NIS 2 w polskim porządku prawnym – Nowelizacja ustawy o KSC podpisana przez Prezydenta RP

Cyberbezpieczeństwo w ostatnich latach uległo zasadniczej redefinicji. Obszar ten, jeszcze niedawno postrzegany głównie jako zagadnienie techniczne pozostające w gestii działów IT, obecnie stanowi jeden z kluczowych elementów zarządzania ryzykiem organizacyjnym. Zakłócenia dostępności systemów informacyjnych, incydenty cybernetyczne oraz naruszenia integralności danych mają dziś bezpośredni wpływ na ciągłość świadczenia usług, stabilność rynków finansowych, bezpieczeństwo łańcuchów dostaw oraz zaufanie interesariuszy.
Graficzna tarcza z dziurką od klucza na tle cyfrowej sieci, ilustracja artykułu o NIS 2 i ustawie o KSC.

Odpowiedzią Unii Europejskiej na rosnącą skalę i złożoność zagrożeń cybernetycznych jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii, określana jako dyrektywa NIS 2[1]. Akt ten zastąpił wcześniejszą dyrektywę NIS (2016/1148) i wprowadził istotnie rozszerzony model regulacyjny. W Polsce jej wdrożenie następuje poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), podpisanej przez Prezydenta RP w dniu 19.02.2026. Ustawa wejdzie w życie po upływie miesiąca od dnia ogłoszenia.



Charakter i zakres regulacji NIS 2


Dyrektywa NIS 2 ma charakter horyzontalny i systemowy. Jej celem nie jest wyłącznie podniesienie poziomu zabezpieczeń technicznych, lecz ustanowienie minimalnego, spójnego standardu zarządzania cyberbezpieczeństwem w całej Unii Europejskiej. Regulacja obejmuje zarówno podmioty publiczne, jak i prywatne, działające w sektorach uznanych za kluczowe lub ważne dla funkcjonowania państwa i gospodarki.

Mikro i małe przedsiębiorstwa również są objęte dyrektywą, o ile spełniają kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów, bądź typów usługi.


Zakres podmiotowy dyrektywy został znacząco rozszerzony. Obejmuje on m.in. sektor energii, transportu, ochrony zdrowia, bankowości i infrastruktury rynków finansowych, usług cyfrowych, administracji publicznej, gospodarki wodnej, gospodarki odpadami, produkcji wybranych wyrobów krytycznych oraz usług pocztowych i kurierskich. W praktyce oznacza to objęcie regulacją wielu organizacji, które dotychczas nie podlegały szczególnym obowiązkom w obszarze cyberbezpieczeństwa.




Stan prac legislacyjnych w Polsce i kontekst unijny


Zgodnie z dyrektywą NIS 2 państwa członkowskie były zobowiązane do jej transpozycji do prawa krajowego do dnia 17 października 2024 r., natomiast nowe przepisy powinny być stosowane od dnia 18 października 2024 r.[2] Termin ten upłynął, a Komisja Europejska podjęła formalne działania wobec państw, które nie zrealizowały obowiązku transpozycji w wymaganym czasie.

W Polsce wdrożenie NIS 2 następuje poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), potocznie określanej jako „ustawa wdrażająca NIS 2”. 22 stycznia 2026 r. Sejm uchwalił nowelizację ustawy o KSC a Prezydent RP podjął decyzje o jej podpisaniu w dniu 19 lutego 2026 r. i skierował do kontroli następczej przez Trybunał Konstytucyjny.


Należy podkreślić, że dojście do uchwalenia nowelizacji KSC nie było procesem krótkotrwałym. Historia reformy KSC sięga co najmniej 2019 r., kiedy rozpoczęto pierwsze próby kompleksowej przebudowy systemu cyberbezpieczeństwa na poziomie krajowym. Uchwalenie zmian w lutym 2026 r. zamyka wieloletni etap konsultacji i iteracji legislacyjnych. Pomimo skierowania ustawy do Trybunału Konstytucyjnego organizacje powinny rozpocząć przygotowania do spełnienia wymagań, a przede wszystkim do weryfikacji obecnego poziomu ich zabezpieczeń i stanu gotowości do odparcia cyberataków.


Równocześnie należy wskazać, że w ujęciu europejskim proces transpozycji NIS 2 jest zaawansowany. Według dostępnych zestawień branżowych od kilkunastu do około dwudziestu państw Unii Europejskiej wdrożyło już dyrektywę w całości lub w przeważającym zakresie, podczas gdy pozostałe państwa finalizują prace legislacyjne[3].



Skala regulacji – liczba podmiotów objętych NIS 2


Jednym z najbardziej doniosłych skutków dyrektywy NIS 2 jest radykalne zwiększenie liczby podmiotów objętych regulacją. Szacunki dotyczące Polski są zróżnicowane i zależą od przyjętej metodologii oraz sposobu kwalifikacji podmiotów jako „kluczowych” lub „ważnych”.


Analizy firm doradczych oraz komentarze prawnicze wskazują, że liczba organizacji objętych nowymi obowiązkami może wynosić od ponad 6 tysięcy do nawet 30–40 tysięcy podmiotów[4]. Dla porównania, poprzednia dyrektywa NIS obejmowała w Polsce jedynie kilkuset operatorów usług kluczowych.

W skali całej Unii Europejskiej Komisja Europejska szacuje, że regulacja obejmie ponad 160 tysięcy podmiotów[5]. Dane te jednoznacznie potwierdzają, że NIS 2 przestaje być regulacją sektorową, a staje się instrumentem o charakterze systemowym, wpływającym na znaczną część europejskiej gospodarki.




