UoKSC (NIS2) podpisana przez Prezydenta – Co się zmienia? 

W trakcie webinaru poświęconego nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) oraz dyrektywie NIS2, Cyprian Gutkowski – ekspert od lat zaangażowany w tematykę regulacji cyberbezpieczeństwa – omawia kluczowe zmiany oraz ich praktyczne konsekwencje dla organizacji. Rozmowa koncentruje się przede wszystkim na tym, co realnie zmienia się dla firm i instytucji oraz jak przygotować się do nowych obowiązków. 

Wprowadzenie i kontekst legislacyjny 

Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, implementującej dyrektywę NIS2, trwały w Polsce od kilku lat. Proces legislacyjny rozpoczął się jeszcze za poprzedniego rządu, następnie został czasowo wstrzymany, by później ponownie nabrać tempa. Jego zwieńczeniem jest podpis prezydenta, który formalnie kończy etap legislacyjny i oznacza wejście przepisów w życie. 

Choć trudno uznać nowe regulacje za rozwiązanie idealne, ich obowiązywanie nie podlega już dyskusji. Ustawa staje się częścią porządku prawnego i nakłada konkretne obowiązki na organizacje objęte jej zakresem. Warto przy tym zaznaczyć, że do Trybunału Konstytucyjnego trafił fragment przepisów dotyczący dostawców wysokiego ryzyka. Nie wpływa to jednak na stosowanie pozostałych regulacji – zdecydowana większość ustawy będzie obowiązywać zgodnie z planem. 

Obecnie obserwujemy wyraźne przyspieszenie działań u klientów związanych z wdrożeniem wymogów wynikających zarówno z ustawy o krajowym systemie cyberbezpieczeństwa, jak i dyrektywy NIS2. Co istotne, mimo wcześniejszych spekulacji, zakres obowiązków nie uległ znaczącym zmianom względem wcześniejszych założeń i zapowiedzi. Oznacza to, że organizacje, które już wcześniej analizowały wymagania NIS2, mogą w dużej mierze opierać się na dotychczasowych przygotowaniach. 

Harmonogram prac oraz terminy wejścia w życie przepisów 

Proces wdrażania dyrektywy NIS2 do polskiego porządku prawnego był rozłożony w czasie i – podobnie jak w wielu innych krajach Unii Europejskiej – uległ opóźnieniom. Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa rozpoczęły się już w 2022 roku, a pierwotnie zakładano, że przepisy zostaną przyjęte w październiku 2024 roku. 

W praktyce harmonogram ten przesunął się o kilkanaście miesięcy. Na początku 2026 roku proces legislacyjny został sfinalizowany, co wpisuje się w szerszy kontekst unijny – jedynie nieliczne państwa członkowskie zdążyły wdrożyć dyrektywę w pierwotnym terminie, a większość krajów zakończyła ten proces dopiero później. 

Z perspektywy organizacji kluczowe znaczenie mają jednak nie tyle same prace legislacyjne, co terminy wejścia w życie przepisów oraz okres na dostosowanie się do nowych wymogów. 

Ustawa zaczeła obowiązywać po jej publikacji w Dzienniku Ustaw (02.03.2026) oraz upływie okresu vacatio legis, który wynosi miesiąc. Od tego momentu organizacje objęte regulacją będą miały 12 miesięcy na wdrożenie wymaganych rozwiązań i dostosowanie swoich procesów do nowych przepisów. 

W praktyce oznacza to, że obowiązki wynikające z ustawy zaczną realnie obowiązywać w kwietniu 2027 roku. To właśnie do tego czasu organizacje powinny być przygotowane na spełnienie wszystkich wymogów wynikających z NIS2 i krajowych regulacji. 

Kogo dotyczy NIS2 i ustawa o krajowym systemie cyberbezpieczeństwa 

Nowe przepisy obejmują tzw. podmioty kluczowe oraz podmioty ważne. Do tej grupy zaliczają się organizacje spełniające określone kryteria wielkości – co do zasady są to firmy zatrudniające powyżej 50 pracowników oraz osiągające roczny obrót przekraczający 10 mln euro. 

Zakres regulacji nie ogranicza się jednak wyłącznie do wielkości przedsiębiorstwa. Kluczowe znaczenie ma również sektor działalności. Ustawa obejmuje m.in. organizacje działające w obszarach takich jak: 

• energetyka, 
• ochrona zdrowia, 
• transport, 
• infrastruktura krytyczna, 
• usługi pocztowe i kurierskie, 
• gospodarka odpadami, 
• badania naukowe, 
• administracja publiczna. 

