Pobierz przewodnik po inwenturze
SKLEP
ZALOGUJ
Szukaj
Planujesz wdrożyć RFID w swojej firmie? Skorzystaj z Bonu na cyfryzację. Złóż wniosek do 20 października 2021. Sprawdź szczegóły dofinansowania »

NIS2 i UKSC w Polsce - co oznaczają
dla Twojej firmy i jak się przygotować?

Skontaktuj się z nami

Od 3 kwietnia 2026 r. obowiązuje w Polsce nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) wdrażająca dyrektywę NIS2. Bezpośrednio objętych jest 38000-42000 podmiotów, ale przez mechanizm łańcucha dostaw regulacja dotyczy znacznie szerszego kręgu firm. Dlatego przybliżamy, czego wymagają przepisy, jakie są ważne terminy i gdzie Program Narzędziownia® pomaga.

Co to jest NIS2 i dlaczego dotyczy Twojej firmy?

NIS2 to unijna dyrektywa z 2022 r. dotycząca bezpieczeństwa sieci i systemów informatycznych. W Polsce weszła w życie przez nowelizację UKSC 3 kwietnia 2026 r. Zastąpiła poprzednią dyrektywę NIS z 2016 r. i znacząco rozszerzyła zakres podmiotów objętych obowiązkami.

Według szacunków Ministerstwa Cyfryzacji nowelizacja UKSC obejmuje około 38 000 podmiotów, w tym około 27 000 jednostek sektora publicznego. W sektorze prywatnym mówi się o ponad 10 000 firm i instytucji zobowiązanych do wdrożenia nowych wymogów (gov.pl, 2026).

Sam fakt, że Twoja firma nie trafia do żadnej z tych grup, nie oznacza, że NIS2 Cię nie dotyczy. Mechanizm łańcucha dostaw sprawia, że podmioty kluczowe i ważne mają obowiązek weryfikować bezpieczeństwo swoich dostawców. Badanie Business Growth Review z IV kwartału 2025 r. (1018 dużych przedsiębiorstw) pokazuje, że 39,2% firm wskazuje zarządzanie łańcuchem dostaw jako największą niewiadomą przy wdrażaniu NIS2. Jeśli współpracujesz z taką firmą, to pośrednie wymogi kontraktowe mogą Cię dotknąć szybciej, niż się spodziewasz.

Kogo obejmuje NIS2 - podmioty kluczowe i ważne

UKSC dzieli firmy objęte regulacją na dwie kategorie. Podmioty kluczowe to organizacje z sektorów o najwyższym znaczeniu dla funkcjonowania państwa. Podmioty ważne obejmują szerszy krąg branż, gdzie naruszenie bezpieczeństwa może wywołać poważne skutki gospodarcze lub społeczne.

Kategoria

Przykładowe sektory

Maksymalna kara

Podmioty kluczowe

Energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, woda pitna.

10 mln EUR lub 2% przychodu

Podmioty ważne

Produkcja przemysłowa, usługi pocztowe, gospodarka odpadami, przemysł chemiczny, dostawcy usług cyfrowych.

7 mln EUR lub 1,4% przychodu

Co do zasady, NIS2 obejmuje firmy zatrudniające powyżej 250 pracowników lub osiągające powyżej 50 mln EUR rocznego obrotu w sektorach wymienionych w załącznikach do UKSC. Dla części sektorów krytycznych próg wielkości nie obowiązuje, a dana firma podlega regulacji niezależnie od rozmiaru.

Czy Twoja firma podlega NIS2 bezpośrednio?

Oto trzy pytania sprawdzające:
Czy działasz w jednym z sektorów z załącznika nr 1 lub nr 2 do UKSC?
Czy zatrudniasz powyżej 250 osób lub przekraczasz 50 mln EUR obrotu?
Czy świadczysz usługi IT, automatyki lub outsourcingu dla firm z sektorów krytycznych?

Odpowiedzi twierdzące na pytanie 1 i 2 oznaczają bezpośrednie objęcie obowiązkiem, a twierdzące odpowiedzi na pytanie 3, to pośrednie ryzyko przez łańcuch dostaw.

Jakie są terminy wdrożenia NIS2 w Polsce?

Harmonogram wdrożenia NIS2 wynika wprost z przepisów opublikowanych przez Ministerstwo Cyfryzacji z dnia 3 kwietnia 2026 r.

