Kary za brak zgodności z NIS2: Jak przygotować firmę na nowe wymogi KSC?

Zdjęcie: Biznes, technologia, nis2

19 lutego 2026 r. Prezydent podpisał nowelizację ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC), wdrażając do polskiego porządku prawnego unijną Dyrektywę NIS2. To największa od lat zmiana w krajowym systemie cyberbezpieczeństwa, zarówno pod względem liczby objętych podmiotów, jak i zakresu obowiązków.

Nowelizacja zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych nowymi kategoriami: podmiotów kluczowych i podmiotów ważnych, wzmacnia system reagowania na incydenty oraz rozszerza kompetencje organów nadzorczych.

Dlaczego wprowadzono nowe przepisy?

Potrzebę utworzenia ogólnego systemu zapewnienia cyberbezpieczeństwa pierwszy dostrzegł ustawodawca unijny. Pierwszym kompleksowym aktem w tym obszarze była dyrektywa 2016/1148 (tzw. NIS), która ustanowiła podstawy wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w UE. Jej przegląd wykazał jednak, iż stanowiła ona katalizator zmian w instytucjonalnym i regulacyjnym podejściu do cyberbezpieczeństwa w Unii oraz spowodowała znaczącą zmianę w sposobie myślenia. Co więcej, ujawnił także liczne luki, zwłaszcza wobec postępującej cyfryzacji i rosnącej skali zagrożeń.

W odpowiedzi przyjęto więc Dyrektywę NIS2, która znacząco rozszerza zakres regulacji i zaostrza obowiązki przedsiębiorców. Polska wdrożyła ją poprzez nowelizację Ustawy o KSC.

Warto wspomnieć, iż Dyrektywa NIS2 nie jest jedynym unijnym aktem prawnym regulującym kwestie cyberbezpieczeństwa. Oprócz niej, obowiązują jeszcze chociażby:

1. rozporządzenie CRA (Cyber Resilience Act) w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi,
2. rozporządzenie DORA dotyczące operacyjnej odporności cyfrowej sektora finansowego.

Kogo dotyczą nowe przepisy Ustawy o KSC?

To, jakie firmy podlegają pod postanowienia dyrektywy NIS2 zależy od dwóch kryteriów, które powinny być spełnione łącznie. Chodzi tutaj o wielkość przedsiębiorstwa i obszar jego działalności. Dyrektywa NIS2 dotyczy przede wszystkim średniego i dużego biznesu. To oznacza, iż obejmuje firmy zatrudniające od 51 pracowników wzwyż lub mniejsze – jeżeli ich obrót lub całkowity bilans roczny przekracza 10 milionów EUR.

Pamiętać jednak należy, iż Dyrektywa NIS2 dotyczy tylko przedsiębiorstw z sektorów w niej wskazanych, przy czym ilość takich sektorów jest duża. Tytułem tylko przykładu, dyrektywa NIS2 obejmuje bardzo dużą część sektora produkcyjnego (chemikalia, żywność, wyroby medyczne, elektronika, maszyny, motoryzacja), a także nowe sektory, takie jak: ICT, kosmiczny, pocztowy czy gospodarki ściekowej.

Dotychczasowe przepisy Ustawy o KSC obejmowały zaledwie kilkaset podmiotów. Po wdrożeniu Dyrektywy NIS2 szacuje się, iż nowe obowiązki mogą objąć choćby ok. 40 tysięcy firm w Polsce. Dla wielu przedsiębiorców będzie to pierwsze zetknięcie z tak rozbudowanym reżimem cyberbezpieczeństwa.

Najważniejsze zmiany zawarte w Ustawie o KSC:

