Stan prawny na: 14 lipca 2026 r.
Większość właścicieli firm w Polsce nadal myśli, że NIS2 dotyczy tylko banków i operatorów telekomunikacyjnych. To błąd, który może kosztować 10 milionów euro. Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie 3 kwietnia 2026 roku i według rządowej Oceny Skutków Regulacji obejmie około 38 000 podmiotów. Nowe obowiązki sięgają od energetyki, przez produkcję żywności i gospodarkę odpadami, po platformy handlowe online i usługi pocztowe. Jeśli prowadzisz firmę średniej wielkości w którymkolwiek z tych sektorów, prawdopodobnie podlegasz nowym przepisom. A pierwszy twardy deadline to 3 października 2026 roku.
Najważniejszy termin: 3 października 2026 r.
Do 3 października 2026 roku musisz złożyć wniosek o wpis do Wykazu Podmiotów Kluczowych i Ważnych, jeśli twoja firma spełnia kryteria NIS2. Okno samorejestracji otworzyło się 7 maja 2026 roku. To nie jest termin na wdrożenie wszystkich zabezpieczeń. To jest termin na jedną rzecz: rejestrację. Jeśli go przegapisz, właściwy organ sektorowy może wpisać cię do wykazu z urzędu, a brak rejestracji w terminie jest odrębnym naruszeniem zagrożonym karą administracyjną.
Rejestracja jest deklaratoryjna: to ty oceniasz, czy podlegasz. Potrzebujesz podpisu elektronicznego (kwalifikowany, profil zaufany lub e-dowód) i podstawowych danych firmy wraz z zakresem adresów IP i domen. Wniosek składasz elektronicznie przez aplikację Wykaz KSC, będącą częścią ekosystemu S46. Problem w tym, że większość firm nawet nie zaczęła analizy, czy w ogóle podlegają.
Kogo dotyczy NIS2: dwie kategorie i pułapki
Ustawa dzieli podmioty na dwie kategorie: kluczowe i ważne. Różnią się poziomem nadzoru, zakresem obowiązków i wysokością kar, ale obowiązek rejestracji dotyczy obu.
Klasyfikacja zależy od dwóch rzeczy: sektora działalności (załączniki nr 1 i nr 2 do ustawy) oraz wielkości przedsiębiorstwa. Przy ustalaniu wielkości należy uwzględnić dane przedsiębiorstw partnerskich i powiązanych zgodnie z unijnymi zasadami kwalifikacji MŚP: przedsiębiorstwa powiązane agreguje się w całości, partnerskie proporcjonalnie do udziału. Wyjątek: jeśli systemy informacyjne są w pełni niezależne, a podmioty nie świadczą tej samej usługi, możesz być traktowany osobno.
Jesteś podmiotem kluczowym, jeśli:
Działasz w sektorze z załącznika nr 1 (energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, przestrzeń kosmiczna, podmioty publiczne) oraz jesteś dużym przedsiębiorstwem: zatrudniasz co najmniej 250 osób lub masz roczny obrót powyżej 50 mln EUR i sumę bilansową powyżej 43 mln EUR.
Niezależnie od wielkości, za podmioty kluczowe uznaje się również (art. 5 ust. 1 pkt 4 ustawy o KSC):
- dostawców usług DNS,
- kwalifikowanych dostawców usług zaufania,
- podmioty krytyczne (w rozumieniu dyrektywy CER),
- rejestry TLD i rejestratorów nazw domen,
- operatorów obiektów energetyki jądrowej,
- średnich i dużych przedsiębiorców komunikacji elektronicznej,
- dostawców usług zarządzanych w zakresie cyberbezpieczeństwa (niezależnie od wielkości: mali, średni i duzi).
Jesteś podmiotem ważnym, jeśli:
Działasz w sektorze z załącznika nr 1 lub załącznika nr 2 (usługi pocztowe, inwestycje energetyki jądrowej, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja wyrobów medycznych, komputerów, elektroniki i pojazdów, dostawcy usług cyfrowych, badania naukowe, podmioty publiczne niebędące kluczowymi) oraz jesteś co najmniej średnim przedsiębiorstwem: zatrudniasz co najmniej 50 osób lub masz roczny obrót powyżej 10 mln EUR i sumę bilansową powyżej 10 mln EUR.