Lista sektorów w dużej mierze pokrywa się z załącznikami do dyrektywy NIS2, gdzie szczegółowo określono rodzaje usług uznawanych za istotne z punktu widzenia bezpieczeństwa państwa i gospodarki. 

Warto podkreślić, że spełnienie progów zatrudnienia i obrotu nie jest jedynym kryterium objęcia regulacją. Ustawa przewiduje również możliwość włączenia organizacji do katalogu podmiotów objętych przepisami na podstawie ich szczególnego znaczenia dla państwa. 

W praktyce oznacza to, że nawet mniejsze podmioty – niespełniające standardowych kryteriów – mogą zostać objęte obowiązkami wynikającymi z ustawy, jeśli zostaną uznane za istotne np. dla bezpieczeństwa publicznego, obronności czy funkcjonowania kluczowych usług. 

Szczególna sytuacja administracji publicznej 

W przypadku administracji publicznej polskie przepisy wprowadzają dodatkowe zróżnicowanie, które nie występowało wprost w dyrektywie NIS2. W praktyce oznacza to złagodzenie części wymogów dla mniejszych jednostek. 

Z jednej strony budzi to pewne wątpliwości interpretacyjne – prawnicy nie są zgodni, czy takie podejście w pełni odpowiada założeniom unijnym. Z drugiej jednak strony trudno oczekiwać, aby niewielkie instytucje, takie jak lokalne jednostki kultury czy urzędy w małych miejscowościach, spełniały identyczne wymagania jak duże podmioty infrastrukturalne czy koncerny energetyczne. 

Doświadczenia z pierwszych wdrożeń pokazują, że poziom dojrzałości i możliwości organizacyjnych w sektorze publicznym jest bardzo zróżnicowany – od urzędów pracy i gmin po uczelnie wyższe czy duże instytucje państwowe. 

Rejestracja w systemie i obowiązki formalne (S46) 

Jednym z pierwszych obowiązków organizacji objętych ustawą jest rejestracja w dedykowanym systemie teleinformatycznym (tzw. system S46). Choć wokół samego systemu narosło wiele dyskusji – głównie ze względu na jego złożoność oraz długotrwały proces rozwoju – w praktyce to właśnie przez niego odbywa się formalne zgłoszenie podmiotu. 

Na dokonanie rejestracji organizacje mają 6 miesięcy od momentu wejścia w życie ustawy. Warto jednak pamiętać, że obowiązek ten może pojawić się również później – np. w sytuacji, gdy firma w trakcie działalności przekroczy progi zatrudnienia lub obrotu. W takim przypadku termin rejestracji liczony jest od momentu spełnienia tych kryteriów. 

Proces rejestracji wiąże się z koniecznością przekazania określonych informacji o organizacji, a składane oświadczenia objęte są odpowiedzialnością karną. Oznacza to, że dane powinny być rzetelne i zweryfikowane. 

Jak sprawdzić, czy firma podlega pod NIS2? 

Jednym z najczęściej zadawanych pytań jest to, czy dana organizacja w ogóle podlega pod nowe regulacje. Weryfikacja powinna obejmować kilka kluczowych obszarów. 

Przede wszystkim należy przeanalizować: 

• poziom zatrudnienia, 
• roczny obrót, 
• zakres działalności. 

Istotnym elementem jest sposób liczenia pracowników. Zgodnie z podejściem wynikającym z prawa unijnego, do zatrudnienia wliczane są również osoby współpracujące w modelu B2B. Z kolei klasyczny outsourcing np. realizowany przez zewnętrzne firmy, co do zasady nie jest wliczany. 

Kolejnym krokiem powinna być analiza kodów PKD. Wiele organizacji posiada szeroki zakres działalności wpisany w rejestrach, co może oznaczać, że nawet poboczna 

działalność kwalifikuje je do objęcia regulacją. Warto również zweryfikować sytuacje szczególne, np. czy firma nie pełni roli jedynego dostawcy określonej usługi w kraju, co w niektórych przypadkach może mieć znaczenie przy ocenie jej istotności. 

Terminy: kiedy trzeba się zarejestrować i wdrożyć wymagania 

Z perspektywy organizacji kluczowe są dwa terminy: 

6 miesięcy na rejestrację, 

12 miesięcy na wdrożenie wymogów. 

Oba liczone są od momentu wejścia w życie ustawy, czyli od jej publikacji w Dzienniku Ustaw (02.03.2026.) oraz upływu okresu vacatio legis (miesiąc po publikacji, czyli 02.04.2026.). 

W praktyce oznacza to, że: 

rejestracja powinna nastąpić w ciągu około pół roku (bezpiecznie – do końca wakacji), 

pełne wdrożenie wymagań powinno nastąpić w ciągu 12 miesięcy liczonych od 02.04.2026. 

