19 lutego 2026 r. Prezydent RP podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, implementującą do polskiego porządku prawnego dyrektywę NIS2. Ustawa została ogłoszona 2 marca 2026 r. i weszła w życie 3 kwietnia 2026 r. Jej celem jest zwiększenie odporności podmiotów publicznych i prywatnych na zagrożenia cybernetyczne oraz ujednolicenie standardów bezpieczeństwa w Unii Europejskiej. Nowelizacja istotnie rozszerza zakres podmiotów objętych ustawą, a jednocześnie wzmacnia mechanizmy nadzorcze i sankcyjne.
Z perspektywy organizacji oznacza to, że etap obserwowania zmian legislacyjnych już się zakończył. Teraz kluczowe staje się ustalenie statusu podmiotu, ocena zakresu obowiązków oraz przygotowanie się do wpisu do wykazu podmiotów kluczowych i ważnych. Ministerstwo Cyfryzacji wskazuje, że wykaz został uruchomiony 13 kwietnia 2026 r., wpisy z urzędu trwają od 13 kwietnia do 6 maja 2026 r., a samorejestracja pozostałych podmiotów została przewidziana od 7 maja do 3 października 2026 r.
Na czym polegają najważniejsze zmiany?
Jedną z podstawowych zmian jest odejście od dotychczasowego modelu na rzecz nowego podziału na podmioty kluczowe oraz podmioty ważne. Jednocześnie znacząco rozszerzono katalog sektorów objętych regulacją. Obejmuje on m.in. energetykę, transport, ochronę zdrowia, sektor finansowy, infrastrukturę cyfrową, produkcję wybranych dóbr oraz wybrane usługi świadczone na rzecz infrastruktury krytycznej. W praktyce oznacza to, że również podmioty, które do tej pory nie podlegały ustawie, mogą zostać objęte nowymi przepisami.
Kluczowe obowiązki wynikające z nowelizacji
Podmioty objęte ustawą są zobowiązane przede wszystkim do wdrożenia odpowiednich rozwiązań w obszarze zarządzania cyberbezpieczeństwem. Oznacza to konieczność stosowania adekwatnych środków technicznych i organizacyjnych, prowadzenia systemowej analizy ryzyka, zapewnienia ciągłości działania oraz przygotowania planów reagowania na incydenty.
Istotnym elementem nowych regulacji są także obowiązki związane z raportowaniem incydentów. Organizacje muszą wdrożyć mechanizmy wczesnego ostrzegania, zgłaszać incydenty poważne w określonych terminach — co do zasady od 24 do 72 godzin — oraz przekazywać raporty końcowe.
Nowelizacja wzmacnia również odpowiedzialność kadry zarządzającej. Obejmuje ona nadzór nad systemem zarządzania cyberbezpieczeństwem, potencjalną odpowiedzialność administracyjną członków organów zarządzających oraz obowiązek podnoszenia kompetencji w zakresie cyberbezpieczeństwa. Przepisy przewidują ponadto wysokie administracyjne kary pieniężne, których wysokość jest uzależniona od kategorii podmiotu oraz poziomu jego rocznego obrotu.
Jak nowe przepisy wpływają na funkcjonowanie organizacji?
Nowe przepisy oddziałują na organizacje zarówno po stronie ryzyk, jak i potencjalnych korzyści. Do najważniejszych ryzyk należą wzrost kosztów operacyjnych związanych z zapewnieniem zgodności, audytami oraz modernizacją infrastruktury IT. Znaczenie ma także zaostrzenie wymogów kontraktowych w relacjach B2B, w szczególności w łańcuchu dostaw. Organizacje muszą się również liczyć z ryzykiem utraty współpracy z klientami wymagającymi zgodności z nowymi regulacjami, ryzykiem nieprawidłowości w procesach due diligence oraz w postępowaniach przetargowych, a także z ryzykiem odpowiedzialności członków kadry zarządzającej.
Z drugiej strony wejście w życie nowych przepisów może stać się impulsem do budowania przewagi konkurencyjnej poprzez wysoki poziom cyberodporności. Zwiększenie wiarygodności wobec partnerów i inwestorów, wzrost zaufania i możliwość budowania długoterminowych relacji z klientami, możliwość uczestnictwa w projektach wymagających zgodności z NIS2, uporządkowanie wewnętrznych procesów operacyjnych oraz lepsze zarządzanie ryzykiem związanym z cyberbezpieczeństwem to najważniejsze szanse wskazane w materiale.
Najważniejsze terminy po wejściu w życie ustawy
Z perspektywy organizacji szczególne znaczenie ma dziś kalendarz wdrożenia. Po uruchomieniu wykazu podmiotów kluczowych i ważnych rozpoczął się etap wpisów z urzędu, a następnie przewidziano samorejestrację pozostałych podmiotów. Termin na złożenie wniosku o wpis dla podmiotów spełniających ustawowe kryteria upływa 3 października 2026 r.
W praktyce oznacza to, że dla wielu organizacji pierwszy etap działań nie będzie jeszcze polegał na wdrażaniu pełnych rozwiązań technicznych, lecz na prawidłowej kwalifikacji statusu, ocenie zakresu obowiązków oraz przygotowaniu dokumentów niezbędnych do wpisu.
Jakie działania warto podjąć?
W pierwszej kolejności rekomendowane jest przeprowadzenie kwalifikacji podlegania pod nowe przepisy, w tym ustalenie statusu podmiotu kluczowego lub ważnego. Następnie należy przeprowadzić mapowanie i analizę procesów przepływu danych, audyt cyberbezpieczeństwa i zgodności regulacyjnej oraz wdrożyć odpowiednie rozwiązania organizacyjne i techniczne.
Kolejnym krokiem powinno być opracowanie lub aktualizacja dokumentacji i procedur, przeprowadzenie szkoleń, przegląd umów — zwłaszcza w zakresie klauzul bezpieczeństwa i odpowiedzialności za incydenty — a także przygotowanie planu wdrożeniowego wraz z harmonogramem i budżetem.
To nie tylko obowiązek regulacyjny
Wejście w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa oznacza nie tylko nowy obowiązek regulacyjny, ale realną zmianę modelu zarządzania ryzykiem w organizacji. To istotne wyzwanie dla zarządu, które wymaga odpowiedniego przygotowania i uporządkowanego podejścia do wdrożenia. Właściwe działania podjęte odpowiednio wcześnie mogą ograniczyć ryzyka finansowe, operacyjne i reputacyjne oraz pomóc w dostosowaniu kluczowych procesów biznesowych do wymogów NIS2.
Zapraszamy do kontaktu, jeśli chcą Państwo zweryfikować status swojej organizacji, ocenić zakres nowych obowiązków oraz przygotować bezpieczny plan dostosowania do wymogów UKSC i NIS2.
Kontakt: Natalia Wysocka, adwokat i dyrektorka zespołu nowych technologii: n.wysocka@dsk-kancelaria.pl
_____
Wcześniej na ten temat pisaliśmy na blogu: Nowelizacja UKSC wdrażająca NIS2 podpisana przez Prezydenta