Kluczowa pułapka: średniej wielkości platforma handlowa online (model marketplace, nie zwykły sklep), firma produkująca elektronikę na eksport, regionalna sieć wodociągów. Wszystkie trzy wpadają w NIS2, a ich właściciele często nie mają o tym pojęcia.
Jeśli nadal nie jesteś pewien, skorzystaj z oficjalnego kwestionariusza samooceny na biznes.gov.pl. To darmowe narzędzie Ministerstwa Cyfryzacji.
Harmonogram: co i do kiedy
| Termin | Obowiązek |
|---|---|
| 3 kwietnia 2026 r. | Ustawa wchodzi w życie. Obowiązek samoidentyfikacji od tego dnia. |
| 7 maja 2026 r. | Uruchomienie składania wniosków o wpis do Wykazu KSC. |
| 3 października 2026 r. | Ostateczny termin złożenia wniosku o wpis (6 miesięcy od wejścia w życie dla podmiotów spełniających kryteria w dniu 3.04.2026). |
| 3 kwietnia 2027 r. | Termin pełnego wdrożenia SZBI, procedur zarządzania ryzykiem, zgłaszania incydentów i podłączenia do systemu S46 (12 miesięcy). |
| 3 kwietnia 2028 r. | Początek stosowania administracyjnych kar pieniężnych. Termin pierwszego obowiązkowego audytu dla podmiotów kluczowych, które nie były wcześniej operatorami usług kluczowych (OUK). |
Dane na podstawie oficjalnego komunikatu Ministerstwa Cyfryzacji z 5 czerwca 2026 r.. System S46 do zgłaszania incydentów i komunikacji z CSIRT został udostępniony nowym podmiotom 12 czerwca 2026 r.
Kary, które bolą naprawdę
Nowelizacja UKSC zastąpiła symboliczny system kar (maksymalnie 200 tys. zł w starej ustawie) modelem powiązanym z obrotem firmy i rozszerzonym na osoby fizyczne. Skala jest nieporównywalna:
- Podmioty kluczowe: kara do 10 mln EUR lub 2% rocznego obrotu.
- Podmioty ważne: kara do 7 mln EUR lub 1,4% rocznego obrotu.
- Kara nadzwyczajna: do 100 mln zł za kwalifikowane naruszenia.
- Odpowiedzialność osobista kierownictwa: do 300% miesięcznego wynagrodzenia kierownika podmiotu prywatnego, do 100% w podmiocie publicznym. Podstawa: art. 73a ustawy o KSC.
- Zakaz pełnienia funkcji zarządczych w podmiocie kluczowym do czasu usunięcia naruszeń.
To oznacza, że prezes średniej firmy produkcyjnej z pensją 25 000 zł brutto może dostać karę 75 000 zł osobiście. I nie może zasłonić się spółką.
Źródło kar: analiza nowelizacji UKSC Wolters Kluwer oraz alert prawny KPMG Law.
"Mnie to nie dotyczy": trzy błędne założenia
W dyskusjach z właścicielami firm regularnie pojawiają się te same argumenty. Oto dlaczego są błędne:
1. "Mam 40 pracowników, NIS2 jest dla dużych."
Nieprawda. Próg dla podmiotów ważnych to 50 pracowników lub 10 mln EUR obrotu i 10 mln EUR sumy bilansowej. Firma z 40 pracownikami, 12 mln EUR obrotu i sumą bilansową powyżej 10 mln EUR (np. hurtownia elektroniki, dystrybutor chemii) podlega NIS2. Dodatkowo pamiętaj o agregacji danych przedsiębiorstw powiązanych: jeśli należysz do grupy, musisz zsumować zatrudnienie i finanse całej grupy. Firma z 40 pracownikami należąca do holdingu zatrudniającego łącznie 60 osób przekracza próg.
2. "Prowadzę sklep internetowy, po co mi to."
