JWP Rzecznicy Patentowi Fundacja JWP Blog

NIS2 w polskim prawie – czy Twoja organizacja podlega nowym obowiązkom?

19 czerwca 2026
Udostępnij:

Cyberbezpieczeństwo przestało być domeną wyłącznie działów IT. Dziś jest to obowiązek prawny, który dotknął – lub wkrótce dotknie – dziesiątki tysięcy polskich firm i instytucji publicznych. Od 3 kwietnia 2026 r. obowiązuje w Polsce znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2.

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) weszła w życie 16 stycznia 2023 r.

Zastąpiła wcześniejszą dyrektywę NIS z 2016 r. i została przyjęta w odpowiedzi na rosnącą skalę zagrożeń cybernetycznych.

Jej celem jest ustanowienie jednolitych standardów cyberbezpieczeństwa na terenie całej Unii Europejskiej oraz zwiększenie odporności kluczowych sektorów gospodarki na cyberataki.

Polska wdrożyła dyrektywę NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowelizacja weszła w życie 3 kwietnia 2026 r. i stanowi obecnie podstawowy akt prawny regulujący obowiązki podmiotów objętych NIS2 na terytorium Polski.

Najważniejsze zmiany obejmują:

  • podział podmiotów na kluczowe i ważne,
  • rozszerzenie zakresu sektorowego,
  • obowiązki dotyczące bezpieczeństwa łańcucha dostaw,
  • odpowiedzialność zarządu,
  • nowe zasady raportowania incydentów,
  • znaczące zwiększenie sankcji.

Co to oznacza dla Twojej organizacji?

Najważniejsze działania, które warto podjąć już teraz:

  1. Ustalić, czy organizacja podlega nowym przepisom.
  2. Określić, czy jest podmiotem kluczowym czy ważnym.
  3. Przygotować plan wdrożenia wymaganych procedur.
  4. Zweryfikować bezpieczeństwo dostawców i podwykonawców.
  5. Zaangażować zarząd w proces zapewnienia zgodności.
  6. Zaplanować działania prowadzące do spełnienia wymogów przed upływem ustawowych terminów.

Podstawowym pytaniem nie jest dziś zatem, czym jest NIS2, lecz czy dana organizacja podlega nowym regulacjom.

Kogo dotyczą nowe przepisy?

Nowelizacja ustawy o KSC znacząco rozszerzyła krąg podmiotów objętych regulacjami. Obowiązki wynikające z NIS2 nie dotyczą już wyłącznie operatorów infrastruktury krytycznej czy największych podmiotów rynku cyfrowego.

W praktyce nowe przepisy mogą objąć przedsiębiorstwa działające m.in. w sektorach:

  • energetyki,
  • transportu,
  • bankowości,
  • ochrony zdrowia,
  • telekomunikacji,
  • infrastruktury cyfrowej,
  • usług ICT,
  • gospodarki odpadami,
  • produkcji przemysłowej,
  • usług pocztowych i kurierskich,
  • produkcji i dystrybucji żywności,
  • badań naukowych,
  • usług cyfrowych.

Kluczowe znaczenie ma ustalenie, czy organizacja zostanie zakwalifikowana jako podmiot kluczowy czy podmiot ważny. Od tej kwalifikacji zależy model nadzoru, obowiązki audytowe oraz wysokość potencjalnych kar. To jedno z najważniejszych zagadnień praktycznych znowelizowanej ustawy.

Podmiot kluczowy

Podmiotem kluczowym jest co do zasady duża organizacja działająca w sektorze o najwyższej krytyczności. Do tej kategorii należą przede wszystkim:

  • duże przedsiębiorstwa działające w sektorach wskazanych w Załączniku nr 1 do ustawy o KSC,
  • przedsiębiorcy komunikacji elektronicznej będący co najmniej średnim przedsiębiorcą,
  • dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa,
  • kwalifikowani dostawcy usług zaufania,
  • dostawcy usług DNS i rejestry domen najwyższego poziomu,
  • operatorzy obiektów energetyki jądrowej,
  • określone podmioty publiczne,
  • podmioty uznane decyzją właściwego organu za kluczowe.

Podmiot krytyczny

Podmiot krytyczny to pojęcie pochodzące z odrębnej regulacji unijnej – dyrektywy CER dotyczącej odporności podmiotów krytycznych. Są to organizacje uznane za niezbędne dla funkcjonowania państwa lub utrzymania kluczowych usług społecznych.

Istotne jest, że podmiot krytyczny automatycznie staje się również podmiotem kluczowym na gruncie ustawy o KSC – niezależnie od swojej wielkości. W praktyce oznacza to, że nawet stosunkowo niewielka organizacja może zostać objęta najbardziej rygorystycznymi obowiązkami wynikającymi z NIS2.

