Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca dyrektywę NIS2 już obowiązuje i znacząco rozszerza obowiązki firm w zakresie zarządzania ryzykiem, raportowania incydentów oraz odpowiedzialności zarządu. Nowe przepisy obejmują nie tylko sektor IT, ale także energetykę, transport, ochronę zdrowia czy e-commerce. Sprawdź, które podmioty muszą dostosować się do regulacji, jakie obowiązki wprowadza NIS2 i jakie konsekwencje grożą za ich niewdrożenie.

NIS2 nowe przepisy

Dnia 2 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), stanowiąca implementację Dyrektywy NIS2 z 2022 r. Zmiany wprowadzają rozbudowane obowiązki raportowania incydentów oraz wdrażania procedur bezpieczeństwa wewnątrz organizacji, co w praktyce oznacza konieczność przebudowy dotychczasowych procesów operacyjnych i compliance. Co istotne, nowe regulacje nie dotyczą wyłącznie firm technologicznych czy podmiotów zajmujących się cyberbezpieczeństwem, lecz obejmują szerokie spektrum podmiotów kluczowych i ważnych działających w różnych sektorach gospodarki.

Nowelizacja KSC nakłada na te podmioty szereg szczegółowych obowiązków organizacyjnych i dokumentacyjnych. Obejmują one m.in. konieczność wyznaczenia osób odpowiedzialnych za kontakt z systemem cyberbezpieczeństwa, zapewnienia użytkownikom możliwości zgłaszania incydentów oraz wdrożenia kompleksowej dokumentacji bezpieczeństwa systemów informacyjnych. Jednocześnie ustawodawca znacząco rozbudował mechanizmy raportowania incydentów, wprowadzając obowiązek przekazywania tzw. wczesnych ostrzeżeń oraz szczegółowych zgłoszeń zawierających informacje o przebiegu incydentu, jego skutkach oraz podjętych działaniach naprawczych.

W konsekwencji organizacje muszą nie tylko reagować na incydenty cyberbezpieczeństwa, ale również systemowo zarządzać ryzykiem, dokumentacją oraz komunikacją z właściwymi organami, często w bardzo krótkich terminach. Powstaje zatem pytanie, czy przedsiębiorcy są przygotowani na tak szeroki zakres nowych obowiązków oraz jakie konsekwencje – zarówno organizacyjne, jak i prawne – może przynieść ich niewłaściwe wdrożenie.

Kogo obejmą nowe przepisy?

Kluczowym zagadnieniem z perspektywy stosowania nowelizacji KSC jest ustalenie, jakie podmioty podlegają nowym obowiązkom. Ustawodawca wprowadził podział na podmioty kluczowe oraz podmioty ważne, przy czym kwalifikacja opiera się na skali działalności (status średniego przedsiębiorcy lub większego) oraz sektorze, w którym działa dany podmiot. W praktyce oznacza to objęcie regulacją szerokiej grupy przedsiębiorstw, w szczególności średnich i dużych podmiotów działających w sektorach wskazanych w załącznikach do ustawy.

Podmioty kluczowe obejmują przede wszystkim organizacje działające w sektorach o strategicznym znaczeniu dla państwa i gospodarki. Do tej kategorii zaliczają się m.in. przedsiębiorstwa z obszaru energii, transportu (lotniczego i kolejowego), sektora paliwowego, bankowości, infrastruktury cyfrowej, komunikacji elektronicznej, ochrony zdrowia czy gospodarki wodno-kanalizacyjnej. Są to podmioty, których działalność ma bezpośredni wpływ na bezpieczeństwo państwa oraz ciągłość świadczenia usług o podstawowym znaczeniu społecznym. Z tego względu podlegają one najbardziej rygorystycznym obowiązkom w zakresie cyberbezpieczeństwa. Ustawa przewiduje również przypadki, w których określone podmioty – takie jak dostawcy usług DNS, kwalifikowani dostawcy usług zaufania czy rejestry domen najwyższego poziomu – są kwalifikowane jako podmioty kluczowe niezależnie od ich wielkości.

Podmioty ważne stanowią bardziej zróżnicowaną kategorię, obejmującą przedsiębiorców działających w sektorach istotnych dla gospodarki, lecz o niższym poziomie krytyczności. W tej grupie znajdują się m.in. podmioty zajmujące się gospodarowaniem odpadami, produkcją i dystrybucją żywności, produkcją urządzeń elektronicznych, działalnością badawczo-rozwojową, a także dostawcy usług cyfrowych, w tym internetowe platformy handlowe. Status podmiotu ważnego ma charakter uzupełniający i obejmuje zarówno część podmiotów z sektorów kluczowych, które nie spełniają kryteriów dla tej kategorii, jak i podmioty z sektorów wskazanych w odrębnym załączniku do ustawy.

Co istotne, organ właściwy do spraw cyberbezpieczeństwa może – w drodze decyzji – zakwalifikować dany podmiot jako kluczowy lub ważny, nawet jeśli nie spełnia on formalnych kryteriów. Dotyczy to w szczególności sytuacji, gdy działalność podmiotu ma istotne znaczenie dla bezpieczeństwa publicznego, ciągłości usług lub stabilności systemowej gospodarki.

Odpowiedzialność zarządu

Nowelizacja KSC w sposób jednoznaczny przesuwa odpowiedzialność za cyberbezpieczeństwo na poziom kierownictwa organizacji. Ustawa stanowi, że za wykonywanie obowiązków z zakresu cyberbezpieczeństwa odpowiada kierownik podmiotu, którym w praktyce – w przypadku większości przedsiębiorstw – jest zarząd lub inny organ zarządzający. W sytuacji, gdy organ ma charakter wieloosobowy i nie wyznaczono konkretnej osoby odpowiedzialnej, odpowiedzialność ponoszą wszyscy jego członkowie.

