2 marca 2026 roku w Dzienniku Ustaw opublikowano nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UoKSC). To polska implementacja unijnej dyrektywy NIS 2, która rozszerza krąg podmiotów objętych obowiązkami cyberbezpieczeństwa o tysiące firm z sektora MŚP. Jeśli prowadzisz firmę w jednym z regulowanych sektorów - masz dokładnie rok na wdrożenie. Sprawdź, czego wymaga ustawa i jak się przygotować.

Dlaczego NIS 2 dotyczy MŚP?

Poprzednia wersja dyrektywy NIS z 2016 roku obejmowała głównie duże organizacje - operatorów infrastruktury krytycznej. NIS 2 zmienia ten model radykalnie: zamiast wybranych gigantów, regulacja obejmuje teraz całe sektory i wszystkie firmy powyżej określonego progu wielkości.

W praktyce oznacza to, że do krajowego systemu cyberbezpieczeństwa (KSC) wchodzi wiele firm, które do tej pory nie miały żadnych obowiązków w tym zakresie. Nowe podmioty ważne i kluczowe muszą wdrożyć systemy zarządzania ryzykiem, procedury obsługi incydentów i - w przypadku podmiotów kluczowych - przejść regularny audyt bezpieczeństwa.

Kogo dotyczy nowe KSC?

Ustawa wprowadza dwie kategorie podmiotów: kluczowe i ważne. Przynależność zależy od sektora i wielkości firmy.

Podmiot kluczowy

To firma działająca w sektorze z Załącznika nr 1 (energia, transport, bankowość, infrastruktura cyfrowa, ochrona zdrowia i inne), która przekracza próg średniego przedsiębiorcy - czyli zatrudnia powyżej 250 osób lub osiąga roczny obrót powyżej 50 mln EUR. Ważny wyjątek: dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) wchodzą jako podmiot kluczowy już od progu małego przedsiębiorcy.

Podmiot ważny

To firma z sektora z Załącznika nr 1 lub 2, która spełnia próg średniego przedsiębiorcy (50–249 pracowników, obrót 10–50 mln EUR). Niezależnie od wielkości jako podmiot ważny wchodzą m.in. niekwalifikowani dostawcy usług zaufania oraz mikro- i mali przedsiębiorcy telekomunikacyjni.

Uwaga na grupy kapitałowe: jeśli firma jest powiązana lub partnerska z większym podmiotem, dane finansowe i kadrowe liczy się łącznie zgodnie z art. 6 rozporządzenia 651/2014/UE.

Kluczowe daty - harmonogram obowiązków

Poniższa tabela pokazuje konkretne terminy wynikające z ustawy dla podmiotów, które spełniały przesłanki już w dniu wejścia w życie ustawy (2 kwietnia 2026 r.). Dla podmiotów uznanych później decyzją organu terminy biegną od daty doręczenia decyzji.

Data Obowiązek Co zrobić Podstawa
2 marca 2026 Publikacja ustawy Ustawa ogłoszona w Dz.U. Startuje vacatio legis. Dz.U. poz. 252
2 kwietnia 2026 Wejście w życie Sprawdź, czy firma spełnia przesłanki podmiotu kluczowego lub ważnego. Art. 49
2 maja 2026 Wykaz + harmonogram wpisów Minister tworzy wykaz i ogłasza harmonogram składania wniosków wg sektorów. Art. 34 ust. 1,3
2 kwietnia 2027 * Pełne obowiązki rozdz. 3 System zarządzania ryzykiem, środki bezpieczeństwa, zgłaszanie incydentów do CSIRT, dokumentacja, osoba kontaktowa (MŚP). Art. 33 ust. 1, Art. 9 ust. 2
2 kwietnia 2028 * Pierwszy audyt (podm. kluczowe) Audyt bezpieczeństwa systemów informacyjnych. Uwaga: kary z art. 73 stają się aktywne, lecz inne kary mogą być nakładane wcześniej. Art. 33 ust. 2, Art. 35

* Terminy dla podmiotów spełniających przesłanki w dniu wejścia ustawy. Dla podmiotów uznanych decyzją organu terminy biegną od doręczenia decyzji. System teleinformatyczny: dostęp po uzyskaniu wpisu do wykazu.

Co konkretnie musisz wdrożyć?

Rozdział 3 ustawy określa katalog obowiązków dla podmiotów kluczowych i ważnych. Oto najważniejsze z nich:

System zarządzania bezpieczeństwem informacji (SZBI)

Podstawa wszystkiego. Podmiot musi wdrożyć procesy systematycznego szacowania ryzyka, zarządzania podatnościami i ciągłości działania. Wzorem może być norma ISO 27001, choć ustawa nie wymaga certyfikacji.

