Bezpieczeństwo IT 14.06.2026 7 min czytania · Autor: Zespół Octopus Lab

NIS2 krok po kroku — obowiązki, terminy i kary dla firm w 2026 roku

NIS2 i ustawa o KSC w praktyce: sprawdź, kogo dotyczą nowe obowiązki, jak wygląda harmonogram wdrożenia (6, 12 i 24 miesiące), jak zgłaszać incydenty w terminach 24/72 godzin oraz jakie kary grożą za naruszenia — nawet do 100 mln zł i z osobistą odpowiedzialnością zarządu.

Dyrektywa NIS2 jest już w Polsce faktem. Od 3 kwietnia 2026 roku obowiązuje nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (ustawa o KSC), która wdraża unijne wymagania i obejmuje tysiące przedsiębiorstw z kluczowych i ważnych sektorów gospodarki. W tym praktycznym poradniku tłumaczymy, kogo NIS2 dotyczy, jakie nakłada obowiązki, w jakich terminach trzeba je wdrożyć oraz jakie kary grożą za ich zaniedbanie.

Jeśli szukasz krótkiego wprowadzenia do tematu, zacznij od wpisu NIS2 w Polsce 2026 — czy Twoja firma jest gotowa. Poniżej skupiamy się na konkretnym harmonogramie działań.

Czym jest NIS2 i ustawa o KSC

NIS2 to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, której celem jest podniesienie odporności państw i przedsiębiorstw na cyberzagrożenia. W Polsce jej wymagania zostały przeniesione do prawa krajowego poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa nakłada na objęte podmioty obowiązki w trzech głównych obszarach: zarządzania ryzykiem, zgłaszania incydentów oraz organizacji bezpieczeństwa systemów informatycznych.

Podmioty kluczowe i podmioty ważne — różnica, która ma znaczenie

Ustawa dzieli objęte firmy na dwie kategorie:

  • Podmioty kluczowe — przede wszystkim duzi przedsiębiorcy z sektorów o najwyższej krytyczności, a także wybrane podmioty niezależnie od wielkości (np. dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, operatorzy obiektów energetyki jądrowej).
  • Podmioty ważne — najczęściej średni przedsiębiorcy z sektorów kluczowych oraz średnie i duże firmy z sektorów ważnych.

Różnica nie jest formalnością. Podmioty kluczowe podlegają stałemu, aktywnemu nadzorowi, a podmioty ważne — nadzorowi następczemu (np. po incydencie). Różne są też maksymalne kary. Dlatego pierwszym krokiem każdej organizacji powinna być prawidłowa samoidentyfikacja — błędne zakwalifikowanie się może samo w sobie prowadzić do naruszenia przepisów.

Których sektorów dotyczy NIS2

Ustawa obejmuje firmy istotne dla funkcjonowania państwa i gospodarki. Do sektorów kluczowych należą m.in. energia, transport, bankowość i infrastruktura rynku finansowego, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT oraz przestrzeń kosmiczna. Sektory ważne to m.in. usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów oraz żywności, produkcja (m.in. wyrobów medycznych, elektroniki, maszyn, pojazdów), dostawcy usług cyfrowych oraz badania naukowe.

Harmonogram wdrożenia NIS2 — krok po kroku

Najważniejsza dobra wiadomość: nie trzeba wdrażać wszystkiego naraz. Ustawa przewiduje okresy dostosowawcze liczone od momentu spełnienia przesłanek uznania za podmiot kluczowy lub ważny.