Zależy jaki. Platformy handlowe online (model marketplace: pośredniczysz w sprzedaży między wieloma sprzedawcami a klientami) są wymienione w załączniku nr 2 jako podmioty ważne. Natomiast zwykły sklep sprzedający wyłącznie własne produkty nie jest platformą handlową w rozumieniu ustawy i co do zasady nie podlega NIS2 tylko z tytułu prowadzenia e-commerce. Granica bywa płynna: jeśli dopuszczasz zewnętrznych sprzedawców, choćby okazjonalnie, sprawdź to z prawnikiem.
3. "RODO też miało być straszne i nikt nie dostał kary."
RODO wprowadziło kary po 2 latach od wejścia w życie. NIS2 działa podobnie: kary administracyjne zaczną być nakładane od 3 kwietnia 2028 roku. Ale rejestracja jest wymagana już teraz, wdrożenie za rok. Brak terminowego wpisu może stanowić naruszenie podlegające sankcji po rozpoczęciu stosowania przepisów o karach. Poza tym NIS2 różni się od RODO jedną kluczową rzeczą: przy RODO karana jest organizacja. Przy NIS2 karany jest też osobiście zarząd (art. 73a ustawy o KSC).
Co zrobić w tym tygodniu: 5 kroków
Nie potrzebujesz od razu wdrażać SZBI ani zatrudniać CISO. Potrzebujesz pięciu rzeczy na już:
Krok 1: Samoidentyfikacja (10 minut). Przejdź przez kwestionariusz na biznes.gov.pl. Odpowiedz na pytania o sektor, wielkość firmy, strukturę grupy kapitałowej i rodzaj działalności. System powie ci, czy jesteś podmiotem kluczowym, ważnym, czy nie podlegasz.
Krok 2: Decyzja zarządu (1 godzina). Jeśli podlegasz, zwołaj krótkie spotkanie zarządu. Ustalcie, kto odpowiada za proces rejestracji i kto będzie osobą wyznaczoną do kontaktów z CSIRT. Udokumentujcie to na piśmie: protokół z decyzją zarządu to pierwszy dowód należytej staranności.
Krok 3: Zbierz dane techniczne (30 minut). Potrzebujesz listy adresów IP, domen i podstawowych kontaktów technicznych. To zwykle ma administrator IT lub zewnętrzna firma hostingowa. Nie czekaj z tym na ostatni tydzień września.
Krok 4: Zarejestruj się w Wykazie KSC (15 minut). Zaloguj się do aplikacji Wykaz KSC podpisem elektronicznym (kwalifikowanym, profilem zaufanym lub e-dowodem), wypełnij formularz. Masz czas do 3 października. Nie odkładaj na ostatni dzień: system może być przeciążony. Pamiętaj, że po rejestracji masz 14 dni na zgłoszenie każdej zmiany danych.
Krok 5: Zaplanuj wdrożenie SZBI (termin: 3 kwietnia 2027 r.). Masz 12 miesięcy na pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji. Dla średniej firmy SZBI oznacza w praktyce: analizę ryzyka i politykę bezpieczeństwa informacji, procedury zgłaszania i obsługi incydentów (24h early warning, 72h pełne zgłoszenie, raport końcowy w ciągu miesiąca), ocenę bezpieczeństwa łańcucha dostaw ICT, plany ciągłości działania i disaster recovery, zarządzanie dostępem i MFA, szkolenia personelu oraz coroczne szkolenie kierownictwa (art. 8e ust. 1 ustawy o KSC), a także weryfikację niekaralności personelu obsługującego SZBI lub incydenty (art. 8f). Podmioty kluczowe dodatkowo muszą przeprowadzać audyt bezpieczeństwa co 3 lata. Zacznij od analizy ryzyka: ona wskaże, które elementy są dla ciebie priorytetowe. W razie braku kompetencji wewnętrznych rozważ wsparcie prawnika lub audytora specjalizującego się w KSC/NIS2.
Czego nie mówią przewodniki prawne
Standardowe opracowania NIS2 cytują artykuły ustawy i straszą karami. Przydatne, ale pomijają praktyczny wzorzec, który widzieliśmy już przy RODO: firmy reagują dopiero, gdy słyszą o pierwszych karach. Przy RODO ten moment nastąpił około 2020 roku, dwa lata po wejściu przepisów. Przy NIS2 mechanizm jest ten sam: kary ruszają od kwietnia 2028, ale obowiązki rejestracyjne i wdrożeniowe trzeba spełnić dużo wcześniej.