Decyzja administracyjna – wyjątek od reguły 

Nawet jeśli organizacja nie spełnia standardowych kryteriów (np. progu zatrudnienia lub obrotu), może zostać objęta ustawą na podstawie decyzji administracyjnej. 

Taka sytuacja może mieć miejsce w przypadku podmiotów uznanych za istotne z punktu widzenia: 

bezpieczeństwa publicznego, 

obronności, 

funkcjonowania państwa, 

dobrostanu obywateli. 

W praktyce oznacza to, że nawet niewielka firma może zostać objęta regulacją, jeśli jej działalność zostanie uznana za krytyczną. W takim przypadku to organ administracji informuje podmiot o objęciu przepisami – organizacja nie zgłasza się samodzielnie. 

Wymogi organizacyjne i techniczne 

Ustawa jasno określa podstawowe obowiązki organizacji. Kluczowym elementem jest wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), opartego na analizie ryzyka. 

W praktyce oznacza to konieczność: 

regularnego szacowania ryzyka, 

wdrożenia polityk bezpieczeństwa, 

opracowania planów ciągłości działania (BCP) i odtwarzania po awarii (DR), 

zarządzania incydentami, 

zapewnienia ciągłego monitoringu systemów. 

Zakres wdrożenia powinien być adekwatny do poziomu ryzyka. Nie chodzi o wdrożenie „wszystkiego”, ale o dobranie odpowiednich środków do skali działalności organizacji. 

Monitoring 24/7 i zespół reagowania 

W praktyce jednym z kluczowych wymagań jest zapewnienie ciągłego monitoringu bezpieczeństwa. Ustawa nie wskazuje wprost, że organizacja musi posiadać SOC, ale wymaga monitorowania w trybie ciągłym oraz reagowania na incydenty w określonych terminach. 

Z tego właśnie wynika potrzeba posiadania zespołu, który będzie w stanie obsługiwać alerty i podejmować działania niezależnie od pory dnia. Taki model może być realizowany wewnętrznie lub zewnętrznie, ale musi działać faktycznie, a nie tylko formalnie. 

Samo wdrożenie narzędzi, takich jak SIEM, EDR czy NDR, nie rozwiązuje problemu. Technologia bez ludzi i procedur nie zapewnia zgodności. Jeżeli alert pojawi się np. w piątek wieczorem, organizacja nadal musi być w stanie go odebrać, ocenić i – jeśli sytuacja tego wymaga – uruchomić procedurę zgłoszenia incydentu. 

To szczególnie istotne, ponieważ terminy zgłoszeń są krótkie. Jeśli incydent został wykryty przez system bezpieczeństwa, to od tego momentu zaczyna biec czas na reakcję, niezależnie od tego, czy ktoś fizycznie siedzi wtedy w biurze. 

Co w praktyce oznacza „ciągły monitoring” 

Wiele organizacji zadaje pytanie, czy monitoring 24/7 rzeczywiście musi obowiązywać także wtedy, gdy firma pracuje tylko w określonych godzinach. Z perspektywy bezpieczeństwa odpowiedź jest jednoznaczna: tak. 

Cyberataki nie ograniczają się do godzin pracy biura. Przestępcy często wykorzystują właśnie noce, weekendy i święta, licząc na opóźnioną reakcję. Dlatego monitoring ciągły oznacza realną zdolność do obserwowania kluczowych systemów oraz reagowania na zdarzenia przez całą dobę. 

Nie oznacza to jednak, że każda organizacja musi monitorować absolutnie wszystko. Kluczowe jest objęcie monitoringiem tych systemów, które są niezbędne dla świadczenia usług kluczowych lub ważnych, a także systemów wspierających ich działanie. W praktyce zakres ten powinien wynikać z analizy ryzyka i zrozumienia, które elementy infrastruktury są naprawdę krytyczne dla ciągłości działania. 

Analiza ryzyka, ciągłość działania i łańcuch dostaw 

Kolejnym filarem zgodności z NIS2 jest analiza ryzyka. I również tutaj nie chodzi o jednorazowy dokument, ale o proces, który powinien być aktualizowany wraz ze zmianami zachodzącymi w organizacji i jej otoczeniu. 

Ryzyko musi być oceniane systematycznie, a organizacja powinna na tej podstawie dobierać odpowiednie środki techniczne i organizacyjne. To właśnie analiza ryzyka stanowi punkt wyjścia do dalszych działań: wdrożenia polityk bezpieczeństwa, zabezpieczenia systemów, ustalenia priorytetów monitoringu czy przygotowania planów awaryjnych. 