Podmiot ważny

Podmiotem ważnym jest co do zasady średni przedsiębiorca działający w sektorach wskazanych w ustawie lub duży przedsiębiorca funkcjonujący w sektorach uznanych za ważne.

Do tej kategorii należą m.in.:

  • usługi pocztowe i kurierskie,
  • gospodarka odpadami,
  • produkcja i dystrybucja chemikaliów,
  • produkcja i dystrybucja żywności,
  • produkcja wyrobów medycznych,
  • produkcja komputerów i elektroniki,
  • produkcja pojazdów,
  • platformy internetowe
  • wyszukiwarki internetowe,
  • media społecznościowe,
  • działalność badawcza.

Jakie obowiązki nakłada NIS2?

Dla większości organizacji najważniejsze jest nie tyle przypisanie do konkretnej kategorii, lecz ustalenie, jakie działania należy podjąć już teraz. Podstawowy katalog obowiązków jest bardzo zbliżony zarówno dla podmiotów kluczowych, jak i ważnych.

Każdy podmiot objęty regulacją powinien:

  • wdrożyć system zarządzania bezpieczeństwem informacji,
  • prowadzić regularną ocenę ryzyka cyberbezpieczeństwa,
  • zarządzać bezpieczeństwem łańcucha dostaw ICT,
  • stosować odpowiednie środki techniczne i organizacyjne,
  • zapewnić ciągłość działania,
  • przygotować procedury reagowania na incydenty,
  • szkolić pracowników w zakresie cyberhigieny,
  • współpracować z właściwymi organami i CSIRT.

Choć katalog obowiązków dla różnych podmiotów jest podobny, istotnie różni się intensywność nadzoru.

Obowiązki podmiotu kluczowego:

  • regularny nadzór ex ante i ex post,
  • obowiązkowe cykliczne audyty,
  • pierwszy audyt w terminie 24 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy.
  • kara do 10 mln EUR lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w poprzednim roku obrotowym – stosuje się kwotę wyższą.

Obowiązki podmiotu ważnego:

  • nadzór głównie po incydencie lub sygnałach o nieprawidłowościach,
  • audyty zasadniczo na żądanie organu,
  • kara do 7 mln EUR lub 1,4% przychodów osiągniętych przez podmiot ważny z działalności gospodarczej w poprzednim roku obrotowym.

Obie kategorie podlegają obowiązkowi rejestracji oraz raportowania incydentów.

Harmonogram kluczowych terminów

  • 3 października 2026 r.: termin zgłoszenia do wykazu podmiotów kluczowych i ważnych.
  • 3 kwietnia 2027 r.: termin pełnego wdrożenia obowiązków wynikających z ustawy.
  • Podmioty kluczowe są zobowiązane do przeprowadzenia pierwszego audytu w terminie 24 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy.

Dlaczego nowe przepisy powinny zainteresować organizację i jej Zarząd?

Jedną z najważniejszych zmian wprowadzonych przez NIS2 jest przeniesienie odpowiedzialności za cyberbezpieczeństwo na poziom zarządczy.

Odpowiedzialność za cyberbezpieczeństwo nie ogranicza się wyłącznie do organizacji. Ustawa przewiduje możliwość nakładania kar pieniężnych również na kierowników podmiotów kluczowych i ważnych, natomiast sama dyrektywa NIS2 przewiduje dodatkowo możliwość stosowania określonych środków wobec osób wykonujących funkcje zarządcze, w tym czasowego zakazu pełnienia takich funkcji.

Jeżeli chcesz ustalić, czy Twoja organizacja podlega nowym regulacjom oraz jakie obowiązki wynikają z ustawy w Twoim przypadku, zapraszamy do kontaktu.

*Artykuł ma charakter informacyjny i nie stanowi porady prawnej ani komentarza do przepisów prawa. Stan prawny aktualny na dzień 22 czerwca 2026 r.*

Opracował:

Adam Łopaciuk

Adam Łopcaiuk

Przeczytaj także

Jak konkurować o pracownika zgodnie z prawem

Na początku czerwca Prezes Urzędu Ochrony Konkurencji i konsumentów (UOKiK) poinformował o przeszukaniach w siedzibach kilku firm z Dolnego Śląska. Organ sprawdza, czy przedsiębiorcy nie zawarli porozumienia, zgodnie z którym…

17 czerwca 2026

Kontakt

JWP Legal Dorota Rzążewska
i Wspólnicy Sp. k.
ul. Mińska 75
03-828 Warszawa
Polska
T: +48 22 436 05 07
E: jwp@jwp-legal.pl
KRS: 0001132866
NIP: 1133148995
REGON: 52993064300000

Zapisz się na newsletter JWP

Zapisz się