Kiedy wchodzi w życie nowelizacja ustawy o KSC i NIS2?

Autor: Paulina Gogolewska, Członek Zarządu Perfectinfo sp. z o.o.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która implementuje dyrektywę NIS2, została opublikowana w Dzienniku Ustaw 2 marca 2026 roku. Nowe przepisy wejdą w życie na początku kwietnia 2026 roku, co daje podmiotom objętym regulacją ostatnie tygodnie na kluczowe dostosowania.

Ta zmiana prawna stanowi fundamentalną reformę polskiego systemu cyberbezpieczeństwa, rozszerzając obowiązki z około 400 podmiotów do nawet 30 000. Wprowadza także nowe, surowe wymogi dotyczące zarządzania ryzykiem, zgłaszania incydentów oraz, co kluczowe, osobistą odpowiedzialność zarządu za zapewnienie zgodności. Czas na przygotowanie dobiega końca.

Spis treści

Harmonogram wdrożenia – najważniejsze daty

Nowelizacja ustawy o KSC została opublikowana w Dzienniku Ustaw 2 marca 2026 roku, co formalnie zakończyło proces legislacyjny w Polsce. Przepisy zaczną obowiązywać po jednomiesięcznym vacatio legis. Kluczową datą dla organizacji jest więc początek kwietnia 2026 roku, kiedy to nowe obowiązki staną się prawnie wiążące.

Proces legislacyjny, choć opóźniony względem unijnego terminu (17 października 2024 r.), nabrał tempa na początku 2026 roku. Choć Prezydent skierował część przepisów dotyczących dostawców wysokiego ryzyka do Trybunału Konstytucyjnego, nie wstrzymało to wejścia w życie pozostałej części ustawy. Wszystkie podmioty muszą działać teraz.

Kluczowe etapy procesu legislacyjnego (stan na 3 marca 2026):

16 stycznia 2023 r. – Wejście w życie dyrektywy NIS2 na poziomie Unii Europejskiej.
26 stycznia 2026 r. – Uchwalenie ustawy przez Sejm Rzeczypospolitej Polskiej.
19 lutego 2026 r. – Podpisanie ustawy przez Prezydenta RP.
2 marca 2026 r. – Publikacja ustawy w Dzienniku Ustaw.
Początek kwietnia 2026 r. – Wejście w życie nowelizacji.

Kogo obejmą nowe przepisy? Podmioty kluczowe i ważne

Nowe przepisy radykalnie poszerzają zakres ustawy, obejmując od 10 000 do nawet 30 000 organizacji w Polsce. Wprowadzono podział na podmioty kluczowe (essential entities) i podmioty ważne (important entities), co zastępuje dotychczasową kategorię operatorów usług kluczowych. Kryterium klasyfikacji jest wielkość podmiotu oraz sektor jego działalności.

Wewnętrzny audyt Perfectinfo, przeprowadzony na grupie 200 polskich MŚP w czwartym kwartale 2025 roku, wykazał, że ponad 75% z nich nie posiadało sformalizowanej procedury zarządzania ryzykiem cyberbezpieczeństwa, która będzie wymagana przez NIS2. To pokazuje skalę wyzwania, przed którym stoją tysiące organizacji.

Nowelizacja KSC to nie ewolucja, a rewolucja. Wiele organizacji, które do tej pory nie postrzegały siebie jako cel ataków, nagle znalazło się w reżimie ścisłego nadzoru. Szczególnie dotyczy to podmiotów z łańcucha dostaw dla sektorów kluczowych.
— Mateusz Wirkijowski, Ekspert ds. Cyberbezpieczeństwa

Podział na sektory o wysokiej i istotnej krytyczności definiuje, czy organizacja jest traktowana jako kluczowa, czy ważna. Jest to fundamentalne, ponieważ determinuje poziom nadzoru i rygor sankcji.

Przykładowe sektory objęte NIS2:

Podmioty kluczowe: energetyka, transport, sektor bankowy, opieka zdrowotna, infrastruktura cyfrowa (np. dostawcy DNS, rejestry TLD), administracja publiczna.
Podmioty ważne: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów, produkcja żywności, dostawcy usług cyfrowych (np. platformy handlowe online, wyszukiwarki internetowe).

Najważniejsze zmiany i nowe obowiązki dla zarządów

Kluczowe zmiany obejmują wdrożenie systemowego zarządzania ryzykiem, obowiązek zgłaszania poważnych incydentów w ciągu 24 godzin oraz wprowadzenie bezpośredniej odpowiedzialności zarządu za zgodność. Naruszenia mogą skutkować wysokimi karami finansowymi, sięgającymi nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu.

Dyrektywa NIS2 wprowadza obowiązek posiadania planów ciągłości działania i odtwarzania po awarii właśnie w odpowiedzi na takie zagrożenia.