Równie ważna jest ciągłość działania. Ustawa wymaga nie tylko posiadania planów reagowania i odtwarzania po awarii, ale także ich testowania. Organizacja musi wiedzieć nie tylko, co zrobi „na papierze”, ale również czy rzeczywiście będzie w stanie odtworzyć kluczowe procesy po incydencie. 

Istotnym obszarem jest także bezpieczeństwo łańcucha dostaw. Odpowiedzialność nie kończy się na własnych systemach. Organizacja powinna określić minimalne wymagania bezpieczeństwa dla dostawców, kontrolować ich poziom zabezpieczeń, a w niektórych przypadkach również weryfikować ich w praktyce – np. poprzez testy czy audyty wynikające z analizy ryzyka. 

Cyberbezpieczeństwo staje się odpowiedzialnością zarządu 

Jedną z najważniejszych zmian, na które trzeba zwrócić uwagę, jest przesunięcie odpowiedzialności za cyberbezpieczeństwo z działu IT na poziom najwyższego kierownictwa. 

Oznacza to, że cyberbezpieczeństwo nie może być już traktowane wyłącznie jako kwestia techniczna. Staje się elementem zarządzania organizacją, podobnie jak finanse, ryzyko operacyjne czy zgodność regulacyjna. To zarząd – lub szerzej: najwyższe kierownictwo – ma obowiązek rozumieć zagrożenia, podejmować decyzje i ponosić odpowiedzialność za ich skutki. 

W praktyce oznacza to również obowiązek szkoleń dla kadry zarządzającej. Kierownictwo powinno znać najważniejsze zagrożenia, rozumieć wpływ cyberincydentów na działalność organizacji i umieć ocenić, jakie działania są konieczne. 

To szczególnie istotne w kontekście sankcji. Odpowiedzialność nie kończy się na samej organizacji – w określonych przypadkach konsekwencje mogą dotknąć również osoby zarządzające. Mowa tu nie tylko o karach finansowych, ale także o bardziej dotkliwych środkach, takich jak czasowy zakaz pełnienia funkcji kierowniczych. 

Kary i odpowiedzialność – nie tylko dla organizacji 

Wokół sankcji związanych z NIS2 narosło wiele emocji, jednak warto oddzielić marketingowe straszenie od realnych konsekwencji. Ustawa przewiduje wysokie kary dla organizacji, a w przypadku części podmiotów również odpowiedzialność osobistą najwyższego kierownictwa. 

To właśnie ten element może okazać się najsilniejszym impulsem do realnego wdrażania zmian. Zarząd nie może przenieść swojej odpowiedzialności na dział IT, compliance czy zewnętrznego dostawcę. Może delegować zadania, ale nie może delegować odpowiedzialności. 

Jeśli chodzi o kary finansowe to dla podmiotów kluczowych wynoszą one co najmniej 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa. Natomiast dla podmiotów ważnych kary wynoszą co najmniej 7 000 000 EUR lub 1,4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa. Kary finansowe dla kierownika podmiotu wynoszą do 300% średniego miesięcznego wynagrodzenia w sektorze prywatnym i do 100% średniego miesięcznego wynagrodzenia w sektorze publicznym. Nie chodzi tu o średnią krajową, tylko faktyczne wynagrodzenie danej osoby. 

Inaczej wygląda sytuacja osób takich jak CISO, jeśli nie zasiadają formalnie w zarządzie. Nie podlegają one sankcjom ustawowym w taki sam sposób jak najwyższe kierownictwo, ale nadal mogą ponosić odpowiedzialność pracowniczą, dyscyplinarną lub kontraktową – zwłaszcza jeśli organizacja wykaże, że działania były nierzetelne lub wprowadzały zarząd w błąd. 

Jak podejść do wdrożenia 

Z perspektywy organizacyjnej wdrożenie NIS2 powinno zaczynać się od analizy luki. To etap, który pozwala sprawdzić nie tylko, czego brakuje, ale również jak konkretnie należy uzupełnić te braki w danej organizacji. 

Dopiero na tej podstawie warto planować dalsze działania: budowę dokumentacji, wdrożenie monitoringu, organizację procesu zarządzania incydentami, pracę nad analizą ryzyka czy bezpieczeństwem dostawców. 

To ważne również dlatego, że czas na wdrożenie wcale nie jest tak długi, jak może się wydawać. W praktyce organizacje, które startują od zera, muszą liczyć się z tym, że pełne przygotowanie może potrwać wiele miesięcy. Im bardziej rozproszone będą działania między różnych dostawców i zespoły, tym trudniejsze stanie się utrzymanie spójnego harmonogramu. 

