Używamy wyłącznie niezbędnych plików cookies / local storage do utrzymania sesji, ustawień workspace i preferencji UI. Nie używamy cookies marketingowych ani analitycznych stron trzecich. Szczegóły w Polityce prywatności.

    Polityka
    InInk
    Prawo gospodarcze·InInk Blog

    NIS2 w Polsce 2026 — nowelizacja KSC. Podmioty kluczowe, ważne, raportowanie i kary

    Dyrektywa NIS2 (2022/2555) wymaga od 17 października 2024 r. wdrożenia środków cyberbezpieczeństwa w tysiącach polskich firm. Sprawdź obowiązki podmiotów kluczowych i ważnych, raportowanie incydentów w 24/72 godziny, środki techniczne oraz kary do 10 mln EUR.

    9 min czytania

    TL;DR

    • NIS2 = dyrektywa (UE) 2022/2555 z 14 grudnia 2022 r. zastępująca pierwszą dyrektywę NIS z 2016 r. Termin transpozycji: 17 października 2024 r.
    • Polska transpozycja: nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), procedowana w 2024-2025 r. W okresie luki czasowej organy stosują dyrektywę bezpośrednio wobec podmiotów publicznych.
    • Dwie kategorie podmiotów: kluczowe (essential) i ważne (important). Klasyfikacja zależy od sektora i wielkości (zwykle 250+ pracowników lub 50 mln EUR obrotu = kluczowy; 50+ pracowników lub 10 mln EUR = ważny).
    • 18 sektorów objętych regulacją — energetyka, transport, bankowość, infrastruktura cyfrowa, ICT, administracja publiczna, sektor kosmiczny, produkcja krytyczna, żywność, gospodarka odpadami i wiele innych.
    • Obowiązki: wdrożenie środków zarządzania ryzykiem (10 obszarów), raportowanie istotnych incydentów w 24 godziny (wstępne) i 72 godziny (pełne), polityka łańcucha dostaw, szkolenia, odpowiedzialność zarządu.
    • Kary: dla podmiotów kluczowych — do 10 mln EUR lub 2% globalnego obrotu; dla ważnych — do 7 mln EUR lub 1,4% globalnego obrotu. Dodatkowo — odpowiedzialność osobista członków zarządu, możliwość zawieszenia w pełnieniu funkcji kierowniczej.

    Od NIS do NIS2 — co się zmieniło

    Pierwsza dyrektywa NIS (2016/1148) obejmowała wąską listę "operatorów usług kluczowych" (OUK) oraz "dostawców usług cyfrowych" — w Polsce niespełna 400 podmiotów. NIS2 dziesiątkrotnie poszerza zakres i wprowadza:

    • nową klasyfikację: podmioty kluczowe i podmioty ważne (zamiast OUK/DUC);
    • 18 sektorów zamiast 7;
    • automatyczną kwalifikację po rozmiarze (250+/50+ pracowników) zamiast indywidualnej decyzji organu;
    • twarde terminy raportowania (24/72 godziny);
    • osobistą odpowiedzialność członków zarządu;
    • znacznie wyższe kary.

    W praktyce NIS2 wciąga do regulacji kilka tysięcy polskich firm, które dotąd nie miały żadnych obowiązków w zakresie cyberbezpieczeństwa — w tym duża część branży produkcyjnej, logistyki, sektora żywnościowego i ICT.