Środki techniczne i organizacyjne

Ustawa wymaga stosowania środków odpowiednich do ryzyka, w tym:

  1. polityki bezpieczeństwa sieci i systemów informacyjnych
  2. zarządzania incydentami - wykrywanie, obsługa, raportowanie
  3. bezpieczeństwa łańcucha dostaw - weryfikacja dostawców ICT
  4. bezpieczeństwa przy pozyskiwaniu i utrzymaniu systemów
  5. szkoleń z cyberbezpieczeństwa dla pracowników
  6. kryptografii i szyfrowania tam, gdzie jest to uzasadnione

Zgłaszanie incydentów poważnych

Podmiot kluczowy lub ważny musi zgłaszać incydenty poważne do właściwego CSIRT sektorowego. System wieloetapowy: wczesne ostrzeżenie, zgłoszenie właściwe i sprawozdanie końcowe - każde w ściśle określonym czasie.

Odpowiedzialność kierownictwa

Nowość w stosunku do poprzedniej ustawy: kierownik podmiotu kluczowego lub ważnego odpowiada osobiście za wdrożenie obowiązków. Ustawa przewiduje kary dla kierownictwa - nie tylko dla spółki.

Szczególne ułatwienia dla mikro- i małych przedsiębiorców

Ustawa dostrzega specyfikę mniejszych firm. Mikro- i mali przedsiębiorcy będący podmiotami klucznymi lub ważnymi:

  1. nie muszą tworzyć rozbudowanego działu bezpieczeństwa - wystarczy wyznaczenie co najmniej jednej osoby odpowiedzialnej za kontakt z podmiotami KSC (Art. 9 ust. 2),
  2. mają te same terminy co większe firmy, ale zakres wymagań jest proporcjonalny do skali działania i ryzyka.

Proporcjonalność to kluczowe słowo w ustawie. Środki bezpieczeństwa muszą być "odpowiednie" - to oznacza, że mała firma nie musi budować Security Operations Center, ale musi mieć świadome podejście do ryzyka.

Co grozi za brak zgodności?

Ustawa przewiduje surowe kary. Dla podmiotów kluczowych maksymalna kara to 10 mln EUR lub 2% całkowitego rocznego obrotu (wyższa z tych kwot). Dla podmiotów ważnych - 7 mln EUR lub 1,4% obrotu.

Ważne zastrzeżenie: kary z art. 73 stają się aktywne dopiero po upływie 2 lat od wejścia ustawy w życie (art. 35). Nie oznacza to jednak, że przez dwa lata można ignorować obowiązki - inne kary (np. za nieuzupełnienie danych w wykazie podmiotów po wezwaniu organu) mogą być nakładane znacznie wcześniej.

Od czego zacząć? Praktyczne kroki

Nie czekaj na ostatnią chwilę. Rok to mało, szczególnie jeśli firma nie ma dotychczas formalnych procesów bezpieczeństwa. Oto priorytety:

  1. Krok 1 - Sprawdź status (teraz): Zweryfikuj, czy firma spełnia przesłanki podmiotu kluczowego lub ważnego. Zwróć uwagę na sektor działalności i próg wielkości.
  2. Krok 2 - Monitoruj komunikat ministra (maj 2026): Minister ds. informatyzacji ogłosi harmonogram składania wniosków wg sektorów. To wyznacznik terminu rejestracji.
  3. Krok 3 - Analiza luk (Q2–Q3 2026): Przeprowadź gap analysis względem wymagań rozdziału 3 ustawy. Zidentyfikuj, czego brakuje: procesów, dokumentacji, narzędzi.
  4. Krok 4 - Wdrożenie SZBI (Q3 2026 – Q1 2027): Zbuduj lub dostosujesz system zarządzania bezpieczeństwem. Zaangażuj pracowników - świadomość to fundament.
  5. Krok 5 - Rejestracja i audyt (do 2.04.2027 / 2.04.2028): Złóż wniosek o wpis do wykazu zgodnie z harmonogramem ministra. Podmioty kluczowe - zaplanuj pierwszy audyt.

Podsumowując...

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa oznacza istotną zmianę dla wielu firm działających w Polsce. Dla części organizacji będzie to pierwsze zetknięcie z obowiązkami dotyczącymi systemowego zarządzania cyberbezpieczeństwem. Kluczowe będzie nie tylko przygotowanie dokumentacji czy spełnienie wymogów formalnych, ale przede wszystkim wdrożenie praktycznych mechanizmów zarządzania ryzykiem, reagowania na incydenty oraz budowania świadomości pracowników. Właśnie w tym obszarze duże znaczenie mają programy cyber awareness - regularne szkolenia, symulacje phishingowe oraz budowanie dobrych nawyków bezpieczeństwa wśród pracowników.

Rozwiązania takie jak KnowBe4 pomagają organizacjom wprowadzić systemowe podejście do edukacji użytkowników i mierzyć realny poziom podatności na ataki. Firmy, które rozpoczną przygotowania odpowiednio wcześnie i potraktują cyberbezpieczeństwo jako element stabilności biznesu, będą znacznie lepiej przygotowane na nowe wymagania wynikające z NIS2 i krajowych regulacji.