Najważniejszy wniosek 

Najważniejszy wniosek jest prosty: NIS2 nie sprowadza się do dokumentacji ani do zakupu pojedynczego narzędzia. To zmiana sposobu myślenia o cyberbezpieczeństwie. 

W centrum tej zmiany znajdują się trzy elementy: ciągłość działania, zdolność do reagowania oraz odpowiedzialność kierownictwa. Organizacje, które potraktują nowe 

przepisy wyłącznie formalnie, mogą szybko przekonać się, że zgodność „na papierze” nie wystarczy. 

Koszty wdrożenia i wybór rozwiązań 

Jednym z największych wyzwań jest finansowanie wdrożenia nowych wymagań. Choć w ostatnich latach pojawiały się programy wspierające cyberbezpieczeństwo (np. dla samorządów), nie zawsze środki te były bezpośrednio powiązane z wymaganiami ustawy. 

W praktyce organizacje często rozważają wykorzystanie rozwiązań open source jako tańszej alternatywy. Choć same narzędzia mogą być darmowe, ich wdrożenie i utrzymanie wymaga znacznych zasobów – co w wielu przypadkach sprawia, że całkowity koszt okazuje się porównywalny z rozwiązaniami komercyjnymi. 

Wybór narzędzi (np. systemów klasy SIEM) powinien być dopasowany do organizacji – nie istnieje jedno uniwersalne rozwiązanie. 

Najczęstsze mity wokół NIS2 

Wraz z wejściem nowych regulacji pojawia się wiele uproszczeń i marketingowych haseł, które mogą wprowadzać w błąd. Jednym z najczęstszych mitów jest przekonanie, że istnieją rozwiązania lub certyfikacje „zgodne z NIS2”, które automatycznie zapewniają spełnienie wymogów. 

W praktyce zgodność z NIS2 nie opiera się na jednym narzędziu ani samej dokumentacji. Dotyczy to również norm ISO – takich jak ISO 27001 czy ISO 22301 – które mogą stanowić dobrą bazę, ale same w sobie nie gwarantują zgodności z przepisami. 

Kluczowe znaczenie ma realne wdrożenie procesów, zdolność do monitorowania środowiska, reagowania na incydenty oraz zarządzania ryzykiem w sposób ciągły. Dokumentacja jest tylko jednym z elementów – równie ważne są kompetencje, narzędzia i praktyczne działania operacyjne. 

Podobne zjawisko można było zaobserwować przy wdrażaniu RODO, gdzie pojawiały się produkty reklamowane jako „zgodne z regulacją”. W przypadku NIS2 warto zachować szczególną ostrożność wobec takich uproszczeń i traktować zgodność jako proces, a nie jednorazowe działanie. 

Jakie wsparcie we wdrożeniu oferuje Trecom 

Przygotowanie organizacji do nowych wymogów nie sprowadza się do samej dokumentacji ani do zakupu jednego narzędzia, ale wymaga połączenia kilku obszarów: audytu, analizy ryzyka, procedur, monitoringu oraz technologii. 

Proces wdrożenia najczęściej rozpoczyna się od analizy luki, która pozwala ocenić, czego organizacji brakuje do osiągnięcia zgodności. Następnie możliwe jest wsparcie w zakresie przygotowania dokumentacji, budowy SZBI, przeprowadzenia szkoleń czy zapewnienia eksperckiego doradztwa w modelu CISO as a Service. 

Po stronie operacyjnej Trecom oferuje również usługi SOC działające 24/7, zarządzanie incydentami oraz wsparcie w zakresie monitoringu bezpieczeństwa. Uzupełnieniem tego obszaru są wdrożenia technologii takich jak SIEM, EDR, NDR, XDR czy MFA. 

Skuteczne wdrożenie NIS2 wymaga spójnego podejścia i odpowiedniego planowania, a organizacje nie powinny odkładać przygotowań na ostatni moment. 

Kluczowe jest to, że odpowiedzialność za spełnienie wymogów nadal spoczywa na organizacji w Polsce – nawet jeśli usługi realizowane są przez centralę. 

Q&A

---

Cyprian Gutkowski – specjalista ds. bezpieczeństwa procesów IT, prawnik oraz doświadczony CISO w sektorze finansowym i zdrowia, ekspert w zakresie zgodności z regulacjami NIS2, DORA i RODO. Od lat zaangażowany w rozwój cyberbezpieczeństwa w Polsce, współtworzył projekty dla krajowych CSIRT-ów, prowadzi szkolenia i wykłada na uczelniach, a w 2025 roku zdobył tytuł Wykładowcy Roku MBA PW.