Różnica jest taka, że stawka jest wyższa: osobista odpowiedzialność zarządu sprawia, że nie możesz delegować ryzyka na dział prawny i zapomnieć o sprawie.
Ten tekst będzie aktualizowany po istotnych zmianach prawnych lub organizacyjnych w systemie KSC.
Najczęstsze pytania
Czy NIS2 dotyczy jednoosobowej działalności gospodarczej?
Co do zasady nie. NIS2 obejmuje podmioty zatrudniające co najmniej 50 pracowników lub osiągające 10 mln EUR obrotu (podmioty ważne) albo 250 pracowników lub 50 mln EUR obrotu (podmioty kluczowe), z uwzględnieniem sumy bilansowej oraz agregacji przedsiębiorstw powiązanych i partnerskich. JDG rzadko przekracza te progi. Wyjątkiem są enumeratywnie wymienione kategorie z art. 5 ust. 1 pkt 4 ustawy o KSC: dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, rejestratorzy nazw domen i dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa. Te podmioty podlegają NIS2 niezależnie od wielkości, również jako JDG.
Co się stanie, jeśli nie zarejestruję się do 3 października?
Właściwy organ sektorowy (np. minister właściwy ds. cyfryzacji, minister zdrowia) może wpisać cię do wykazu z urzędu. Brak rejestracji w terminie jest naruszeniem, za które grozi kara administracyjna po 3 kwietnia 2028 roku. Nie ma kary natychmiastowej, ale zwlekanie nie ma sensu: obowiązek nie zniknie, a terminowe działanie daje ci pełną kontrolę nad procesem i czas na przygotowanie danych bez presji czasu.
Czym NIS2 różni się od RODO?
RODO chroni dane osobowe i dotyczy każdej firmy przetwarzającej takie dane. NIS2 chroni ciągłość działania kluczowych usług i dotyczy tylko firm w sektorach wymienionych w załącznikach nr 1 i nr 2 do ustawy o KSC. RODO karze organizację. NIS2 karze organizację i osobiście kierownictwo (art. 73a ustawy o KSC). RODO opiera się na zgodzie i podstawach przetwarzania. NIS2 opiera się na zarządzaniu ryzykiem, zgłaszaniu incydentów i bezpieczeństwie łańcucha dostaw ICT.
Czy muszę zatrudnić specjalistę od cyberbezpieczeństwa?
Ustawa wymaga wyznaczenia osoby, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa (art. 8e ust. 1). W średniej firmie może to być obecny kierownik IT, zewnętrzny konsultant lub członek zarządu. Ta osoba musi raz w roku kalendarzowym przejść udokumentowane szkolenie obejmujące zakres obowiązków ustawowych. Dodatkowo personel obsługujący SZBI lub zajmujący się reagowaniem na incydenty podlega weryfikacji niekaralności za przestępstwa przeciwko ochronie informacji (art. 8f).
Czy jak kupię ubezpieczenie od cyberryzyka, to jestem bezpieczny?
Nie. Ubezpieczenie to warstwa finansowa na wypadek incydentu, ale nie zastępuje obowiązków ustawowych: rejestracji w wykazie, wdrożenia SZBI, zgłaszania incydentów przez S46 i audytów zgodności. Możesz mieć polisę i jednocześnie dostać karę administracyjną za brak rejestracji. Ubezpieczenie to element zarządzania ryzykiem, nie compliance.
Źródła
- Komunikat Ministerstwa Cyfryzacji: obowiązki podmiotów kluczowych i ważnych (gov.pl)
- NIS2 w Polsce: nowe obowiązki firm w ustawie o KSC (biznes.gov.pl)
- Alert prawny KPMG Law: dyrektywa NIS2 wdrożona w Polsce (19.06.2026)
- Q&A Ministerstwa Cyfryzacji: nowelizacja KSC (czerwiec 2026)
- Kogo i w jakim zakresie trzeba szkolić: art. 8e i 8f ustawy o KSC (Compendium CE)