    Sektory objęte NIS2

    Sektory wysokiej krytyczności (Załącznik I — co do zasady podmioty kluczowe)

    1. Energetyka — energia elektryczna, system ciepłowniczy, ropa naftowa, gaz, wodór.
    2. Transport — lotniczy, kolejowy, wodny, drogowy.
    3. Bankowość i rynki finansowe (uzupełnia DORA).
    4. Ochrona zdrowia — szpitale, laboratoria referencyjne, produkcja wyrobów medycznych, badania nad farmaceutykami.
    5. Woda pitna i ścieki.
    6. Infrastruktura cyfrowa — IXP, DNS, TLD, chmury obliczeniowe, data center, CDN, dostawcy usług zaufania, sieci komunikacji elektronicznej.
    7. ICT B2B — dostawcy usług zarządzanych (MSP), dostawcy usług zarządzanych w zakresie bezpieczeństwa (MSSP).
    8. Administracja publiczna — szczebla centralnego i (opcjonalnie) regionalnego.
    9. Przestrzeń kosmiczna — operatorzy infrastruktury naziemnej.

    Sektory pozostałe (Załącznik II — co do zasady podmioty ważne)

    1. Usługi pocztowe i kurierskie.
    2. Gospodarka odpadami.
    3. Produkcja, wytwarzanie i dystrybucja chemikaliów.
    4. Produkcja, przetwarzanie i dystrybucja żywności.
    5. Produkcja: wyrobów medycznych, komputerów i elektroniki, maszyn, pojazdów silnikowych, innego sprzętu transportowego.
    6. Dostawcy usług cyfrowych — platformy handlu elektronicznego, wyszukiwarki, platformy społecznościowe.
    7. Badania naukowe — instytuty i ośrodki prowadzące badania o istotnym znaczeniu dla bezpieczeństwa, zdrowia publicznego.

    Klasyfikacja: kluczowy vs ważny

    KryteriumPodmiot kluczowyPodmiot ważny
    Sektor (Załącznik I) i wielkość250+ pracowników lub 50 mln EUR obrotu50-249 pracowników lub 10-50 mln EUR obrotu
    Sektor (Załącznik II)250+ pracowników lub 50 mln EUR obrotu50-249 pracowników lub 10-50 mln EUR obrotu
    Szczególne podmiotyDostawcy DNS, TLD, IXP, dostawcy usług zaufania, zarządzający chmurą, podmioty z domeny krytycznej (energetyka, woda, transport) — niezależnie od rozmiaru

    Mikrofirmy i małe firmy (poniżej 50 pracowników i poniżej 10 mln EUR obrotu) są zasadniczo wyłączone — z wyjątkiem podmiotów krytycznej infrastruktury (np. dostawca DNS rejestrujący domeny krajowe, niezależnie od rozmiaru).

    Jak sprawdzić swój status

    1. Sprawdź, czy twój kod PKD (Polska Klasyfikacja Działalności) wpada w jeden z 18 sektorów.
    2. Sprawdź liczbę pracowników (etaty + B2B + zlecenia) i roczny obrót za poprzedni rok finansowy.
    3. Wpisz się do Rejestru Podmiotów KSC prowadzonego przez ministra ds. informatyzacji (od 2025 r.).
    4. Otrzymasz klasyfikację (kluczowy/ważny) i wskazanie organu sektorowego (CSIRT NASK, CSIRT MON, CSIRT GOV, organy sektorowe — w zależności od branży).

    Brak rejestracji = grzywna do 100 tys. zł dla podmiotu i do 50 tys. zł osobiście dla kierownictwa.

    Dziesięć obszarów środków zarządzania ryzykiem

    Art. 21 dyrektywy NIS2 wymienia 10 minimalnych obszarów, w których podmioty muszą wdrożyć środki techniczne i organizacyjne:

    1. Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych.
    2. Obsługa incydentów — wykrywanie, reagowanie, eskalacja, dokumentacja.
    3. Ciągłość działania — backupy, zarządzanie kryzysowe, plan odtworzenia po awarii (DRP).
    4. Bezpieczeństwo łańcucha dostaw — w tym ocena dostawców ICT.
    5. Bezpieczeństwo w cyklu rozwoju oprogramowania (secure SDLC).
    6. Polityki i procedury oceny skuteczności środków zarządzania ryzykiem.
    7. Praktyki w zakresie cyber-higieny (np. zarządzanie hasłami, łatkami, prawami dostępu) i szkolenia.
    8. Polityki dotyczące kryptografii i szyfrowania.
    9. Bezpieczeństwo zasobów ludzkich, kontrola dostępu, zarządzanie aktywami.
    10. Uwierzytelnianie wieloskładnikowe (MFA), bezpieczna komunikacja, bezpieczne kanały ratunkowe.

