29 kwiecień 2026
Alerty
Od 3 kwietnia 2026 r. obowiązuje w Polsce znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa. Dla wielu przedsiębiorców oznacza to konieczność sprawdzenia, czy ich organizacja może zostać uznana za podmiot kluczowy albo podmiot ważny. W praktyce od tej kwalifikacji zależy zakres nowych obowiązków, terminy wdrożenia oraz sposób przygotowania organizacji do wymogów w obszarze cyberbezpieczeństwa.
Warto to zweryfikować już teraz. Nowe przepisy dotyczą nie tylko rozwiązań technicznych, lecz także procesów wewnętrznych, zasad zgłaszania incydentów oraz odpowiedzialności osób zarządzających.
W praktyce pierwszym krokiem powinno być ustalenie, czy organizacja w ogóle podlega nowym przepisom, a następnie ocena, jakie obowiązki i terminy będą miały do niej zastosowanie.
NIS2 a polska ustawa o krajowym systemie cyberbezpieczeństwa
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, czyli tzw. NIS2, zastąpiła wcześniejszą dyrektywę NIS1 i wyznaczyła nowe standardy w zakresie bezpieczeństwa sieci i systemów informacyjnych na poziomie Unii Europejskiej.
Polskim instrumentem wdrożenia tych rozwiązań jest ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w brzmieniu nadanym ustawą z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252). Dalej w artykule akt ten określamy jako „ustawę”.
Zmiany wprowadzone do ustawy obejmują m.in. zasady zarządzania ryzykiem w cyberbezpieczeństwie, obsługi incydentów poważnych, nadzoru sektorowego oraz administracyjnych kar pieniężnych.
Ustawa nowelizująca została ogłoszona 2 marca 2026 r., a jej przepisy weszły w życie 3 kwietnia 2026 r. Od tego momentu status regulacyjny przedsiębiorcy należy oceniać już na podstawie obowiązującego prawa krajowego, a nie wyłącznie przez pryzmat wcześniejszych założeń implementacyjnych dotyczących NIS2.
Kogo mogą dotyczyć nowe obowiązki
Nowe przepisy obejmują podmioty kluczowe oraz podmioty ważne. O tym, czy dany przedsiębiorca zostanie objęty nowym reżimem, decyduje przede wszystkim sektor, w którym prowadzi działalność, oraz spełnienie kryteriów podmiotowych przewidzianych w ustawie.
Z perspektywy praktycznej oznacza to konieczność weryfikacji zarówno profilu działalności, jak i skali oraz charakteru organizacji. To właśnie na tym etapie należy ustalić, czy organizacja mieści się w sektorowym zakresie ustawy oraz czy spełnia warunki uznania jej za podmiot objęty nowymi regulacjami.
Warto przy tym pamiętać, że operatorzy usług kluczowych, którzy przed wejściem w życie nowelizacji byli wpisani do wykazu, stali się z mocy prawa podmiotami kluczowymi z dniem 3 kwietnia 2026 r.
Jeżeli natomiast dany podmiot spełniał przesłanki ustawowe już w dniu wejścia w życie nowych przepisów, powinien wykonać obowiązki określone w rozdziale 3 ustawy w terminie 12 miesięcy, czyli do 3 kwietnia 2027 r. W przypadku podmiotów kluczowych należy dodatkowo uwzględnić obowiązek przeprowadzenia pierwszego audytu w terminie 24 miesięcy od wejścia w życie ustawy.
Wpis do wykazu – od czego zacząć
Ustawa nie posługuje się pojęciem „rejestracji do CSIRT” jako sposobem potwierdzenia statusu regulacyjnego. Przewiduje natomiast wykaz podmiotów kluczowych i podmiotów ważnych.
Dlatego pierwszym krokiem po stronie przedsiębiorcy powinno być ustalenie, czy organizacja w ogóle podlega nowym przepisom. Od tej oceny zależy zarówno obowiązek złożenia wniosku o wpis do wykazu, jak i obowiązek wdrożenia rozwiązań przewidzianych w rozdziale 3 ustawy.
W przypadku podmiotów, które spełniały przesłanki ustawowe już 3 kwietnia 2026 r., zastosowanie znajdą przepisy przejściowe dotyczące wpisu do wykazu. Harmonogram składania wniosków ma zostać określony przez ministra właściwego do spraw informatyzacji.
Z perspektywy praktycznej oznacza to, że warto rozpocząć od uporządkowania podstawowych informacji o organizacji, w tym zakresu działalności, modelu świadczenia usług, struktury grupy oraz kryteriów, które mogą przesądzać o objęciu ustawą.
System zarządzania bezpieczeństwem informacji – co trzeba wdrożyć
Jednym z podstawowych obowiązków nowych podmiotów regulowanych jest opracowanie, wdrożenie, nadzorowanie i utrzymywanie systemu zarządzania bezpieczeństwem informacji.
Nie chodzi jednak wyłącznie o przygotowanie dokumentacji. W praktyce system ten powinien obejmować rzeczywiste środki organizacyjne i techniczne, dostosowane do sposobu funkcjonowania organizacji oraz do systemów informacyjnych wykorzystywanych przy świadczeniu usług.
Dlatego warto sprawdzić nie tylko to, czy w firmie istnieją polityki i procedury, lecz także czy są one rzeczywiście stosowane, czy przypisano odpowiedzialności oraz czy organizacja posiada mechanizmy identyfikacji ryzyka i reagowania na incydenty.
