NIS2 w Polsce już obowiązuje. Masz czas do 3 października.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa wdrażająca dyrektywę NIS2 weszła w życie 3 kwietnia 2026 roku. Terminy biegną od tygodni. Do 3 października 2026 roku każda firma objęta ustawą musi przeprowadzić samoidentyfikację i złożyć wniosek o wpis do wykazu KSC. Do 3 kwietnia 2027 roku wdrożyć pełny system zarządzania bezpieczeństwem.
Jeśli Twoja firma jeszcze tego nie zrobiła, zostały mniej niż cztery miesiące na pierwszy krok.
Co zmieniła ustawa o KSC
Nowelizacja ustawy o KSC trafiła do Dziennika Ustaw 2 marca 2026 roku i weszła w życie miesiąc później. Tym samym Polska wdrożyła do krajowego porządku prawnego unijną dyrektywę NIS2 — z ponad rocznym opóźnieniem wobec wymaganego terminu (październik 2024), jako jeden z ostatnich krajów UE.
Kluczowa zmiana w stosunku do poprzednich przepisów: firmy nie czekają na decyzję administracyjną o objęciu obowiązkami. Nowy mechanizm to samoidentyfikacja – firma sama ocenia, czy spełnia kryteria, i sama dokonuje wpisu do wykazu KSC. Brak samoidentyfikacji nie zwalnia z obowiązków. Oznacza tylko, że organ nadzorczy znajdzie to za Ciebie wraz z postępowaniem wyjaśniającym.
Kto podlega ustawie
Dwa kryteria decydują o objęciu firmę regulacją: sektor działalności i wielkość.
Sektor musi należeć do jednego z 18 obszarów wymienionych w ustawie. Wśród nich: energia, transport, bankowość, ochrona zdrowia, gospodarka wodna, infrastruktura cyfrowa, produkcja chemikaliów, produkcja żywności, produkcja wyrobów medycznych i elektroniki, usługi pocztowe, badania naukowe.
Wielkość – dwa progi:
- Podmiot ważny – co najmniej 50 pracowników lub roczny obrót lub suma bilansowa powyżej 10 mln EUR
- Podmiot kluczowy – co najmniej 250 pracowników lub obrót powyżej 50 mln EUR i suma bilansowa powyżej 43 mln EUR
Przykładowy wyjątek wart zapamiętania: dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) wchodzą w zakres ustawy już od progu 10 pracowników i 2 mln EUR obrotu – znacznie niżej niż ogólna zasada.
Różnica między podmiotem ważnym a kluczowym przekłada się na surowość wymagań i wysokość kar. Ale zakres obowiązków do wdrożenia jest identyczny dla obu kategorii.
Trzy terminy, które musisz znać
| Termin | Co musisz wiedzieć |
| od 7 maja 2026 | Obowiązek samoidentyfikacji aktywny |
| 3 października 2026 | Deadline wpisu do wykazu KSC |
| 3 kwietnia 2027 | Pełne wdrożenie systemu zarządzania bezpieczeństwem |
Samoidentyfikacja to punkt wejścia. Bez niej nie możesz formalnie potwierdzić swojego statusu ani rozpocząć wdrożenia w sposób udokumentowany.
Co konkretnie musisz wdrożyć
Ustawa wymaga m.in:
- Analiza ryzyka i polityki bezpieczeństwa informacji
- Obsługa incydentów – wczesne ostrzeżenie o incydencie poważnym do CSIRT w ciągu 24 godzin, zgłoszenie incydentu poważnego niezwłocznie, niepóźniej niż w ciągu 72 godzin, sprawozdanie końcowe niepóźniej niż w ciągu miesiąca od zakończenia obsługi incydentu poważnego
- Ciągłość działania – plany awaryjne, zarządzanie kryzysowe, przywracanie systemów
- Bezpieczeństwo łańcucha dostaw – weryfikacja dostawców, klauzule w umowach
- Bezpieczeństwo sieci i systemów informatycznych
- Szkolenia – obowiązkowe dla zarządu i pracowników
- Kryptografia i szyfrowanie
- Uwierzytelnianie wieloskładnikowe (MFA)
- Bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrole dostępu
- Bezpieczeństwo zasobów ludzkich
- Ciągłe monitorowanie
- Polityki i procedury oceny skuteczności środków technicznych i organizacyjnych
- Podstawowe zasady cyberhigieny
- Zarządzanie aktywami
- Polityki kontroli dostępu
Każdy z tych obszarów wymaga dokumentacji, procedur wewnętrznych i w przypadku incydentów gotowości operacyjnej w określonych oknach czasowych.