  • Krok 1. Sprawdź, czy ustawa Cię dotyczy. Ustal, czy działasz w objętym sektorze i czy spełniasz kryteria podmiotu kluczowego albo ważnego.
  • Krok 2. Zarejestruj się w wykazie — 6 miesięcy. Od chwili spełnienia kryteriów masz pół roku na zgłoszenie do wykazu podmiotów kluczowych i ważnych (system S46). Dla firm, które spełniały przesłanki już 3 kwietnia 2026 roku, termin upływa 3 października 2026 roku. Pamiętaj o aktualizacji danych w ciągu 14 dni od każdej zmiany.
  • Krok 3. Wdróż środki bezpieczeństwa — 12 miesięcy. W tym czasie trzeba wdrożyć system zarządzania bezpieczeństwem informacji (SZBI), procedury zarządzania ryzykiem i incydentami, dokumentację oraz podłączyć się do systemu S46. Dla podmiotów spełniających przesłanki 3 kwietnia 2026 roku termin mija 3 kwietnia 2027 roku.
  • Krok 4. Przeprowadź pierwszy audyt — 24 miesiące. Podmioty kluczowe muszą w tym czasie przeprowadzić audyt zgodności, który potwierdzi spełnienie obowiązków. Po tym okresie organy nadzorcze mogą już nakładać kary.

Jakie obowiązki nakłada NIS2 na firmy

Podmioty kluczowe i ważne muszą zapewnić bezpieczeństwo systemów informacyjnych wykorzystywanych do świadczenia usług. W praktyce oznacza to przede wszystkim:

  • zarządzanie ryzykiem — środki techniczne i organizacyjne proporcjonalne do ryzyka, wielkości firmy oraz prawdopodobieństwa i skutków incydentów,
  • wdrożenie SZBI obejmującego cały cykl życia systemów IT — analizę ryzyka, kontrolę dostępu, kryptografię, ciągłość działania, monitoring i testowanie zabezpieczeń,
  • bezpieczeństwo łańcucha dostaw — ocenę dostawców ICT i uwzględnianie wymagań bezpieczeństwa w relacjach biznesowych,
  • dokumentację — normatywną (polityki, procedury, plany) i operacyjną (zapisy, dzienniki systemowe), przechowywaną przez co najmniej 2 lata,
  • zgłaszanie incydentów do właściwego CSIRT,
  • cyberhigienę i szkolenia pracowników oraz kadry zarządzającej.

Warto podkreślić rolę łańcucha dostaw: nawet firma z sektora MŚP formalnie spoza zakresu ustawy może zostać zobowiązana do wdrożenia odpowiednich środków bezpieczeństwa, jeśli jest dostawcą podmiotu objętego NIS2.

Jak zgłaszać incydenty — terminy 24/72

Zgłoszenie poważnego incydentu odbywa się etapami i obowiązują tu sztywne terminy:

  • Wczesne ostrzeżenie — do 24 godzin od wykrycia: informujesz właściwy CSIRT, wskazujesz, czy incydent mógł być działaniem celowym i czy ma wymiar transgraniczny.
  • Zgłoszenie incydentu — do 72 godzin: opisujesz wpływ na usługę, przyczyny, przebieg, prawdopodobne skutki i podjęte działania.
  • Sprawozdanie końcowe — do miesiąca od zgłoszenia (lub od zakończenia obsługi incydentu, jeśli wciąż trwa).

Dla dostawców usług zaufania termin pełnego zgłoszenia poważnego incydentu jest skrócony do 24 godzin.

Nadzór i kary — co grozi za naruszenie przepisów

Zanim organ sięgnie po karę finansową, może wydać zalecenia, nakazać wdrożenie konkretnych środków, przeprowadzić kontrolę lub wyznaczyć termin na usunięcie naruszeń. Wysokość kar pieniężnych jest jednak znacząca:

  • Podmioty kluczowe — do 10 mln euro lub do 2% przychodu z roku poprzedniego (stosuje się kwotę wyższą), nie mniej niż 20 000 zł.
  • Podmioty ważne — do 7 mln euro lub do 1,4% przychodu, nie mniej niż 15 000 zł.

Maksymalna kara administracyjna w systemie krajowym może sięgnąć 100 mln zł. Co istotne, nowe przepisy przewidują również osobistą odpowiedzialność osób zarządzających — zarząd ma obowiązek zatwierdzać i nadzorować wdrożenie środków cyberbezpieczeństwa oraz zapewnić na nie zasoby.