Jeżeli podmiot spełniał przesłanki uznania go za podmiot kluczowy albo podmiot ważny już w dniu wejścia w życie ustawy, obowiązki z tego obszaru powinny zostać wykonane do 3 kwietnia 2027 r.
Zgłaszanie incydentów – jakie terminy warto uwzględnić
Nowe przepisy nakładają na podmioty objęte ustawą obowiązek zgłaszania incydentów poważnych do właściwego CSIRT sektorowego. Zasady raportowania zostały określone w art. 11–12b ustawy.
Co do zasady zgłoszenie powinno nastąpić niezwłocznie, nie później niż w terminie 72 godzin od wykrycia incydentu. Następnie podmiot powinien przekazać sprawozdanie końcowe z obsługi incydentu w terminie miesiąca od dnia zgłoszenia.
Warto przy tym pamiętać, że ustawa przewiduje szczególne rozwiązania dla dostawców usług zaufania. W niektórych przypadkach stosuje się wobec nich krótszy, 24-godzinny termin zgłoszenia. Nie należy jednak automatycznie odnosić tego terminu do wszystkich podmiotów kluczowych i ważnych bez wyraźnej podstawy ustawowej.
W praktyce ten obszar warto uporządkować odpowiednio wcześnie. Sama procedura opisana na papierze może nie być wystarczająca, jeżeli organizacja nie posiada sprawnego modelu identyfikacji incydentu, ścieżki eskalacji oraz osób odpowiedzialnych za podejmowanie decyzji w wymaganych terminach. Wewnętrzna procedura powinna jasno określać, kto ocenia, czy dane zdarzenie spełnia kryteria incydentu poważnego, oraz kto odpowiada za przygotowanie zgłoszenia i sprawozdania końcowego.
W przypadku podmiotów, które przed wejściem w życie nowelizacji były operatorami usług kluczowych, nowe zasady zgłaszania incydentów należy stosować najpóźniej od 3 października 2026 r., czyli po upływie 6 miesięcy od wejścia w życie ustawy.
Zarząd i kadra kierownicza – dlaczego nowe obowiązki nie dotyczą wyłącznie działu IT
Nowe obowiązki w zakresie cyberbezpieczeństwa nie powinny być traktowane wyłącznie jako zagadnienie techniczne. NIS2 zakłada zaangażowanie organów zarządzających, w tym obowiązek zapewnienia odpowiedniego poziomu wiedzy i nadzoru nad realizacją wymogów ustawowych.
Prawo krajowe wzmacnia ten kierunek przez wprowadzenie mechanizmu osobistej odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za niewykonanie określonych obowiązków ustawowych.
Z tego względu przedsiębiorcy powinni upewnić się, czy odpowiedzialność za cyberbezpieczeństwo została właściwie przypisana, czy zarząd posiada odpowiedni poziom wiedzy o nowych regulacjach oraz czy organizacja jest przygotowana do podejmowania decyzji w sytuacji incydentu.
W praktyce nowe przepisy wymagają więc nie tylko wsparcia po stronie IT, lecz także realnego zaangażowania osób odpowiedzialnych za zarządzanie organizacją i nadzór nad zgodnością.
Sankcje administracyjne – jakie ryzyko warto uwzględnić
NIS2 zobowiązuje państwa członkowskie do wprowadzenia wysokich administracyjnych kar pieniężnych.
W przypadku podmiotów kluczowych maksymalny poziom kary wynosi 10 000 000 euro albo 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. W przypadku podmiotów ważnych limit ten wynosi 7 000 000 euro albo 1,4% obrotu, w zależności od tego, która z tych kwot jest wyższa.
Ustawa również przewiduje administracyjne kary pieniężne nakładane przez właściwy organ do spraw cyberbezpieczeństwa. Warto jednak pamiętać, że zgodnie z przepisami przejściowymi nowe kary pieniężne będą mogły zostać nałożone po raz pierwszy dopiero po upływie 2 lat od dnia wejścia w życie ustawy.
Nie oznacza to jednak, że przygotowania można odłożyć. Okres przejściowy warto potraktować jako czas na uporządkowanie procesów, ocenę ryzyk i wdrożenie rozwiązań, które ograniczą ryzyko naruszeń w przyszłości.
Co przedsiębiorcy powinni zrobić już teraz
Z perspektywy praktycznej warto rozpocząć od ustalenia, czy organizacja spełnia kryteria uznania jej za podmiot kluczowy albo podmiot ważny. Następnie należy porównać obecne środki organizacyjne i techniczne z wymaganiami wynikającymi z ustawy oraz ocenić, czy organizacja jest przygotowana do terminowego zgłaszania incydentów i podejmowania decyzji po stronie osób zarządzających. Równolegle warto uporządkować relacje z dostawcami i podwykonawcami, jeżeli wykorzystywane rozwiązania zewnętrzne mają wpływ na bezpieczeństwo systemów informacyjnych używanych przy świadczeniu usług.
Dlaczego warto przeprowadzić indywidualną analizę
W praktyce w wielu przypadkach decydujące znaczenie będzie miała prawidłowa ocena statusu organizacji oraz właściwe zaplanowanie działań dostosowawczych. Dlatego w razie wątpliwości warto przeanalizować sytuację podmiotu indywidualnie – zarówno pod kątem zakresu obowiązków, jak i terminów wdrożenia oraz ryzyk po stronie zarządu i osób odpowiedzialnych za zgodność.
Ważne zastrzeżenie dotyczące informacji
Powyższe informacje mają charakter ogólny, nie stanowią porady prawnej ani podatkowej i są zgodne ze stanem prawnym na dzień ich przygotowania.