Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa weszła w życie 3 kwietnia 2026 r. i przenosi na firmy część odpowiedzialności za ustalenie, czy podlegają regulacjom NIS2. Przedsiębiorcy muszą ocenić profil działalności, faktycznie świadczone usługi, wielkość organizacji oraz powiązania kapitałowe. Same kody PKD są jedynie wskazówką, a nie rozstrzygającym kryterium.
Samorejestracja w wykazie podmiotów kluczowych i ważnych trwa od 7 maja do 3 października 2026 r. Dotyczy organizacji, które nie zostały wpisane z urzędu. Tą drugą ścieżką objęto między innymi podmioty publiczne, przedsiębiorców telekomunikacyjnych, dostawców usług zaufania i dotychczasowych operatorów usług kluczowych.
Skala regulacji wykracza daleko poza branżę technologiczną. Ministerstwo Cyfryzacji szacuje, iż KSC może objąć około 38 tys. podmiotów, w tym 27 tys. publicznych. Przepisy dotyczą energetyki, transportu, ochrony zdrowia, infrastruktury cyfrowej, usług ICT i sektora kosmicznego, ale także produkcji, chemikaliów, gospodarki odpadami, żywności i badań naukowych.
„Warto potraktować pre-weryfikację jako pierwszy krok do uporządkowania obszaru cyberbezpieczeństwa w firmie. Chodzi o świadomą ocenę, czy nowe przepisy dotyczą danej organizacji. Usługa dostępna na Biznes.gov.pl prowadzi przedsiębiorcę przez najważniejsze elementy: sektor działalności, kody PKD, wielkość podmiotu i tryb wpisu. Im wcześniej firma to sprawdzi, tym więcej czasu zyska na przygotowanie danych, podjęcie adekwatnych decyzji i spokojne złożenie wniosku, jeżeli okaże się to konieczne” — komentuje Maria Magdoń, Zastępca Dyrektora Departamentu Gospodarki Cyfrowej w Ministerstwie Rozwoju i Technologii.
Regulacja wchodzi w życie w czasie wyraźnego wzrostu skali cyberzagrożeń. CERT Polska otrzymał w 2025 r. ponad 650 tys. zgłoszeń i zarejestrował 260,8 tys. incydentów, o 152 proc. więcej niż rok wcześniej.
Wpis jest początkiem procesu, nie jego końcem. Organizacje muszą przygotować system zarządzania bezpieczeństwem informacji, procedury reagowania, dokumentację i raportowanie incydentów. Dla podmiotów spełniających kryteria w dniu wejścia ustawy w życie okres dostosowawczy kończy się 3 kwietnia 2027 r.

1 godzina temu












