Wraz z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa ochrona przed cyberatakami przestała być sprawą wyłącznie działów IT. Od wiosny 2026 roku obowiązki objęły kilkadziesiąt tysięcy firm i instytucji, a odpowiedzialność spoczywa bezpośrednio na zarządach.
- Krajowy System Cyberbezpieczeństwa (KSC) to ramy prawne i organizacyjne zapewniające odporność kluczowych usług w Polsce
- 3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o KSC wdrażająca unijną dyrektywę NIS2 (Dz.U. 2026 poz. 252)
- Firmy muszą same ustalić, czy są podmiotem kluczowym lub ważnym, i dokonać wpisu do Wykazu KSC — aplikacja ruszyła 7 maja, a czas jest do 3 października 2026 r.
- Obowiązują: zarządzanie ryzykiem, zgłaszanie poważnych incydentów (24h / 72h) oraz szkolenia kierownictwa
- Kary sięgają 10 mln euro, a pierwsze będą nakładane od kwietnia 2028 r.
Czym jest Krajowy System Cyberbezpieczeństwa
KSC to stworzony ustawą z 5 lipca 2018 r. system, którego celem jest zapewnienie wysokiego poziomu cyberbezpieczeństwa oraz niezakłóconego świadczenia usług kluczowych i cyfrowych w Polsce. Tworzą go m.in. podmioty zobowiązane, organy właściwe do spraw cyberbezpieczeństwa i trzy zespoły reagowania na incydenty — CSIRT NASK, CSIRT GOV i CSIRT MON — koordynujące obsługę zdarzeń na poziomie krajowym. Nowelizacja dodaje także sektorowe zespoły cyberbezpieczeństwa dla strategicznych gałęzi gospodarki.
Kogo dotyczą nowe przepisy
NIS2 radykalnie poszerza katalog objętych firm. Ustawa wprowadza dwie kategorie: podmioty kluczowe (najwyższy stopień krytyczności, nadzór ex-ante i ex-post, co do zasady obowiązkowy audyt) oraz podmioty ważne (głównie nadzór następczy).
Regulacja obejmuje m.in. energetykę, transport, ochronę zdrowia, finanse, sektor ICT, gospodarkę wodną, produkcję i przetwórstwo żywności, usługi cyfrowe czy część e-commerce.
Co do zasady próg to średni przedsiębiorca (ok. 50 osób i 10 mln euro obrotu), ale dostawcy usług zarządzanych w obszarze cyberbezpieczeństwa (MSSP) podlegają ustawie już od progu małej firmy.
Co trzeba zrobić już teraz
Pierwszym krokiem jest samoidentyfikacja — samodzielna ocena, czy firma spełnia przesłanki, z uwzględnieniem sektora, progów wielkości i powiązań kapitałowych.
Po pozytywnej weryfikacji konieczny jest wpis do Wykazu KSC (do 3 października 2026 r.). Równolegle, w ciągu 12 miesięcy, trzeba wdrożyć środki zarządzania ryzykiem: politykę bezpieczeństwa, analizę ryzyka, kontrolę dostępu, kopie zapasowe, ciągłość działania, zabezpieczenie łańcucha dostaw oraz procedury obsługi incydentów.
Poważne incydenty zgłasza się dwuetapowo — wczesne ostrzeżenie w ciągu 24 godzin i pełne zgłoszenie w ciągu 72 godzin (raport końcowy do miesiąca), za pośrednictwem systemu S46.
Odpowiedzialność zarządu i kary
Nowelizacja przenosi ciężar odpowiedzialności na kierownictwo. Zarząd musi zatwierdzać środki zarządzania ryzykiem, odbywać coroczne szkolenia oraz dbać o cyberhigienę pracowników.
Za zaniedbania grożą wysokie kary: dla podmiotu kluczowego do 10 mln euro lub 2% przychodu, dla podmiotu ważnego do 7 mln euro lub 1,4% — z osobnymi sankcjami dla osób zarządzających.
Kary pieniężne będzie można nakładać dopiero po dwóch latach od wejścia ustawy w życie, czyli od kwietnia 2028 r. To okno czasowe firmy powinny wykorzystać na wdrożenie, a nie na odkładanie tematu.
NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
Polskie firmy wciąż nieprzygotowane
Skala wyzwania jest duża. Z badania Business Growth Review poświęconego gotowości polskich organizacji na NIS2 wynika, że wiele firm nie ma jeszcze wdrożonych kluczowych środków zarządzania ryzykiem, a znaczna część przedsiębiorstw nie przeprowadziła nawet samoidentyfikacji. Największą barierą pozostają nie tyle nakłady finansowe, ile braki kompetencyjne i niedostateczne zaangażowanie zarządów — a to właśnie one odpowiadają dziś za zgodność z przepisami.