    Dla MŚP środki muszą być proporcjonalne do skali działalności i ryzyka — ale podstawowe obszary (incydenty, backupy, MFA) są obowiązkowe niezależnie od wielkości.

    Raportowanie incydentów — twarde terminy

    NIS2 wprowadza trzystopniowy schemat zgłaszania istotnych incydentów do właściwego CSIRT (w Polsce — NASK, MON lub GOV) oraz organu nadzoru:

    KrokTerminCo zawiera
    Wczesne ostrzeżenie24 godziny od wykryciaInformacja o incydencie, podejrzewane przyczyny, wstępna ocena, czy ma charakter złośliwy lub transgraniczny
    Zgłoszenie wstępne72 godziny od wykryciaAktualizacja, wstępna ocena skali, wskaźniki naruszenia (IoC)
    Raport końcowy1 miesiąc od zgłoszenia wstępnegoSzczegółowy opis, przyczyny, wpływ, środki naprawcze i prewencyjne

    Istotny incydent = taki, który spowodował lub może spowodować poważne zakłócenie działalności lub straty finansowe, lub wpływa na inne podmioty, lub powoduje znaczne szkody majątkowe/niemajątkowe.

    W praktyce: ransomware z odpięciem serwerów produkcyjnych = istotny. Pojedynczy nieudany atak phishingowy = nie. Wątpliwości rozstrzyga rozporządzenie wykonawcze KE z 2024 r. — wprowadza progi liczbowe dla poszczególnych sektorów.

    Odpowiedzialność członków zarządu

    NIS2 wprowadza osobistą odpowiedzialność członków zarządu za naruszenia. Organy nadzoru mogą:

    • nałożyć karę pieniężną osobiście na członka zarządu odpowiedzialnego za bezpieczeństwo;
    • czasowo zawiesić go w pełnieniu funkcji kierowniczej;
    • nakazać opublikowanie informacji o naruszeniu wraz z nazwiskiem osoby odpowiedzialnej.

    Praktyczne skutki:

    1. Bezpieczeństwo informacji musi być stałym punktem w porządku obrad zarządu (co najmniej kwartalnie).
    2. Zarząd musi przejść szkolenie z cyberbezpieczeństwa.
    3. Decyzje budżetowe dotyczące cyberbezpieczeństwa muszą być udokumentowane (uchwały zarządu).
    4. Audyt zewnętrzny zgodności z NIS2 raz na 12-24 miesiące (zalecany, w niektórych przypadkach obowiązkowy).

    Kary

    Podmioty kluczowe

    • Administracyjna kara pieniężna do 10 mln EUR lub 2% rocznego światowego obrotu grupy (większa z dwóch kwot).
    • Możliwość zawieszenia certyfikatu/autoryzacji.
    • Nakaz wstrzymania działalności do czasu usunięcia naruszenia.

    Podmioty ważne

    • Administracyjna kara pieniężna do 7 mln EUR lub 1,4% rocznego światowego obrotu (większa).
    • Pozostałe sankcje analogicznie.

    Osobista odpowiedzialność zarządu

    • Grzywna nakładana osobiście (kwoty rzędu 50-500 tys. zł).
    • Czasowe zawieszenie w funkcji.
    • Wpis do rejestru ukaranych członków zarządu.