Odpowiedzialność ta ma charakter bezpośredni i nie ogranicza się wyłącznie do ogólnego nadzoru. Przekazanie realizacji określonych zadań działowi IT, CISO lub podmiotowi zewnętrznemu nie zwalnia kierownictwa z odpowiedzialności za zgodność z przepisami. W konsekwencji cyberbezpieczeństwo staje się obszarem zarządczym, wymagającym aktywnego zaangażowania organów kierujących organizacją.

Ustawa przewiduje odpowiedzialność zarówno samego podmiotu, jak i jego kierownika. Naruszenia mogą dotyczyć m.in. obowiązku wpisu do wykazu, wdrożenia środków bezpieczeństwa, prowadzenia dokumentacji, realizacji obowiązków raportowych czy przeprowadzania audytów. W przypadku kierowników podmiotów możliwe jest nałożenie kar finansowych sięgających do 300% wynagrodzenia, a w przypadku podmiotów publicznych do 100% wynagrodzenia.

Równolegle przewidziano sankcje wobec organizacji. W przypadku podmiotów kluczowych kara może wynosić do 10 mln euro lub 2% rocznego przychodu, natomiast dla podmiotów ważnych do 7 mln euro lub 1,4% przychodu. Dodatkowo organ nadzorczy może nałożyć okresowe kary pieniężne za niewykonanie decyzji administracyjnych. Wymiar kary uwzględnia charakter naruszenia, jego skutki oraz sytuację finansową podmiotu.

Nowe obowiązki firm w praktyce

Zarządzanie ryzykiem cyberbezpieczeństwa

Nowelizacja KSC wprowadza obowiązek ciągłego i systematycznego zarządzania ryzykiem cyberbezpieczeństwa. Podmioty kluczowe i ważne są zobowiązane do identyfikacji zagrożeń oraz wdrażania odpowiednich środków technicznych i organizacyjnych, które mają zapobiegać incydentom oraz minimalizować ich skutki. W praktyce oznacza to konieczność zapewnienia stałego monitoringu infrastruktury teleinformatycznej oraz zdolności do szybkiego reagowania na pojawiające się zagrożenia.

Zgłaszanie incydentów

Przepisy wprowadzają wieloetapowy mechanizm raportowania incydentów. Pierwszym etapem jest tzw. wczesne ostrzeżenie, które powinno zostać przekazane w ciągu 24 godzin od wykrycia incydentu. Następnie podmiot zobowiązany jest do dokonania pełnego zgłoszenia w terminie 72 godzin (lub 24 godzin w przypadku dostawców usług zaufania).

Pełne zgłoszenie wymaga przeprowadzenia wstępnej oceny incydentu, obejmującej m.in. jego wpływ na dane, skalę zakłócenia usług oraz potencjalne oddziaływanie na inne podmioty, np. w łańcuchu dostaw. Zgłoszenie powinno zawierać także informacje dotyczące przyczyn incydentu, jego przebiegu, podjętych działań naprawczych oraz wskaźników kompromitacji.

Ostatnim etapem jest raport końcowy, który należy złożyć w terminie do jednego miesiąca. Dokument ten powinien zawierać kompleksową analizę incydentu, jego skutków oraz działań zapobiegawczych wdrożonych w celu uniknięcia podobnych zdarzeń w przyszłości.

Polityki, procedury i dokumentacja

Podmioty objęte regulacją zobowiązane są do opracowania i wdrożenia kompleksowego systemu dokumentacji cyberbezpieczeństwa. Obejmuje on m.in. polityki zarządzania incydentami, kontrolę dostępu, zarządzanie tożsamością, szyfrowanie danych oraz bezpieczeństwo łańcucha dostaw ICT.

W przypadku podmiotów kluczowych ustawodawca przewidział dodatkowo obowiązek przeprowadzania cyklicznych audytów bezpieczeństwa, co najmniej raz na trzy lata. Ponadto podmioty te muszą być przygotowane do przekazywania dokumentacji i informacji organom właściwym do spraw cyberbezpieczeństwa na ich żądanie.

5. Bezpieczeństwo łańcucha dostaw – odpowiedzialność za dostawców

Nowelizacja KSC rozszerza zakres odpowiedzialności organizacji na relacje z dostawcami usług i technologii. Podmioty objęte regulacją są zobowiązane do zapewnienia odpowiedniego poziomu cyberbezpieczeństwa nie tylko we własnych strukturach, ale również w całym łańcuchu dostaw ICT.

W praktyce oznacza to konieczność systematycznej weryfikacji dostawców – zarówno na etapie nawiązywania współpracy, jak i w trakcie jej trwania. Może to obejmować wymaganie określonych certyfikatów bezpieczeństwa, wprowadzanie odpowiednich zapisów umownych oraz regularną ocenę ryzyka związanego z korzystaniem z usług danego podmiotu.

Szczególne znaczenie ma instytucja dostawcy wysokiego ryzyka. Podmioty zakwalifikowane do tej kategorii mogą podlegać istotnym ograniczeniom, w tym zakazowi wprowadzania określonych produktów i usług na rynek lub udziału w zamówieniach publicznych.

W efekcie nowe regulacje powodują, że zarządzanie cyberbezpieczeństwem wykracza poza granice pojedynczej organizacji i obejmuje cały ekosystem współpracujących podmiotów.

Albert Knych

Nikolaz Ivanishvili

Michał Jaros

Firma – KIJ