Co grozi za brak wdrożenia
- Podmiot ważny – kara do 7 mln EUR lub 1,4% globalnego rocznego obrotu
- Podmiot kluczowy – kara do 10 mln EUR lub 2% globalnego rocznego obrotu
- Członkowie zarządu – odpowiedzialność osobista do 300% miesięcznego wynagrodzenia, plus zakaz pełnienia funkcji przez osoby kierujące podmiotem kluczowym
Kary wynikają z postępowań prowadzonych przez organy nadzorcze. Sama weryfikacja przez organ (nawet bez finalnej kary) generuje koszty obsługi prawnej i ryzyko reputacyjne.
Jak zajmujemy się NIS2 w NEXLO
Compliance w NEXLO prowadzi Aleksandra Zaniewska – ekspertka z ponad 20-letnim doświadczeniem budowanym in-house w Comarchu, jednej z największych polskich grup technologicznych notowanych na giełdzie. Jako Head of Compliance, Legal & ESG nadzorowała funkcje kontrolne, audyt wewnętrzny i relacje z regulatorami. Posiada cztery certyfikaty branżowe: Approved Compliance Expert, Whistleblowing Officer, AML & Sanctions Officer oraz AI Officer.
Nasze podejście do KSC wynika z tego samego założenia, które przyświeca całemu compliance w NEXLO: compliance, który napędza biznes, a nie go hamuje. Dokumenty i procedury piszemy tak, żeby były wdrażalne. Nie produkujemy segregatorów, które trafiają na półkę.
Trzy pytania, które najczęściej słyszymy
Czy możemy poczekać z samoidentyfikacją do końca roku?
NIE. Termin na samoidentyfikację i wpis do wykazu KSC upływa 3 października 2026 roku. Firmy, które przekroczą ten termin, narażają się na postępowanie nadzorcze niezależnie od stanu wdrożenia pozostałych obowiązków.
Firma ma 60 pracowników i działa w branży transportowej. Czy podlega ustawie?
TAK. Firma transportowa zatrudniająca co najmniej 50 pracowników wchodzi w zakres ustawy o KSC jako podmiot ważny. Pierwsze działanie: samoidentyfikacja i wpis do wykazu KSC przed 3 października 2026 roku.
Kto w firmie odpowiada za wdrożenie KSC?
Odpowiedzialność za zgodność z ustawą spoczywa na zarządzie, a nie wyłącznie na dziale IT. Ustawa wprost nakłada obowiązek szkolenia członków organu zarządzającego i przewiduje ich osobistą odpowiedzialność finansową za brak wdrożenia.
Jak sprawdzić, czy Twoja firma podlega KSC
Przygotowaliśmy krótki test – 2 pytania, 2 minuty. Na podstawie odpowiedzi wyślemy indywidualny raport dopasowany do branży.
→ Wypełnij test na nexlo.pl/czy-podlegasz-pod-nis2/
Jeśli wolisz porozmawiać bezpośrednio – pierwsza 45-minutowa konsultacja jest bezpłatna. Wychodzisz z niej z mapą obowiązków i listą najpilniejszych działań przed 3 października.
Więcej o tym, jak pracujemy przy KSC i compliance: nexlo.pl/compliance