Kluczowe obowiązki wynikające z NIS 2


Dyrektywa NIS 2 wprowadza jednolity katalog minimalnych obowiązków, które muszą zostać wdrożone przez podmioty objęte regulacją. Obejmują one w szczególności zarządzanie ryzykiem cyberbezpieczeństwa, obsługę incydentów, zapewnienie ciągłości działania, bezpieczeństwo łańcucha dostaw oraz nadzór zarządczy.

W polskiej implementacji NIS 2, realizowanej poprzez nowelizację ustawy o KSC, wprowadzono procedurę uznania dostawcy za wysokiego ryzyka, której celem jest eliminowanie niebezpiecznego sprzętu i usług z kluczowych systemów.


Szczególne znaczenie ma obowiązek wdrożenia systemowego podejścia do zarządzania ryzykiem. Ryzyko powinno być identyfikowane i oceniane w odniesieniu do usług świadczonych przez organizację, a nie wyłącznie do komponentów technicznych. Oznacza to konieczność uwzględnienia procesów biznesowych, zależności od dostawców oraz czynników ludzkich.


Dyrektywa wzmacnia również reżim raportowania incydentów, wprowadzając określone terminy zgłoszeń oraz obowiązek prowadzenia dokumentacji poincydentalnej. W polskiej implementacji przewidziano usprawnienie ścieżki zgłaszania: informacje o incydentach mają być przekazywane bezpośrednio do zespołów CSIRT za pośrednictwem systemu teleinformatycznego S46.



NIS 2 a podejście systemowe – rola norm ISO


Wymagania NIS 2 w sposób naturalny korespondują z podejściem systemowym znanym z międzynarodowych norm zarządzania. W szczególności dotyczy to norm ISO 27001 w zakresie systemu zarządzania bezpieczeństwem informacji oraz ISO 22301 w obszarze zarządzania ciągłością działania.

Organizacje, które wdrożyły lub wdrażają te systemy, dysponują strukturą procesową umożliwiającą spełnienie znacznej części wymagań NIS 2. Podejście systemowe pozwala uniknąć działań doraźnych i budować trwałą odporność organizacyjną, opartą na cyklicznym przeglądzie ryzyk, miernikach skuteczności oraz nadzorze zarządczym.



Kompetencje i rola pełnomocnika ds. cyberbezpieczeństwa


Istotną konsekwencją wdrożenia NIS 2 jest wzrost znaczenia kompetencji organizacyjnych i regulacyjnych w obszarze cyberbezpieczeństwa. Dyrektywa wprost akcentuje odpowiedzialność kierownictwa, co w praktyce wymaga istnienia funkcji koordynującej działania w skali całej organizacji.

Rolę tę coraz częściej pełni pełnomocnik ds. cyberbezpieczeństwa lub funkcja równoważna. Osoba ta odpowiada za nadzór nad wdrażaniem wymagań regulacyjnych, koordynację działań operacyjnych, współpracę z organami nadzorczymi oraz raportowanie ryzyk do kierownictwa.



Przygotowanie organizacji i rozwój kompetencji


Wdrożenie NIS 2 jest procesem długofalowym, który nie powinien być ograniczony do spełnienia minimalnych wymogów formalnych. Kluczowym elementem przygotowania organizacji jest rozwój kompetencji osób odpowiedzialnych za cyberbezpieczeństwo oraz zgodność regulacyjną.


W tym kontekście istotną rolę odgrywają szkolenia dedykowane pełnomocnikom ds. cyberbezpieczeństwa, obejmujące uporządkowanie wymagań wynikających z NIS 2 i nowelizacji KSC oraz praktyczne aspekty wdrażania podejścia systemowego. Po uchwaleniu ustawy rośnie znaczenie kompetencji wdrożeniowych: mapowania obowiązków na procesy, przygotowania organizacji do raportowania incydentów oraz poukładania odpowiedzialności kierownictwa.

Takie działania pozwalają nie tylko spełnić wymagania regulacyjne, lecz także realnie zwiększyć odporność organizacji na incydenty. DEKRA proponuje szereg szkoleń w zakresie tego zagadnienia.


[1]https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555

[2]https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

[3]https://ecs-org.eu/activities/nis2-directive-transposition-tracker/

[4]https://www.linkedin.com/posts/pwc-polska_nis2-czyli-nowe-wymogi-dotycz%C4%85ce-cyberbezpiecze%C5%84stwa-activity-7133077377030438912-yGQK/

https://biznes.gazetaprawna.pl/artykuly/10584273,czy-uksc-obejmie-najwieksza-liczbe-podmiotow-w-ue.html

[5]https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience




Promowane szkolenia

Szkolenia, które zmienią Twoją karierę

Dekra 23.02.2026 Termin gwarantowany

Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001

Więcej
Dekra 10.03.2026 Termin gwarantowany

Pełnomocnik ds. cyberbezpieczeństwa podmiotu kluczowego i ważnego zgodnych z NIS 2, ISO/IEC 27001, ISO 22301 oraz RODO

Więcej
Dekra

DEKRA Polska Sp. z o.o.
ul. Konstruktorska 12A
02-673 Warszawa

+48 22 850 01 75 do 79
szkolenia.pl@dekra.com

Dane spółki

NIP: 522-25-11-608
KRS: 0000061330
BDO: 000504549

Strony

Harmonogram szkoleń

Kategorie szkoleń

O firmie Kontakt Kariera Aktualności

Newsletter

Bądź na bieżąco z nami

Czytaj ciekawe artykuły, poznaj nowości i promocje!

Zapisz się
Polityka prywatności
© 2026 DEKRA Polska sp. z o.o.