ponad rocznym opóźnieniem wobec wymaganego terminu (październik 2024), jako jeden z ostatnich krajów UE.

Kluczowa zmiana w stosunku do poprzednich przepisów: firmy nie czekają na decyzję administracyjną o objęciu obowiązkami. Nowy mechanizm to samoidentyfikacja – firma sama ocenia, czy spełnia kryteria, i sama dokonuje wpisu do wykazu KSC. Brak samoidentyfikacji nie zwalnia z obowiązków. Oznacza tylko, że organ nadzorczy znajdzie to za Ciebie wraz z postępowaniem wyjaśniającym.

Kto podlega ustawie

Dwa kryteria decydują o objęciu firmę regulacją: sektor działalności i wielkość.

Sektor musi należeć do jednego z 18 obszarów wymienionych w ustawie. Wśród nich: energia, transport, bankowość, ochrona zdrowia, gospodarka wodna, infrastruktura cyfrowa, produkcja chemikaliów, produkcja żywności, produkcja wyrobów medycznych i elektroniki, usługi pocztowe, badania naukowe.

Wielkość – dwa progi:

  • Podmiot ważny – co najmniej 50 pracowników lub roczny obrót lub suma bilansowa powyżej 10 mln EUR
  • Podmiot kluczowy – co najmniej 250 pracowników lub obrót powyżej 50 mln EUR i suma bilansowa powyżej 43 mln EUR

Przykładowy wyjątek wart zapamiętania: dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) wchodzą w zakres ustawy już od progu 10 pracowników i 2 mln EUR obrotu – znacznie niżej niż ogólna zasada.

Różnica między podmiotem ważnym a kluczowym przekłada się na surowość wymagań i wysokość kar. Ale zakres obowiązków do wdrożenia jest identyczny dla obu kategorii.

Trzy terminy, które musisz znać

TerminCo musisz wiedzieć
od 7 maja 2026Obowiązek samoidentyfikacji aktywny
3 października 2026Deadline wpisu do wykazu KSC
3 kwietnia 2027Pełne wdrożenie systemu zarządzania bezpieczeństwem

Samoidentyfikacja to punkt wejścia. Bez niej nie możesz formalnie potwierdzić swojego statusu ani rozpocząć wdrożenia w sposób udokumentowany.

Co konkretnie musisz wdrożyć

Ustawa wymaga m.in:

  1. Analiza ryzyka i polityki bezpieczeństwa informacji
  2. Obsługa incydentów – wczesne ostrzeżenie o incydencie poważnym do CSIRT w ciągu 24 godzin, zgłoszenie incydentu poważnego niezwłocznie, niepóźniej niż w ciągu 72 godzin, sprawozdanie końcowe niepóźniej niż w ciągu miesiąca od zakończenia obsługi incydentu poważnego
  3. Ciągłość działania – plany awaryjne, zarządzanie kryzysowe, przywracanie systemów
  4. Bezpieczeństwo łańcucha dostaw – weryfikacja dostawców, klauzule w umowach
  5. Bezpieczeństwo sieci i systemów informatycznych
  6. Szkolenia – obowiązkowe dla zarządu i pracowników
  7. Kryptografia i szyfrowanie
  8. Uwierzytelnianie wieloskładnikowe (MFA)
  9. Bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrole dostępu
  10. Bezpieczeństwo zasobów ludzkich
  11. Ciągłe monitorowanie
  12. Polityki i procedury oceny skuteczności środków technicznych i organizacyjnych
  13. Podstawowe zasady cyberhigieny
  14. Zarządzanie aktywami
  15. Polityki kontroli dostępu

Każdy z tych obszarów wymaga dokumentacji, procedur wewnętrznych i w przypadku incydentów gotowości operacyjnej w określonych oknach czasowych.

Co grozi za brak wdrożenia

  • Podmiot ważny – kara do 7 mln EUR lub 1,4% globalnego rocznego obrotu
  • Podmiot kluczowy – kara do 10 mln EUR lub 2% globalnego rocznego obrotu
  • Członkowie zarządu – odpowiedzialność osobista do 300% miesięcznego wynagrodzenia, plus zakaz pełnienia funkcji przez osoby kierujące podmiotem kluczowym

Kary wynikają z postępowań prowadzonych przez organy nadzorcze. Sama weryfikacja przez organ (nawet bez finalnej kary) generuje koszty obsługi prawnej i ryzyko reputacyjne.

Jak zajmujemy się NIS2 w NEXLO

Compliance w NEXLO prowadzi Aleksandra Zaniewska – ekspertka z ponad 20-letnim doświadczeniem budowanym in-house w Comarchu, jednej z największych polskich grup technologicznych notowanych na giełdzie. Jako Head of Compliance, Legal & ESG nadzorowała funkcje kontrolne, audyt wewnętrzny i relacje z regulatorami. Posiada cztery certyfikaty branżowe: Approved Compliance Expert, Whistleblowing Officer, AML & Sanctions Officer oraz AI Officer.

Nasze podejście do KSC wynika z tego samego założenia, które przyświeca całemu compliance w NEXLO: compliance, który napędza biznes, a nie go hamuje. Dokumenty i procedury piszemy tak, żeby były wdrażalne. Nie produkujemy segregatorów, które trafiają na półkę.

Trzy pytania, które najczęściej słyszymy

Czy możemy poczekać z samoidentyfikacją do końca roku?

NIE. Termin na samoidentyfikację i wpis do wykazu KSC upływa 3 października 2026 roku. Firmy, które przekroczą ten termin, narażają się na postępowanie nadzorcze niezależnie od stanu wdrożenia pozostałych obowiązków.

Firma ma 60 pracowników i działa w branży transportowej. Czy podlega ustawie?

TAK. Firma transportowa zatrudniająca co najmniej 50 pracowników wchodzi w zakres ustawy o KSC jako podmiot ważny. Pierwsze działanie: samoidentyfikacja i wpis do wykazu KSC przed 3 października 2026 roku.

Kto w firmie odpowiada za wdrożenie KSC?

Odpowiedzialność za zgodność z ustawą spoczywa na zarządzie, a nie wyłącznie na dziale IT. Ustawa wprost nakłada obowiązek szkolenia członków organu zarządzającego i przewiduje ich osobistą odpowiedzialność finansową za brak wdrożenia.

Jak sprawdzić, czy Twoja firma podlega KSC

Przygotowaliśmy krótki test – 2 pytania, 2 minuty. Na podstawie odpowiedzi wyślemy indywidualny raport dopasowany do branży.

→ Wypełnij test na nexlo.pl/czy-podlegasz-pod-nis2/

Jeśli wolisz porozmawiać bezpośrednio – pierwsza 45-minutowa konsultacja jest bezpłatna. Wychodzisz z niej z mapą obowiązków i listą najpilniejszych działań przed 3 października.

Więcej o tym, jak pracujemy przy KSC i compliance: nexlo.pl/compliance