    Polityka łańcucha dostaw

    Jedna z największych zmian wprowadzonych przez NIS2 — odpowiedzialność za bezpieczeństwo dostawców. Podmioty kluczowe i ważne muszą:

    • prowadzić rejestr dostawców ICT i ocenić ryzyko każdego z nich;
    • wymagać od dostawców klauzul SLA dotyczących cyberbezpieczeństwa (np. zgłoszenia incydentów w 24 h, prawo do audytu);
    • weryfikować, czy dostawcy ICT spoza UE są zgodni z odpowiednim poziomem bezpieczeństwa;
    • regularnie aktualizować umowy z dostawcami (klauzule NIS2 stają się standardem w branżowych szablonach kontraktów IT).

    KE może wskazać konkretnych dostawców wysokiego ryzyka (znana jest zapowiedź dotycząca dostawców sprzętu telekomunikacyjnego spoza UE) — wtedy podmioty kluczowe mają obowiązek stopniowo zastąpić infrastrukturę pochodzącą od takiego dostawcy.

    Praktyczne kroki dla firmy w 2026 r.

    1. Klasyfikacja — sprawdź, czy jesteś podmiotem kluczowym, ważnym, czy w ogóle nieobjętym.
    2. Rejestracja w rejestrze podmiotów KSC (od 2025 r.).
    3. Analiza luki (gap analysis) między obecnym stanem a 10 obszarami z art. 21 NIS2.
    4. Mapowanie procesów krytycznych i ocena ryzyka.
    5. Wdrożenie środków technicznych: MFA, segmentacja sieci, monitoring SIEM, backupy 3-2-1, szyfrowanie danych w spoczynku i w ruchu.
    6. Polityki i procedury: plan reagowania na incydenty (IRP), plan ciągłości działania (BCP), plan odtworzenia (DRP), polityka kryptograficzna, polityka łańcucha dostaw.
    7. Szkolenia: dla całej załogi (raz w roku, podstawy cyber-higieny), dla zarządu (raz w roku, ze szczególnym naciskiem na obowiązki NIS2).
    8. Raportowanie: procedura zgłoszeń incydentów do CSIRT w terminach 24/72 godz./1 mies.
    9. Audyt zewnętrzny raz na 12-24 miesiące — z firmą uznawaną przez CSIRT.
    10. Aktualizacja umów z kluczowymi dostawcami ICT (SLA, klauzule audytowe, prawo wglądu).

    NIS2 a inne regulacje

    • RODO — pokrywające się obowiązki w zakresie zgłaszania naruszeń (72 godz. UODO + równolegle 24/72 godz. CSIRT, jeśli incydent dotyczy danych osobowych).
    • DORA (cyfrowa odporność operacyjna sektora finansowego) — od 17 stycznia 2025 r., dla banków/ubezpieczycieli zastępuje NIS2 w zakresie sektora finansowego.
    • AI Act — niektóre systemy AI wysokiego ryzyka wymagają środków zarządzania ryzykiem zbieżnych z NIS2.
    • CRA (Cyber Resilience Act) — dotyczy produktów (sprzętu i oprogramowania) zawierających elementy cyfrowe, obowiązuje od 2027 r. Komplementarnie do NIS2 (NIS2 = operatorzy, CRA = producenci).

    FAQ

    Mam firmę 80-osobową w branży e-commerce. Czy NIS2 mnie dotyczy?

    Tak — jeśli prowadzisz platformę e-commerce ujętą w Załączniku II (sektor 15: dostawcy usług cyfrowych). Jako podmiot ważny musisz wdrożyć środki z art. 21 i raportować incydenty.

    Czy NIS2 wymaga wdrożenia ISO 27001?

    Nie wprost, ale ISO 27001:2022 pokrywa większość obszarów z art. 21. W praktyce — certyfikacja ISO 27001 znacznie ułatwia wykazanie zgodności z NIS2 w razie kontroli.

    Czy mała firma księgowa (10 osób) jest podmiotem ważnym?

