Dyrektywa NIS2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) w praktyce zmieniają zasady gry dla wielu polskich firm – szczególnie tych uznanych za podmioty kluczowe lub ważne.
Czym jest NIS2 i jak została wdrożona w Polsce?
NIS2 to unijna dyrektywa ustanawiająca jednolite minimalne wymagania cyberbezpieczeństwa w całej UE, następczyni pierwszej dyrektywy NIS z 2016 r. Jej celem jest podniesienie odporności cyfrowej państw, firm i instytucji poprzez obowiązkowe zarządzanie ryzykiem, obsługę incydentów oraz wzmocniony nadzór nad infrastrukturą krytyczną.
W Polsce NIS2 została zaimplementowana przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (ustawa KSC), uchwaloną przez Sejm 22 stycznia 2026 r. i podpisaną przez Prezydenta 19 lutego 2026 r. Nowe przepisy wejdą w życie po miesiącu od ogłoszenia i wprowadzają m.in. nowy zakres podmiotowy, nowe wymagania oraz system kar finansowych.
Kogo dotyczą nowe obowiązki?
Nowelizacja KSC, wdrażająca NIS2, wprowadza podział na podmioty kluczowe i podmioty ważne.
Podmioty kluczowe: np. energetyka, transport, bankowość, ochrona zdrowia, wodociągi, infrastruktura cyfrowa – podlegają ściślejszemu nadzorowi (ex ante) i wyższym karom (do 10 mln EUR lub 2% obrotu).
Podmioty ważne: np. przemysł, produkcja żywności, usługi pocztowe, wybrane usługi cyfrowe – objęte są nadzorem następczym (ex post), ale mają takie same obowiązki merytoryczne jak podmioty kluczowe, dostosowane proporcjonalnie do ryzyka.
Co do zasady regulacje obejmują co najmniej średnie przedsiębiorstwa, a w niektórych sektorach także mniejsze jednostki, jeśli znaczenie ich usług jest krytyczne dla bezpieczeństwa państwa lub obywateli.
Kluczowe obowiązki według NIS2 i ustawy KSC
Dyrektywa NIS2 oraz znowelizowana ustawa KSC nakładają na podmioty objęte regulacją katalog minimalnych obowiązków z zakresu cyberbezpieczeństwa.
Do najważniejszych należą:
Wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie (analiza ryzyka, polityki, procedury).
Obsługa incydentów, w tym przygotowane procedury reagowania i przywracania ciągłości działania.
Zapewnienie ciągłości działania (BCP/DRP) i odporności systemów wykorzystywanych do świadczenia usług kluczowych.
Bezpieczeństwo łańcucha dostaw – ocena i nadzorowanie dostawców, możliwość wykluczania dostawców wysokiego ryzyka.
Nadzór zarządczy – odpowiedzialność kierownictwa za cyberbezpieczeństwo i nadzór nad realizacją wymogów.
Obowiązek zgłaszania poważnych incydentów do właściwych CSIRT w określonych terminach oraz informowania użytkowników o poważnych zagrożeniach.
Co powinna zrobić firma – praktyczne kroki
Nowelizacja KSC przewiduje, że wdrożenie NIS2 jest procesem długofalowym, a nie jednorazowym „odhaczeniem checklisty”.
Typowe kroki, jakie warto podjąć:
Sprawdzenie, czy firma będzie podmiotem kluczowym lub ważnym (sektor, wielkość, typ usług). Przeprowadzenie audytu zgodności/gap analysis względem wymogów NIS2 i KSC. Opracowanie mapy ryzyk i priorytetów inwestycyjnych (technicznych i organizacyjnych). Przygotowanie i wdrożenie polityk, procedur, planów ciągłości działania i scenariuszy reagowania na incydenty. Zbudowanie lub wzmocnienie wewnętrznych kompetencji (np. zespół odpowiedzialny za cyberbezpieczeństwo, szkolenia kadry menedżerskiej). Zapewnienie sprawnego raportowania incydentów do CSIRT poprzez system S46 i wewnętrznych mechanizmów zgłaszania.