Zarządy nie mogą już delegować cyberbezpieczeństwa wyłącznie do działów IT. Zgodnie z nowymi przepisami, członkowie organów zarządzających są osobiście zobowiązani do nadzorowania wprowadzanych środków i ponoszą za to odpowiedzialność. Brak należytej staranności może prowadzić do zakazu pełnienia funkcji kierowniczych.
— Karolina Pudło, Specjalista ds. Compliance, ds. ochrony danych osobowych

Checklista gotowości na nowelizację KSC (NIS2)

Aby przygotować organizację na wejście w życie przepisów na początku kwietnia 2026, zarząd powinien bezzwłocznie podjąć następujące działania:

Ocena podlegania pod ustawę: Czy organizacja działa w jednym z sektorów kluczowych lub ważnych i spełnia kryteria wielkości? To pierwszy i najważniejszy krok.
Analiza luk (Gap Analysis): Porównaj obecne środki bezpieczeństwa z listą minimum 10 obowiązkowych środków z art. 21 dyrektywy NIS2. Zidentyfikuj obszary wymagające natychmiastowej poprawy.
Wdrożenie polityki zarządzania ryzykiem: Opracuj i wdróż kompleksową politykę analizy i oceny ryzyka w cyberbezpieczeństwie. Musi ona obejmować zarówno systemy IT, jak i procesy operacyjne.
Szkolenie zarządu i pracowników: Zorganizuj dedykowane szkolenia dla członków zarządu z zakresu nowych obowiązków i odpowiedzialności. Podnieś świadomość wszystkich pracowników na temat higieny cyfrowej.
Opracowanie planu reagowania na incydenty: Stwórz i przetestuj procedury zgłaszania incydentów, które zapewnią możliwość złożenia wczesnego ostrzeżenia do CSIRT w ciągu 24 godzin.
Zabezpieczenie łańcucha dostaw: Zweryfikuj poziom bezpieczeństwa kluczowych dostawców i partnerów. Wprowadź odpowiednie zapisy umowne dotyczące cyberbezpieczeństwa.

Podsumowanie: Jak się przygotować na kwiecień 2026?

Wejście w życie nowelizacji ustawy o KSC na początku kwietnia 2026 r. to finalny termin na wdrożenie zmian. Opóźnienia w tym zakresie narażają organizacje nie tylko na dotkliwe kary finansowe, ale także na ryzyko utraty reputacji i odpowiedzialność osobistą kadry zarządzającej. Według danych z raportu „Cybersecurity Readiness Index 2025” przygotowanego przez Cisco, tylko 23% organizacji na świecie ma dojrzałość potrzebną do obrony przed współczesnymi zagrożeniami. Polska ustawa ma ten wskaźnik podnieść.

Kluczowe działania na najbliższe tygodnie:

Potwierdź status swojego podmiotu – czy jesteś podmiotem kluczowym, czy ważnym?
Dokonaj przeglądu i aktualizacji polityk bezpieczeństwa, aby były zgodne z nowymi wymogami.
Zapewnij, że zarząd rozumie i akceptuje swoją nową, bezpośrednią odpowiedzialność za cyberbezpieczeństwo.
Przetestuj procesy zgłaszania naruszeń, aby zmieścić się w obligatoryjnym terminie 24 godzin.
Skonsultuj się z ekspertami zewnętrznymi, aby zweryfikować swoją gotowość i uniknąć kosztownych błędów.

Kiedy wchodzi w życie nowelizacja ustawy o KSC wdrażająca NIS2?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa została opublikowana 2 marca 2026 roku. Przepisy zaczną obowiązywać po jednomiesięcznym vacatio legis, czyli na początku kwietnia 2026 roku.

Jak bardzo zmieni się liczba podmiotów objętych nowymi przepisami?

Nowe regulacje stanowią fundamentalną reformę, która znacząco rozszerza zakres obowiązków. Liczba podmiotów objętych przepisami wzrośnie z około 400 do nawet 30 000.

Kto ponosi odpowiedzialność za zgodność z nowymi przepisami w firmie?

Nowelizacja ustawy o KSC wprowadza osobistą odpowiedzialność zarządu za zapewnienie zgodności z nowymi wymogami. Jest to jedna z kluczowych i najbardziej istotnych zmian wprowadzonych przez nowe prawo.

Jaka jest kluczowa data, od której nowe obowiązki stają się wiążące?

Kluczową datą dla wszystkich organizacji jest początek kwietnia 2026 roku. Od tego dnia nowe obowiązki wynikające z nowelizacji ustawy o KSC staną się prawnie wiążące.

Czym jest nowelizacja ustawy o KSC i co ona wprowadza?

Jest to zmiana prawna implementująca unijną dyrektywę NIS2 do polskiego prawa. Wprowadza ona surowe wymogi dotyczące zarządzania ryzykiem, zgłaszania incydentów oraz osobistą odpowiedzialność zarządu za cyberbezpieczeństwo.

Czy skierowanie części ustawy do Trybunału Konstytucyjnego opóźniło jej wejście w życie?

Nie, skierowanie przez Prezydenta części przepisów dotyczących dostawców wysokiego ryzyka do Trybunału Konstytucyjnego nie wstrzymało tego procesu. Pozostała część ustawy wejdzie w życie zgodnie z planem na początku kwietnia 2026 roku.

Jaki był ostateczny termin na wdrożenie dyrektywy NIS2 przez kraje UE?

Unijny termin na implementację dyrektywy NIS2 przez państwa członkowskie minął 17 października 2024 roku. Polska zakończyła proces legislacyjny z opóźnieniem w stosunku do tego terminu.

Bezpieczeństwo informacji - dobrze trafiłeś!

Bierzemy odpowiedzialność za nasze działania.