Tl;DR: Nowelizacja ustawy o KSC wdrażająca dyrektywę NIS2 została w końcu podpisana przez Prezydenta, wprowadzając istotne zmiany w podejściu do cyberbezpieczeństwa. Nowe przepisy zwiększają odpowiedzialność zarządów, wprowadzają rygorystyczne terminy raportowania incydentów, rozszerzają nadzór nad podmiotami kluczowymi i ważnymi oraz nakładają obowiązek zarządzania ryzykiem w całym łańcuchu dostaw. Choć organizacje zyskają czas na dostosowanie (12 miesięcy na wdrożenie środków i 2-letni okres przejściowy przed sankcjami), skala wymagań oznacza konieczność natychmiastowego rozpoczęcia realnych przygotowań.
19 lutego 2026 Prezydent Karol Nawrocki podpisał ustawę o KSC, implementującą dyrektywę NIS2, ale jednocześnie skierował ją do kontroli następczej przez Trybunał Konstytucyjny. Oznacza to, że przepisy wejdą w życie zgodnie z planem (po miesiącu od ogłoszenia), jednak mogą zostać uchylone, jeśli TK uzna je za niezgodne z Konstytucją.
Co dokładnie się zmienia i na co warto przygotować się już teraz?
Kluczowe zmiany w wymogach
Ostateczna wersja ustawy, wdrażająca dyrektywę NIS2 wprowadza szereg istotnych zmian względem pierwotnego projektu. Najważniejsze z nich obejmują:
Odpowiedzialność kadry zarządzającej
Jedną z najważniejszych zmian wprowadzanych przez nowe przepisy jest znaczące zwiększenie odpowiedzialności kadry zarządzającej za obszar cyberbezpieczeństwa. Kierownictwo organizacji, w tym członkowie zarządów, ponosi bezpośrednią odpowiedzialność za wdrożenie oraz utrzymanie adekwatnych środków technicznych i organizacyjnych chroniących systemy informatyczne. Oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT i staje się elementem odpowiedzialności strategicznej na poziomie zarządczym.
Wymagania dotyczące zgłaszania incydentów
Nowelizacja wprowadza również nowe, precyzyjnie określone obowiązki dotyczące raportowania incydentów bezpieczeństwa, wraz z jasno zdefiniowanymi terminami zgłoszeń. Organizacje objęte regulacją są zobowiązane do:
przekazania wstępnego ostrzeżenia o poważnym incydencie w ciągu 24 godzin od jego wykrycia,
złożenia właściwego zgłoszenia w terminie do 72 godzin,
przygotowania raportu końcowego w ciągu jednego miesiąca.
Zgłoszenia muszą zawierać szczegółowe informacje dotyczące okoliczności zdarzenia, jego przebiegu i czasu trwania, potencjalnego wpływu na działalność organizacji oraz podjętych działań zaradczych. W praktyce oznacza to konieczność wdrożenia uporządkowanych procesów reagowania na incydenty oraz zapewnienia odpowiedniej dokumentacji i zdolności raportowych.
Więcej czasu na analizę ryzyka
Od momentu wejścia w życie ustawy podmioty mają do 12 miesięcy na wdrożenie odpowiednich mechanizmów technicznych i organizacyjnych dot. zarządzania ryzykiem. Ma to umożliwić bardziej realistyczne i strategiczne podejście do budowy odporności cybernetycznej.
Więcej czasu dla firm na zgłoszenie się do wykazu
Zmianie uległ również termin na zgłoszenie się do wykazu podmiotów kluczowych i ważnych. Organizacje objęte regulacją mają na to do 6 miesięcy, co ma ułatwić identyfikację obowiązków oraz przygotowanie się do nowych wymagań formalnych.
Nowe zasady raportowania incydentów
Ustawa przewiduje usprawnienie procesu zgłaszania incydentów poprzez wykorzystanie systemu S46. Dzięki temu informacje o zdarzeniach bezpieczeństwa będą przekazywane bezpośrednio do właściwych zespołów CSIRT, co ma zwiększyć efektywność komunikacji oraz przyspieszyć reakcję na incydenty.
Sankcje i okres przejściowy
Nowe przepisy przewidują również okres przejściowy, który ma umożliwić organizacjom dostosowanie się do wymogów NIS2. Kary pieniężne za brak zgodności będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie ustawy. W praktyce daje to czas na wdrożenie niezbędnych zmian, choć organizacje powinny rozpocząć przygotowania jak najszybciej, biorąc pod uwagę skalę wymaganych działań.
