NIS2 w Polsce weszła w życie — co musi zrobić Twoja firma przez najbliższe 6 miesięcy?

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wdraża do polskiego prawa unijną dyrektywę NIS2. Masz sześć miesięcy, żeby sprawdzić, czy Twoja firma podlega nowym przepisom — i ewentualnie się zarejestrować. Termin upływa 3 października 2026 r. Żadnego powiadomienia z urzędu nie dostaniesz. To Ty musisz ocenić, czy podlegasz.

Kogo dotyczy ustawa KSC?

Nowe przepisy obejmują podmioty z 19 sektorów podzielonych na dwie kategorie:

Podmioty kluczowe — głównie duże firmy (powyżej 250 pracowników lub obrót powyżej 50 mln EUR) z sektorów: energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna. Niezależnie od wielkości do tej grupy należą też m.in. dostawcy usług DNS i przedsiębiorcy telekomunikacyjni.

Podmioty ważne — przede wszystkim średnie firmy (50–249 pracowników lub obrót 10–50 mln EUR) z sektorów: usługi pocztowe, gospodarka odpadami, produkcja żywności, chemikaliów, wyrobów medycznych i elektroniki, dostawcy usług cyfrowych.

Ważna uwaga: sam kod PKD to za mało. Ustawa wyraźnie wskazuje, że decyduje faktyczny charakter prowadzonej działalności, a nie formalne przypisanie do klasyfikacji. Jeśli Twoja firma jest dostawcą dla podmiotu kluczowego lub ważnego, Twój klient może wymagać od Ciebie rejestracji — nawet jeśli nie spełniasz progów samodzielnie.

Trzy daty, które musisz znać

7 maja 2026 — uruchomienie aplikacji do samorejestracji pod adresem wykaz-ksc.gov.pl. Wcześniej niektóre podmioty (m.in. firmy telekomunikacyjne i dawni operatorzy usług kluczowych) zostaną wpisane z urzędu przez Ministra Cyfryzacji.

3 października 2026 — ostateczny termin wpisu do Wykazu KSC dla pozostałych podmiotów. Ministerstwo Cyfryzacji podkreśla wprost: brak świadomości nie zwalnia z obowiązku.

3 kwietnia 2027 — termin wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa (polityki bezpieczeństwa, plany ciągłości działania, procedury reagowania na incydenty).

NIS2 a RODO — to nie są te same przepisy

To częste nieporozumienie. RODO chroni dane osobowe. NIS2 / ustawa KSC dotyczy bezpieczeństwa systemów informatycznych i sieci — niezależnie od tego, czy przez te systemy przepływają dane osobowe.

W praktyce jednak często się nakładają. Cyberatak, który prowadzi do wycieku danych osobowych, uruchamia jednocześnie obowiązki z RODO (zgłoszenie do UODO w ciągu 72 godzin) i z KSC (zgłoszenie incydentu do CSIRT). Warto zadbać, żeby te procedury były zintegrowane — a nie tworzone oddzielnie przez dwa różne działy.

Co grozi za ignorowanie nowych przepisów?

Kary finansowe są wysokie: dla podmiotów kluczowych do 10 mln EUR lub 2% globalnego obrotu, dla podmiotów ważnych do 7 mln EUR lub 1,4% obrotu. Co więcej, ustawa wprowadza osobistą odpowiedzialność zarządu — w tym możliwość zakazu pełnienia funkcji kierowniczych.

Sankcje za naruszenia techniczne zaczną być nakładane od 2028 r. — ale brak samoidentyfikacji i wpisu do wykazu jest odrębnym uchybieniem, które może mieć konsekwencje wcześniej.