Dostawca wysokiego ryzyka

Minister właściwy do spraw informatyzacji może uznać dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeśli stanowi on zagrożenie dla bezpieczeństwa państwa. Dla objętych firm oznacza to zakaz wprowadzania nowych produktów takiego dostawcy w określonym zakresie oraz obowiązek wycofania już używanych — co do zasady w ciągu 7 lat (a dla krytycznych funkcji w telekomunikacji — 4 lat). Dlatego monitorowanie statusu dostawców staje się elementem zarządzania ryzykiem.

NIS2 a DORA

Firmy z sektora finansowego powinny pamiętać, że równolegle obowiązuje je rozporządzenie DORA, dedykowane podmiotom finansowym. W ustaleniu, którym regulacjom podlega Twoja organizacja, pomaga doradztwo bezpieczeństwa Octopus Lab.

Jak przygotować firmę do NIS2

Wdrożenie NIS2 najlepiej potraktować nie jak przykry obowiązek, lecz jak okazję do realnego uporządkowania bezpieczeństwa organizacji. Praktyczna ścieżka przygotowań to:

  1. Samoidentyfikacja i analiza luk — ustalenie statusu (kluczowy/ważny) i porównanie obecnego stanu z wymaganiami.
  2. Audyt bezpieczeństwa IT — ocena infrastruktury, procesów i zgodności, np. z ISO 27001, która stanowi naturalny fundament SZBI.
  3. Testy penetracyjne — praktyczna weryfikacja odporności systemów na atak i identyfikacja realnych podatności.
  4. Wdrożenie procedur i dokumentacji — polityki, zarządzanie ryzykiem, zgłaszanie incydentów, plany ciągłości działania.
  5. Szkolenia i stały monitoring — budowanie świadomości pracowników oraz utrzymanie zgodności w czasie.

Jak taki proces wygląda w praktyce, pokazujemy w case study audytu NIS2 w firmie produkcyjnej. W całej ścieżce wspiera firmy doradztwo bezpieczeństwa Octopus Lab — od oceny statusu, przez audyt i testy, po wdrożenie procedur zgodnych z ustawą o KSC.

Nie czekaj na pierwszy termin

Im wcześniej rozpoczniesz przygotowania, tym niższe koszty, mniejsze ryzyko kar i większe bezpieczeństwo operacyjne. Umów bezpłatną konsultację z Octopus Lab — pomożemy ustalić, czy Twoja firma podlega pod NIS2 i od czego zacząć dostosowanie.

Materiał ma charakter informacyjny i nie stanowi porady prawnej. Szczegółowy zakres obowiązków każdorazowo wynika z treści ustawy o krajowym systemie cyberbezpieczeństwa oraz dyrektywy NIS2.

Tagi: NIS2 Ustawa o KSC Compliance Zgłaszanie incydentów Audyty bezpieczeństwa
DR

Autor

Dominik Rulkiewicz

IT Security Manager · Octopus Lab

Ekspert cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w sektorach regulowanych (ubezpieczenia, farmacja, logistyka). Process Owner ds. zarządzania podatnościami i hardeningu w Grupie ERGO, Audit Lead ISO 27001. Specjalizuje się w testach penetracyjnych, audytach bezpieczeństwa oraz zgodności z NIS2, DORA, ISO 27001 i RODO.

Certyfikaty: ISC2 CC · Cybersecurity Blue Team (Uniwersytet Jagielloński) · ITIL v4 · Microsoft Azure (AZ-900)

Udostępnij:

Powiązane usługi Octopus Lab

Powiązane artykuły

Potrzebujesz profesjonalnego wsparcia?

Nasi eksperci pomogą Ci zabezpieczyć Twoją firmę przed cyberzagrożeniami.

Skontaktuj się z nami Zobacz nasze usługi