Podmioty kluczowe i ważne – kluczowe różnice w wymogach
Podmioty kluczowe
Podmioty kluczowe to zazwyczaj duże organizacje działające w sektorach o krytycznym znaczeniu, takich jak bankowość, transport, infrastruktura cyfrowa czy gospodarka wodna. Do tej kategorii zaliczane są przede wszystkim przedsiębiorstwa zatrudniające ponad 250 pracowników lub osiągające roczne przychody przekraczające 50 milionów euro.
Podmioty kluczowe objęte regulacjami NIS2 podlegają bardziej rygorystycznym wymaganiom oraz intensywniejszemu nadzorowi niż pozostałe organizacje. W ich przypadku stosowany jest model nadzoru prewencyjnego, który obejmuje regularne audyty bezpieczeństwa, skanowanie podatności oraz kontrole przeprowadzane na miejscu przez właściwe organy – często nawet bez wcześniejszego wystąpienia incydentu bezpieczeństwa. Celem takiego podejścia jest wczesne wykrywanie luk oraz zapobieganie zagrożeniom zanim doprowadzą do realnych naruszeń.
Przepisy przewidują możliwość pociągnięcia do odpowiedzialności za zaniedbania w realizacji obowiązków wynikających z ustawy. W przypadku naruszeń mogą zostać nałożone wysokie sankcje finansowe, w tym kary dla organizacji sięgające do 10 mln EUR lub 2% rocznych przychodów.
Podmioty ważne
Podmioty ważne obejmują najczęściej średniej wielkości przedsiębiorstwa oraz organizacje funkcjonujące w innych istotnych sektorach, takich jak produkcja żywności, usługi pocztowe, gospodarka odpadami czy przemysł chemiczny. W ich przypadku próg kwalifikacyjny wynosi zazwyczaj powyżej 50 pracowników lub roczne przychody przekraczające 10 milionów euro.
Podmioty ważne objęte regulacjami NIS2 podlegają mniej intensywnemu modelowi nadzoru, określanemu jako nadzór następczy. Oznacza to, że działania kontrolne organów nadzorczych są zazwyczaj podejmowane w reakcji na zaistniały incydent bezpieczeństwa, zgłoszone naruszenia lub inne przesłanki wskazujące na potencjalne nieprawidłowości, a nie w formie regularnych, prewencyjnych audytów. Mimo łagodniejszego modelu nadzoru, organizacje te nadal muszą spełniać określone wymagania w zakresie cyberbezpieczeństwa i zarządzania ryzykiem.
W przypadku naruszeń przepisów również przewidziano istotne sankcje finansowe – kary mogą sięgać do 7 mln EUR lub 1,4% rocznych przychodów osiągniętych przez podmiot.
UWAGA: Dodatkowo dla obu podmiotów NIS2 przewiduje możliwość nałożenia kar osobistych na kierownictwo, które mogą sięgać nawet do 600% wynagrodzenia.
Bezpieczeństwo łańcucha dostaw jako element zarządzania ryzykiem
Jednym z kluczowych obszarów, na które zwraca uwagę dyrektywa NIS2, jest bezpieczeństwo łańcucha dostaw. Nowe przepisy nakładają na podmioty kluczowe i ważne obowiązek aktywnego zarządzania ryzykiem nie tylko we własnej organizacji, ale również w relacjach z dostawcami, partnerami technologicznymi oraz usługodawcami. W praktyce oznacza to konieczność oceny poziomu cyberbezpieczeństwa podmiotów trzecich oraz uwzględnienia wyników takiej oceny w systemie zarządzania bezpieczeństwem informacji.
Dla organizacji działających w ekosystemie dostawców oznacza to konieczność udowodnienia swojej dojrzałości w obszarze cyberbezpieczeństwa poprzez udokumentowane procedury, polityki bezpieczeństwa oraz zdolność odpowiedzi na wymagania audytowe klientów. Brak takiej gotowości może prowadzić nie tylko do ryzyka regulacyjnego, ale również do utraty kontraktów, ponieważ organizacje objęte NIS2 będą zobowiązane minimalizować ryzyko wynikające ze współpracy z niedostatecznie zabezpieczonymi partnerami.
NIS2 w praktyce – czas na realne przygotowania
Przepisy wdrażające dyrektywę NIS2 znacząco zmieniają podejście do cyberbezpieczeństwa. Dla wielu organizacji będzie to moment przyspieszonej transformacji – od spełniania minimalnych wymogów formalnych do budowania rzeczywistej odporności na cyberzagrożenia.
Jeśli chcesz dowiedzieć się jakie konkretnie procesy i technologie musisz wdrożyć, aby spełnić wymogi NIS2, pobierz naszą praktyczną checklistę.
Autor tekstu:
