3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca do polskiego prawa dyrektywę NIS2. Nowe przepisy rozszerzają katalog podmiotów objętych obowiązkami cyberbezpieczeństwa oraz wprowadzają podział na podmioty kluczowe i podmioty ważne. Dla wielu przedsiębiorców oznacza to konieczność przeprowadzenia samoidentyfikacji, przygotowania do wpisu do Wykazu KSC oraz wdrożenia nowych wymogów organizacyjnych i technicznych.
Polska implementacja NIS2 już obowiązuje
Po wejściu w życie polskiej implementacji NIS2 nowe przepisy o cyberbezpieczeństwie przeszły z etapu legislacyjnego do etapu praktycznego stosowania. Od 7 maja 2026 r. trwa samorejestracja w Wykazie podmiotów kluczowych i podmiotów ważnych, a od 12 czerwca 2026 r. nowe podmioty objęte ustawą mogą już korzystać z Systemu S46. Oznacza to, że przedsiębiorcy powinni nie tylko monitorować nowe regulacje, ale przede wszystkim ustalić, czy podlegają obowiązkom wynikającym z ustawy i czy powinni dokonać wpisu do Wykazu KSC.
Dyrektywa NIS2 zastępuje wcześniejsze unijne ramy cyberbezpieczeństwa i istotnie rozszerza zakres regulacji. Jej celem jest zwiększenie odporności cybernetycznej podmiotów działających w sektorach istotnych dla funkcjonowania gospodarki i państwa. Regulacja opiera się na założeniu, że bezpieczeństwo sieci i systemów informatycznych nie jest wyłącznie zagadnieniem technicznym, lecz elementem ciągłości działania usług istotnych z perspektywy rynku, administracji i obywateli.
Polska implementacja nastąpiła przez zmianę ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026 r. Od tego momentu zaczęły biec terminy na wykonanie nowych obowiązków. Jedną z najważniejszych zmian jest zastąpienie dotychczasowego modelu operatorów usług kluczowych i dostawców usług cyfrowych nowym podziałem na podmioty kluczowe i podmioty ważne. W praktyce oznacza to konieczność ponownej oceny statusu wielu organizacji, także tych, które wcześniej nie były formalnie identyfikowane jako uczestnicy krajowego systemu cyberbezpieczeństwa. Ministerstwo Cyfryzacji wskazuje, że od dnia wejścia w życie nowelizacji biegną terminy na wykonanie ustawowych obowiązków.
Kogo mogą objąć nowe przepisy?
Nowe obowiązki mogą dotyczyć podmiotów działających m.in. w sektorach energetyki, transportu, bankowości, infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę, infrastruktury cyfrowej, zarządzania usługami ICT, administracji publicznej, gospodarki odpadami, produkcji chemikaliów, produkcji żywności oraz wybranych rodzajów działalności przemysłowej.
Zakres ten jest szeroki i obejmuje zarówno podmioty świadczące usługi bezpośrednio na rzecz odbiorców końcowych, jak i organizacje pełniące istotne funkcje w łańcuchach dostaw. Z tego względu, weryfikacja statusu nie powinna ograniczać się do prostego sprawdzenia, czy przedsiębiorca działa w branży „cyber” albo czy świadczy klasyczne usługi cyfrowe. Istotne może być również to, czy jego działalność wspiera funkcjonowanie sektorów uznanych przez ustawodawcę za kluczowe lub ważne.
W praktyce kluczowe znaczenie będzie mieć nie tylko formalny przedmiot działalności, ale również rzeczywiste funkcje wykonywane przez dany podmiot, jego skala, sektor działalności oraz powiązania z innymi przedsiębiorstwami. Ministerstwo Cyfryzacji wskazuje, że przed dokonaniem wpisu do wykazu KSC (patrz poniżej) należy zweryfikować profil działalności, właściwy kod PKD oraz wielkość podmiotu, z uwzględnieniem przedsiębiorstw powiązanych i partnerskich. Samodzielne składanie wniosków rejestracyjnych dotyczy podmiotów prowadzących działalność w sektorach wskazanych w załącznikach do ustawy, które spełniają kryteria wielkościowe i nie są wpisywane do wykazu z urzędu.
Wpis do Wykazu KSC
Samodzielna rejestracja w Wykazie podmiotów kluczowych i podmiotów ważnych, czyli Wykazie KSC, jest jednym z pierwszych praktycznych etapów stosowania nowych przepisów. Dotyczy ona podmiotów, które spełniają ustawowe kryteria uznania za podmiot kluczowy albo ważny i nie są wpisywane do wykazu z urzędu.
Samorejestracja została uruchomiona 7 maja 2026 r., a termin na złożenie wniosku upływa 3 października 2026 r. Wykaz KSC jest prowadzony w ramach Systemu S46, który ma służyć m.in. współpracy z zespołami CSIRT, komunikacji z organami oraz realizacji obowiązków związanych ze zgłaszaniem incydentów. Od 12 czerwca 2026 r. nowe podmioty mogą rozpocząć korzystanie z Systemu S46 w zakresie realizacji obowiązków ustawowych.
Wpis do Wykazu KSC nie powinien być traktowany wyłącznie jako czynność formalna. W praktyce wymaga wcześniejszej analizy, czy dany podmiot spełnia przesłanki ustawowe, w jakim charakterze powinien zostać zakwalifikowany oraz jakie obowiązki będą się z tym wiązać.
Najważniejsze terminy
| Data | Znaczenie |
|---|---|
| 3 kwietnia 2026 r. | wejście w życie nowelizacji ustawy o KSC |
| 13 kwietnia 2026 r. | uruchomienie Wykazu KSC |
| 7 maja – 3 października 2026 r. | okres samorejestracji w Wykazie KSC |
| 12 czerwca 2026 r. | udostępnienie Systemu S46 podmiotom objętym ustawą |
| 3 kwietnia 2027 r. | koniec okresu dostosowawczego na wdrożenie obowiązków i rozpoczęcie korzystania z S46 |
| 3 kwietnia 2028 r. | początek stosowania przepisów o karach pieniężnych oraz termin pierwszego audytu dla części podmiotów kluczowych |
Powyższy harmonogram oznacza, że chociaż pełne wdrożenie części obowiązków zostało rozłożone w czasie, etap przygotowawczy już się rozpoczął. Szczególne znaczenie ma okres na samodzielne złożenie wniosku rejestracyjnego, ponieważ podmioty, które nie są wpisywane z urzędu, powinny samodzielnie złożyć wniosek w przewidzianym terminie. Do 3 kwietnia 2027 r. podmioty spełniające kryteria na dzień wejścia w życie nowelizacji powinny również rozpocząć korzystanie z Systemu S46 oraz wdrożyć obowiązki wynikające z ustawy.
Termin 3 kwietnia 2028 r. ma znaczenie przede wszystkim z perspektywy sankcyjnej i audytowej. Od tej daty możliwe będzie stosowanie administracyjnych kar pieniężnych za naruszenie większości obowiązków, a część podmiotów kluczowych będzie zobowiązana do przeprowadzenia pierwszego audytu bezpieczeństwa systemu informacyjnego.
… a jej wykonalność
Decyzja reklasyfikacyjna stanie się wykonalna po dniu, w którym upłynie termin do wniesienia odwołania, jeżeli żadna ze stron go nie wniosła, z chwilą uprawomocnienia się orzeczenia sądu w sprawie odwołania od decyzji lub z dniem nadania jej rygoru natychmiastowej wykonalności.
Co oznacza to dla przedsiębiorców?
Najbliższe miesiące powinny zostać wykorzystane przede wszystkim na ustalenie, czy dany podmiot podlega nowym przepisom. Weryfikacja powinna obejmować sektor działalności, faktycznie świadczone usługi, skalę działalności, strukturę grupową oraz ewentualne powiązania z innymi przedsiębiorstwami. Szczególne znaczenie może mieć to dla przedsiębiorstw energetycznych oraz podmiotów z sektora gospodarki odpadami, w których cyberbezpieczeństwo coraz częściej wiąże się nie tylko z ochroną systemów informatycznych, ale również z ciągłością świadczenia usług, bezpieczeństwem infrastruktury technicznej, korzystaniem z systemów ICT/OT oraz zależnością od zewnętrznych dostawców technologii i usług cyfrowych. W przypadku energetyki nowe przepisy mogą wymagać ponownej oceny statusu w ramach podziału na podmioty kluczowe i podmioty ważne, także w odniesieniu do podmiotów, które funkcjonowały już wcześniej w krajowym systemie cyberbezpieczeństwa. Z kolei w sektorze gospodarki odpadami NIS2 może mieć szczególne znaczenie dla podmiotów, które dotychczas nie identyfikowały się jako bezpośrednio objęte reżimem cyberbezpieczeństwa, mimo że ich działalność ma istotne znaczenie dla ciągłości usług komunalnych, środowiskowych i logistycznych.
Podmioty, które mogą zostać uznane za kluczowe albo ważne, powinny następnie przygotować się do wpisu do Wykazu KSC oraz zaplanować wdrożenie wymaganych środków technicznych i organizacyjnych. W praktyce może to obejmować przegląd obecnych procedur cyberbezpieczeństwa, analizę luk, uporządkowanie odpowiedzialności wewnętrznej, aktualizację dokumentacji, przygotowanie zasad zgłaszania incydentów oraz ocenę bezpieczeństwa łańcucha dostaw ICT. Wdrożenie NIS2 powinno być przy tym traktowane jako projekt organizacyjny angażujący nie tylko funkcję IT, ale również compliance, prawników, zakupy, obszar operacyjny oraz osoby odpowiedzialne za zarządzanie organizacją.
Podsumowanie
Wejście w życie polskiej implementacji NIS2 oznacza, że etap oczekiwania na przepisy został zakończony. Przedsiębiorcy powinni obecnie skoncentrować się na samoidentyfikacji, rejestracji w Wykazie KSC oraz przygotowaniu organizacji do spełnienia nowych obowiązków przed końcem okresu dostosowawczego.
W praktyce najważniejsze będzie szybkie ustalenie, czy dana organizacja mieści się w zakresie nowych regulacji, a następnie zaplanowanie działań dostosowawczych. Odpowiednio wczesna analiza pozwoli ograniczyć ryzyko opóźnień przy wpisie do Wykazu KSC, uporządkować dokumentację oraz przygotować wewnętrzne procedury przed rozpoczęciem pełnego stosowania obowiązków.
Zakres wsparcia KPMG Law
KPMG Law wspiera przedsiębiorców w analizie i wdrażaniu obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa oraz dyrektywy NIS2, w szczególności w zakresie:
- oceny, czy dany podmiot może zostać uznany za podmiot kluczowy albo podmiot ważny;
- mapowania działalności względem sektorów i kategorii wskazanych w ustawie;
- przygotowania do wpisu do Wykazu KSC;
- analizy luk regulacyjnych i dokumentacyjnych;
