- NIS2 / KSC: Unijna dyrektywa oraz polska ustawa nakładająca rygorystyczne wymogi cyberbezpieczeństwa na firmy.
- Podmiot Kluczowy/Ważny: Kategorie firm objętych ustawą, klasyfikowane m.in. na podstawie wielkości (np. duże i średnie firmy) i branży.
- SZBI: System Zarządzania Bezpieczeństwem Informacji – zestaw polityk, procedur i technologii chroniących dane w firmie.
- CSIRT: Rządowe zespoły reagowania na incydenty bezpieczeństwa (np. CSIRT NASK), do których trzeba raportować ataki.
- BCP / DRP: Plany ciągłości działania (Business Continuity Plan) i odtwarzania systemów po awarii (Disaster Recovery Plan).
- SOC: Security Operations Center – zespół/usługa ciągłego (24/7) monitorowania infrastruktury IT pod kątem ataków.
Czy Twoja organizacja jest gotowa na NIS2 i nowelizację KSC?
Sprawdź, czy Twój zarząd i organizacja są przygotowane na nowe wymogi cyberbezpieczeństwa i uniknięcie surowych kar finansowych.
Twój wynik w quizie to dopiero początek. Rozwiązałeś powyższy quiz i w wynikach pojawił się niepokojący odcień pomarańczu lub czerwieni? Nie jesteś sam. Wraz z podpisaniem przez Prezydenta RP nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) w dniu 19 lutego 2026 roku, skończył się czas teoretyzowania. Cyberbezpieczeństwo przestało być wyłącznie domeną działów IT, a stało się twardym, regulowanym prawnie wymogiem biznesowym, za który członkowie zarządu odpowiadają własnym majątkiem.
Chcesz przejść od wyniku do planu działania?
Umów krótką konsultację – wskażemy luki (Gap Analysis) i priorytety wdrożenia pod NIS2/KSC.
Skontaktuj się z ekspertem ds. NIS2 →Jeśli zastanawiasz się, dlaczego dyrektywa NIS2 wywołuje tak ogromne poruszenie na rynku, poniższy przewodnik rozwieje Twoje wątpliwości. Dowiesz się z niego, kogo dokładnie obejmują nowe przepisy, jakie obowiązki nakładają na organizację oraz dlaczego czas na działanie ucieka w zastraszającym tempie.
Czym jest dyrektywa NIS2 i znowelizowana ustawa o KSC?
Dyrektywa NIS2 to jedna z najważniejszych regulacji unijnych ostatnich lat, której celem jest fundamentalne wzmocnienie odporności europejskiej gospodarki na rosnącą falę cyberataków. Zastępuje ona starszą dyrektywę NIS, która okazała się zbyt łagodna i obejmowała zbyt wąski wycinek rynku.
W Polsce unijne prawo zostało wdrożone poprzez gruntowną nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Akt ten wprowadza całkowitą zmianę paradygmatu: odchodzi od pasywnego czekania na audyty państwowe na rzecz proaktywnego zarządzania ryzykiem, błyskawicznego raportowania o atakach hakerskich i weryfikacji łańcucha dostaw.
Kogo dotyczą nowe przepisy? Era „samoidentyfikacji”
Dotychczas, aby podlegać pod ustawę o KSC, firma musiała otrzymać z ministerstwa formalną decyzję administracyjną o uznaniu za „operatora usługi kluczowej”. Nowelizacja to zmienia. Obecnie wprowadzono mechanizm samoidentyfikacji. To na przedsiębiorcy spoczywa ciężar ustalenia, czy podlega pod nowe przepisy, a następnie obowiązek wpisania się do rządowego rejestru.
Ustawa dzieli organizacje na dwie główne kategorie: Podmioty kluczowe oraz Podmioty ważne.