    Nie — co do zasady wyłączone są firmy poniżej 50 pracowników. Wyjątek: jeśli świadczysz usługi zarządzanego bezpieczeństwa (MSSP) lub jesteś rejestrem domen — wtedy NIS2 cię obejmuje niezależnie od rozmiaru.

    Co jeśli mamy spółkę matkę w UE i kilka spółek-córek w Polsce?

    Każda spółka jest oceniana indywidualnie po PKD i wielkości. Jeśli spółka-córka jest mała, ale obsługuje krytyczne systemy spółki-matki, organ może rozszerzyć obowiązki w drodze decyzji indywidualnej.

    Czy raport do CSIRT zwalnia z obowiązku zgłoszenia naruszenia danych do UODO?

    Nie — jeśli incydent obejmuje naruszenie danych osobowych, musisz zgłosić równolegle do UODO (72 godz., RODO) i do CSIRT (24/72 godz., NIS2). Raporty mają różne cele i odbiorców.

    Jakie są pierwsze kroki, jeśli właśnie zrozumiałem, że jestem objęty?

    1. Rejestracja w rejestrze KSC. 2. Analiza luki. 3. Pełen incident response plan (IRP) w 30 dni. 4. Plan budżetowy na środki techniczne i szkolenia. 5. Aktualizacja umów z kluczowymi dostawcami IT.

    Czy NIS2 nakłada obowiązek posiadania CISO?

    Nie wprost, ale w praktyce dla podmiotów kluczowych jest to standard rynkowy. Funkcję CISO może pełnić członek zarządu odpowiedzialny za IT, dyrektor bezpieczeństwa lub zewnętrzny CISO-as-a-service.

    Newsletter InInk

    Bądź na bieżąco ze zmianami w prawie

    Praktyczne analizy KSeF, ZUS, podatków i nowych przepisów. Co tydzień jeden mail z konkretami i wzorami dokumentów.

    Powiązane wpisy

    Zobacz wszystkie →
    polsceraportowanie

    DAC7 w Polsce 2026 — raportowanie sprzedaży na Allegro, Vinted, OLX, Booking, Uber

    Dyrektywa DAC7 zobowiązuje platformy cyfrowe do raportowania sprzedaży użytkowników do urzędów skarbowych. Sprawdź progi (30 transakcji lub 2 000 EUR), terminy DPI, sankcje do 5 mln zł i obowiązki dla sprzedawców na Allegro, Vinted, OLX, Booking i Uber.

    Czytaj
    dyrektywaobowiązki

    Jawność wynagrodzeń 2026 — dyrektywa pay transparency. Obowiązki rekrutacyjne, raporty, kary

    Dyrektywa UE 2023/970 o jawności wynagrodzeń musi być transponowana do prawa polskiego do 7 czerwca 2026 r. Sprawdź obowiązki: widełki w ogłoszeniach, zakaz pytania o dotychczasowe zarobki, prawo do informacji o płacy, raportowanie luki płacowej i sankcje za różnice powyżej 5%.

    Czytaj
    podmiotówpolskich

    KSeF dla podmiotów zagranicznych 2026 — jak wystawiać faktury B2B, eksport i WDT

    Kompletny przewodnik po fakturowaniu w KSeF dla polskich firm sprzedających i kupujących od kontrahentów zagranicznych. Obowiązki, wyjątki, WDT, eksport, reverse charge, stała placówka i błędy, których musisz uniknąć w 2026.

    Czytaj
    obowiązkifirm

    Sygnaliści 2026 — ustawa o ochronie sygnalistów. Obowiązki firm 50+, kanały zgłoszeń, kary

    Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów obowiązuje od 25 września 2024 r. Sprawdź obowiązki firm zatrudniających 50+ osób: procedura zgłoszeń wewnętrznych, rejestr, ochrona przed odwetem, kary do 240 stawek dziennych grzywny i 60 tys. zł odszkodowania.

    Czytaj

    Powiązane narzędzia

    Wszystkie narzędzia →