Data

Co się dzieje

3 kwietnia 2026

Wejście w życie nowelizacji UKSC

13 kwietnia 2026

Uruchomienie wykazu podmiotów kluczowych i ważnych (wykaz-ksc.gov.pl)

13 kwietnia – 6 maja 2026

Wpis z urzędu przez Ministra Cyfryzacji (dotychczasowi operatorzy usług kluczowych)

Do 3 października 2026

Samorejestracja pozostałych podmiotów w wykazie KSC

12 czerwca 2026

Uruchomienie systemu S46 do raportowania incydentów

3 kwietnia 2027

Koniec okresu dostosowawczego – wszystkie obowiązki muszą być wdrożone

3 kwietnia 2028

Pierwszy audyt SZBI dla podmiotów kluczowych spoza poprzedniego systemu

3 kwietnia 2028

Rozpoczęcie obowiązywania kar finansowych

Jakie wymogi nakłada NIS2 na organizacje?

Centralnym obowiązkiem jest wdrożenie i utrzymanie SZBI – Systemu Zarządzania Bezpieczeństwem Informacji. UKSC precyzuje dziesięć kategorii środków, które muszą znaleźć się w tym systemie (na podstawie art. 21 dyrektywy NIS2):
Polityki bezpieczeństwa informacji i zarządzania ryzykiem,
Kontrola dostępu – zarządzanie uprawnieniami użytkowników i przypisanie każdej operacji do właściciela,
Integralność danych – brak możliwości wprowadzania zmian bez autoryzacji,
Dostępność danych – zdolność do odtworzenia danych z kopii zapasowej,
Poufność danych – brak nieautoryzowanego dostępu i pobierania,
Rejestrowanie i monitorowanie zmian – historia operacji powiązana z autorem, dostępna w raportach,
Zarządzanie incydentami – obowiązek wstępnego zgłoszenia do CSIRT w ciągu 24 godzin od wykrycia oraz pełnego w 72 godziny i raportu końcowego w ciągu miesiąca,
Bezpieczeństwo łańcucha dostaw – weryfikacja dostawców ICT i usług,
Ciągłość działania i zarządzanie kryzysowe,
Szkolenia pracowników w zakresie cyberbezpieczeństwa.
Każdy z tych obszarów wymaga udokumentowanych procedur. Nie wystarczy samo deklarowanie zgodności. To audyt SZBI zweryfikuje, czy procesy faktycznie działają.

Jakie kary grożą za naruszenie NIS2?

Kary finansowe zaczną obowiązywać od 3 kwietnia 2028 r. Ich wysokość zależy od kategorii podmiotu (Grant Thornton, maj 2026):

  • Podmioty kluczowe: do 10 mln EUR lub 2% całkowitego rocznego przychodu – stosuje się wyższą kwotę
  • Podmioty ważne: do 7 mln EUR lub 1,4% całkowitego rocznego przychodu – stosuje się wyższą kwotę

Przed nałożeniem kary organ przeprowadzi procedurę ostrzegawczą i poinformuje podmiot o wstępnych ustaleniach. Oprócz kar finansowych UKSC przewiduje możliwość zawieszenia działalności oraz osobistą odpowiedzialność kadry zarządzającej za naruszenia wynikające z zaniechania. Kierownictwo może ponosić odpowiedzialność do 300% wynagrodzenia miesięcznego.


Dla perspektywy: gotowość polskich firm na NIS2 jest niska. Badanie Asseco Cloud z października 2024 r. pokazało, że pełną gotowość deklarowało tylko 14% firm, 65% było w trakcie przygotowań, a 21% nie podjęło żadnych działań. Według raportu Cyberportret polskiego biznesu 2025 (DAGMA + ESET) 36% ekspertów ds. cyberbezpieczeństwa w firmach objętych NIS2 nie wiedziało, czy ich firma w ogóle podlega dyrektywie.

Jakie wymogi nakłada NIS2 na organizacje?

ISO 27001 to norma zarządzania bezpieczeństwem informacji, której wdrożenie pokrywa praktycznie wszystkie merytoryczne wymagania NIS2 z art. 21 (Security bez Tabu, 2025).

Obszar

ISO 27001:2022

NIS2 / UKSC

Zarządzanie ryzykiem

Tak – obowiązkowe

Tak – obowiązkowe

Kontrola dostępu

Tak

Tak

Zarządzanie incydentami

Tak

Tak + obowiązek zgłoszenia do CSIRT w 24h

Bezpieczeństwo łańcucha dostaw

Tak (Aneks A, kontrola 5.19-5.22)

Tak – weryfikacja dostawców ICT

Ciągłość działania

Tak

Tak

Rejestracja w wykazie KSC

Nie dotyczy

Obowiązkowa dla podmiotów kluczowych i ważnych

Audyt SZBI wg UKSC

Nie zastępuje

Obowiązkowy – pierwszy do 3 kwietnia 2028

Wymogi sektorowe

Brak

Specyficzne dla każdego sektora z załącznika UKSC

Najważniejsz różnica: ISO 27001 to dobrowolna certyfikacja budująca kulturę bezpieczeństwa, a NIS2/UKSC to regulacja prawna z twardymi terminami i karami.
Certyfikat ISO 27001 nie zwalnia z obowiązku rejestracji w wykazie KSC. Nie zastępuje on też audytu SZBI, ale znacząco skraca czas i obniża koszt przygotowania do obu.