1. Rozszerzenie katalogu podmiotów o nowe sektory oraz znacznie większą liczbę przedsiębiorstw;
2. Nowe obowiązki zarządzania ryzykiem dla podmiotów kluczowych i ważnych, które muszą wdrożyć adekwatne środki techniczne, organizacyjne i operacyjne dla ochrony sieci i systemów IT, w tym system zarządzania bezpieczeństwem informacji oraz procedury reagowania na incydenty;
3. Odpowiedzialność kierownictwa – kierownik odpowiada za wdrożenie i nadzór nad realizacją obowiązków z zakresu cyberbezpieczeństwa, podlega karom za ich naruszenie oraz musi odbyć odpowiednie szkolenia;
4. Nowy tryb raportowania incydentów poprzez przekazywanie zgłoszeń poprzez system teleinformatyczny do adekwatnych CSIRT-ów sektorowych i poziomu krajowego;
5. CSIRT sektorowe – w ciągu 18 miesięcy mają powstać wyspecjalizowane zespoły wsparcia dla poszczególnych sektorów;
6. Szersze uprawnienia nadzorcze – możliwość wydawania ostrzeżeń, wyznaczania urzędnika monitorującego oraz nakazywania ocen i audytów bezpieczeństwa;
7. Wprowadzenie Krajowego planu reagowania na wypadek incydentów i kryzysów w cyberbezpieczeństwie na dużą skalę;
8. Nowe kompetencje ministra ds. informatyzacji, tj. m.in. możliwość prawnej identyfikacji dostawcy wysokiego ryzyka w drodze decyzji oraz wydawania poleceń zabezpieczających przy incydentach krytycznych;
9. Wzmocnienie struktur systemu poprzez rozszerzenie kompetencji Pełnomocnika Rządu ds. Cyberbezpieczeństwa oraz CSIRT poziomu krajowego (w tym CSIRT NASK).

Kary za brak zgodności i niewywiązywanie się z obowiązków

System sankcji został istotnie zaostrzony. Organy nadzorcze będą bowiem wyposażone w szereg narzędzi, aby dyscyplinować przedsiębiorców, m.in. poprzez:

1. wysokie kary pieniężne (2% przychodów za poprzedni rok albo 10 milionów EUR – w przypadku podmiotu kluczowego; 1,4% przychodów za poprzedni rok albo 7 milionów EUR – w przypadku podmiotu ważnego); w wyjątkowych przypadkach kara będzie mogła sięgnąć choćby 100 milionów PLN;
2. kary pieniężne dla kierownictwa do 300% miesięcznego wynagrodzenia;
3. środki administracyjne (ostrzeżenia, nakazy, ustanowienie urzędnika monitorującego);
4. możliwość czasowego wstrzymania działalności bądź wprowadzenie zakazu pełnienia funkcji zarządczych.

Obowiązek samorejestracji dla przedsiębiorców

Przedsiębiorcy muszą pamiętać, iż Ustawa o KSC wprowadza obowiązek samodzielnego ustalenia swojego statusu (jako podmiot najważniejszy lub ważny) oraz wpisu do specjalnego ministerialnego wykazu. Co istotne, termin jest bardzo krótki i wynosi zaledwie 6 miesięcy od daty spełnienia przesłanek ustawowych. Tym samym, to przedsiębiorca musi przeprowadzić odpowiednią analizę i dokonać zgłoszenia – brak rejestracji zagrożony jest bowiem sankcjami.

Skierowanie Ustawy o KSC do Trybunału Konstytucyjnego

Warto wspomnieć, iż pomimo, iż Prezydent podpisał ustawę, to jednocześnie skierował ją w trybie kontroli następczej do Trybunału Konstytucyjnego. Wątpliwości Prezydenta dotyczą m.in.:

1. rozszerzenia zakres sektorów ponad wymogi unijne (18 branż gospodarki pogrupowanych w podmioty najważniejsze i ważne);
2. zasad uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz wydawania tzw. „poleceń zabezpieczających”. Zdaniem Prezydenta przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz systemu bez mechanizmu odszkodowawczego i bez zabezpieczenia środków finansowych na ten cel;
3. gwarancji proceduralnych oraz ochrony sądowej;
4. surowości systemu kar administracyjnych.

Ustawa wchodzi w życie po upływie miesiąca od dnia ogłoszenia. Ewentualne orzeczenie TK może wyeliminować część przepisów, jednak na dziś przedsiębiorcy powinni zakładać konieczność ich stosowania.

Co to oznacza w praktyce?

Nowelizacja Ustawy o KSC to nie tylko zmiana formalna, ale realne przesunięcie odpowiedzialności na poziom zarządczy i operacyjny. Dla wielu firm oznacza to konieczność: przeprowadzenia analizy statusu pod kątem NIS2, wdrożenia systemowego podejścia do zarządzania ryzykiem cyberbezpieczeństwa, uporządkowania procedur raportowania incydentów, przeszkolenia kadry kierowniczej, a choćby przygotowania się na ewentualne kontrole i audyty.

Nawet jeżeli część przepisów zostanie zakwestionowana, kierunek regulacyjny jest jednoznaczny, a mianowicie – cyberbezpieczeństwo przestaje być wyłącznie domeną IT, a staje się obszarem odpowiedzialności prawnej i strategicznej całej organizacji.