1. Podmioty kluczowe (zazwyczaj duże przedsiębiorstwa powyżej 250 pracowników lub 50 mln EUR obrotu)
Obejmują sektory o najwyższej krytyczności dla funkcjonowania państwa. Należą do nich m.in. energetyka, transport, bankowość, ochrona zdrowia, wodociągi i ścieki, infrastruktura cyfrowa (np. data center, chmura) oraz administracja publiczna.
2. Podmioty ważne (zazwyczaj średnie przedsiębiorstwa od 50 pracowników lub 10 mln EUR obrotu)
Obejmują sektory krytyczne, takie jak usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów oraz żywności, a także szeroko pojęta produkcja (w tym komputerów, elektroniki, pojazdów) i dostawcy usług cyfrowych.
Należy pamiętać, że ustawa przewiduje wyjątki – np. dostawcy usług DNS, kwalifikowani dostawcy usług zaufania czy podmioty publiczne stają się podmiotami kluczowymi niezależnie od swojej wielkości. Co więcej, nawet jeśli Twoja firma jest mała, ale jest podwykonawcą dla dużego podmiotu kluczowego, wymogi NIS2 „spłyną” na Ciebie poprzez zapisy w umowach B2B (tzw. bezpieczeństwo łańcucha dostaw).
Rewolucja w odpowiedzialności: Zarząd na celowniku
Jednym z najważniejszych punktów naszego quizu było pytanie o szkolenia i odpowiedzialność zarządu. Dyrektywa NIS2 wprowadza w tym zakresie prawdziwe trzęsienie ziemi. Zgodnie z nowymi przepisami, to kierownik podmiotu (czyli np. zarząd spółki) ponosi bezpośrednią i osobistą odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa.
Zarząd musi m.in. formalnie zatwierdzać środki zarządzania ryzykiem i nadzorować ich wdrażanie. Cyberbezpieczeństwa nie można już po prostu „oddelegować do IT” i umyć rąk. Co więcej, członkowie organów zarządzających mają prawny obowiązek odbycia specjalistycznych szkoleń, aby potrafili identyfikować ryzyka i oceniać skuteczność wdrażanych strategii.
Jeśli zarząd nie dopełni należytej staranności, organ nadzorczy może nałożyć na kierownika podmiotu osobistą karę finansową w wysokości do 600% jego miesięcznego wynagrodzenia.
Nowe, rygorystyczne obowiązki dla firm
Jeśli Twoja firma kwalifikuje się jako podmiot kluczowy lub ważny, nowelizacja KSC nakłada na nią obowiązek wdrożenia kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Wymaga to podjęcia następujących działań:
1. Zgłaszanie incydentów pod presją czasu (Zegary 24h / 72h)
Pojawił się atak ransomware? Czas na reakcję drastycznie się skrócił. Organizacje muszą wysłać do właściwego zespołu CSIRT (rządowego lub sektorowego Zespołu Reagowania na Incydenty) wczesne ostrzeżenie w ciągu zaledwie 24 godzin od momentu wykrycia poważnego incydentu. W ciągu 72 godzin należy przesłać pełne zgłoszenie incydentu z oceną jego skutków, a po miesiącu – szczegółowy raport końcowy. Cała komunikacja z organami państwa będzie się odbywać poprzez scentralizowany system S46.
2. Zabezpieczenie ciągłości działania (BCP / DRP)
Ustawa wymaga nie tylko ochrony przed atakiem, ale też gwarancji, że firma przetrwa uderzenie. Organizacje muszą posiadać, dokumentować i regularnie testować plany ciągłości działania (Business Continuity) oraz plany zarządzania kryzysowego, w tym procedury przywracania danych z kopii zapasowych.
3. Bezpieczeństwo łańcucha dostaw
Od teraz Twoja firma odpowiada również za ocenę ryzyka związanego z zewnętrznymi dostawcami IT. Wymusza to audytowanie dostawców oraz wprowadzanie rygorystycznych klauzul bezpieczeństwa do umów z partnerami.
4. Problem Dostawcy Wysokiego Ryzyka (DWR)
Nowelizacja wprowadza sformalizowaną procedurę uznania danej firmy za „dostawcę wysokiego ryzyka” dla bezpieczeństwa państwa, o czym decydować będzie Minister Cyfryzacji. Jeśli w Twojej infrastrukturze pracuje sprzęt lub oprogramowanie takiego dostawcy, będziesz miał od 4 do 7 lat na jego obowiązkowe i całkowite wycofanie (wyczyszczenie sieci) na własny koszt.
Kary finansowe, które mogą zachwiać biznesem
Ustawodawca wyposażył organy kontrolne w potężne narzędzia nacisku, inspirowane karami znanymi z RODO.
- Dla podmiotów kluczowych kary mogą wynieść do 10 mln EUR lub do 2% globalnego obrotu z poprzedniego roku (zastosowanie ma kwota wyższa).
- Dla podmiotów ważnych limit wynosi do 7 mln EUR lub do 1,4% globalnego obrotu.
- Wprowadzono także tzw. karę kwalifikowaną do 100 000 000 PLN w sytuacjach, gdy naruszenie przepisów spowodowało bezpośrednie i poważne zagrożenie dla bezpieczeństwa państwa lub życia ludzi.
Warto jednak zaznaczyć drobną „ulgę” wynegocjowaną podczas prac w Sejmie: administracyjne kary pieniężne za brak realizacji nowych obowiązków będą mogły być nakładane po raz pierwszy dopiero po upływie 2 lat od wejścia ustawy w życie. Nie oznacza to jednak 2-letnich wakacji – obowiązki wdrażania procedur startują znacznie szybciej.
Harmonogram – czasu jest mniej, niż zakładasz
Ustawa wchodzi w życie po upływie miesiąca od jej ogłoszenia w Dzienniku Ustaw. Od tego momentu rusza zegar regulacyjny:
- W ciągu zaledwie 3 miesięcy (od wejścia w życie lub spełnienia kryteriów) firma musi złożyć elektroniczny wniosek o wpis do wykazu podmiotów kluczowych i ważnych.
- W ciągu 6 miesięcy od wejścia w życie ustawy, organizacje muszą wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) oraz zaktualizować polityki i procedury.
- Podmioty kluczowe będą miały 24 miesiące na przeprowadzenie pierwszego obowiązkowego, niezależnego audytu zewnętrznego bezpieczeństwa swojego systemu.
Zrób pierwszy krok: od analizy luki po pełną zgodność
Wynik quizu, który przed chwilą rozwiązałeś, to doskonały punkt wyjścia do rozmowy z zarządem i działem IT. Biorąc pod uwagę presję czasu, ogrom obowiązków proceduralno-technicznych oraz wizję kar finansowych, samodzielne dostosowanie firmy do wymogów NIS2 jest zadaniem wysoce ryzykownym.
Proces ten wymaga połączenia kompetencji technicznych (wdrożenie monitoringu, backupów), prawnych (klauzule z dostawcami, zgłoszenia) oraz organizacyjnych (szkolenia zarządu, procedury BCP). Pierwszym krokiem, który powinieneś wykonać już teraz, jest profesjonalna Analiza Luki (Gap Analysis). Pozwoli ona sprawdzić, w jakim miejscu znajduje się obecnie Twoja infrastruktura względem twardych wymogów nowej ustawy o KSC.
Nie czekaj, aż incydent zweryfikuje Twoją gotowość!
Zabezpiecz przyszłość swojej firmy, uniknij wielomilionowych kar i chroń zarząd przed osobistą odpowiedzialnością.
Skontaktuj się z nami już dziś, aby umówić się na audyt gotowości do NIS2 / KSC. Nasi eksperci pomogą Ci przeprowadzić proces samoidentyfikacji, wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI) oraz przygotować Twoją organizację na każdą kontrolę.