Gdzie w wymogach NIS2 pomaga Program Narzędziownia®?

Wymóg NIS2 / UKSC

Co zapewnia Narzędziownia

Kontrola dostępu – uprawnienia użytkowników

Zarządzanie uprawnieniami w Narzędziowni, przypisanie każdej operacji do właściciela procesu.

Integralność danych – brak zmian bez autoryzacji

Autoryzacja zmian w systemie, kontrola wersji dokumentów i rekordów.

Dostępność danych – odtworzenie z kopii

Kopie zapasowe danych operacyjnych, możliwość przywrócenia stanu systemu.

Poufność danych – brak nieautoryzowanego dostępu

Logowanie identyfikatorami cyfrowymi, kontrola dostępu do poszczególnych modułów.

Rejestrowanie i monitorowanie zmian

Pełna historia operacji powiązana z autorem zmiany, raporty audytowe dostępne na żądanie.

Program Narzędziownia to jeden element układanki. Firmy, które chcą przejść przez pełne wdrożenie NIS2, potrzebują zarówno porządku w procesach operacyjnych, jak i eksperckiego wsparcia w budowie SZBI.

Jakie wymogi nakłada NIS2 na organizacje?

Niezależnie od tego, czy podlegasz NIS2 bezpośrednio, czy przez łańcuch dostaw, lista działań jest podobna. Różni się tylko presja czasu.
Sprawdź, czy Twoja firma podlega bezpośrednio pod NIS2 – przejrzyj załączniki nr 1 i nr 2 do UKSC.
Zidentyfikuj, czy jesteś dostawcą dla podmiotów kluczowych lub ważnych – zapytaj klientów o ich wymogi wobec dostawców.
Oceń stan obecnych procesów bezpieczeństwa – analiza luk pokaże, czego brakuje.
Zaplanuj wdrożenie SZBI – termin 3 kwietnia 2027 r. to twarde ograniczenie, wdrożenie trwa od 6 do 18 miesięcy.
Zidentyfikuj narzędzia operacyjne, które już dziś zaopiekują wybrane obszary NIS2.
Jeśli podlegasz bezpośrednio – zarejestruj się w wykazie KSC.
Na webinarze PWSK i ADARPOS omówimy NIS2 – z konkretnymi przykładami i checklistą dla firm z łańcucha dostaw.

Chcesz zobaczyć, jak to działa w Twojej firmie?

Zapisz się na nasz webinar!
Zapisy już wkrótce!

Najczęściej zadawane pytania (FAQ)

Co do zasady nie. Bezpośrednio NIS2 obejmuje firmy zatrudniające powyżej 50 pracowników lub osiągające powyżej 10 mln EUR obrotu w sektorach objętych UKSC. Wyjątek stanowią sektory krytyczne (np. infrastruktura cyfrowa), gdzie próg wielkości nie obowiązuje. MŚP będące dostawcami IT, automatyki lub usług dla podmiotów kluczowych mogą jednak podlegać pośrednim wymogom kontraktowym jako warunek dalszej współpracy.

Nowelizacja UKSC weszła w życie 3 kwietnia 2026 r. Koniec okresu dostosowawczego to 3 kwietnia 2027 r. Do tej daty wszystkie obowiązki muszą być wdrożone. Kary finansowe zaczną obowiązywać od 3 kwietnia 2028 r.

Podmioty kluczowe ryzykują karę do 10 mln EUR lub 2% całkowitego rocznego przychodu. Podmioty ważne do 7 mln EUR lub 1,4% przychodu. W obu przypadkach stosuje się wyższą z tych kwot. Kary zaczną być nakładane po 3 kwietnia 2028 r., poprzedzone ostrzeżeniem organu nadzorczego.

ISO 27001 pokrywa większość merytorycznych wymagań NIS2, ale nie zastępuje kilku obowiązków wynikających wprost z UKSC: rejestracji w wykazie KSC, obowiązku zgłaszania incydentów do CSIRT w ciągu 24 godzin ani audytu SZBI. Certyfikat ISO 27001 skraca czas i obniża koszt przygotowania, ale nie zwalnia z procedur wynikających z polskiego prawa.

NIS2 nakłada na podmioty kluczowe i ważne obowiązek oceny bezpieczeństwa swoich dostawców ICT i usług. Firma MŚP będąca takim dostawcą może zostać zobowiązana do wykazania odpowiedniego poziomu bezpieczeństwa, np. przez wypełnienie ankiety, dostarczenie dokumentacji procesów lub spełnienie wymogów umownych SLA w zakresie cyberbezpieczeństwa.

Sprawdź również: