';
Preloader logo

Nowe obowiązki w zakresie cyberbezpieczeństwa – nowelizacja ustawy o KSC wdrażająca dyrektywę NIS2

Projektowane uchylenie zakazu reklamowania aptek i punktów aptecznych
20 kwietnia 2026

Wstęp

W dniu 3 kwietnia 2026 roku weszła w życie ustawa z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz. U. 2026 poz. 252; dalej jako „Nowelizacja”), modyfikująca ustawę z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (t. jedn. Dz. U. 2026 poz. 20). Nowelizacja wdraża do polskiego porządku prawnego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 roku (dyrektywa NIS2).

Celem nowych regulacji jest zwiększenie odporności systemów informatycznych podmiotów uznawanych za szczególnie narażone na cyberzagrożenia. Z perspektywy przedsiębiorców oznacza to nowe obowiązki w zakresie cyberbezpieczeństwa, zarządzania ryzykiem oraz organizacji systemów bezpieczeństwa informacji.Celem nowych regulacji jest zwiększenie odporności systemów informatycznych podmiotów uznawanych za szczególnie narażone na cyberzagrożenia. Z perspektywy przedsiębiorców oznacza to nowe obowiązki w zakresie cyberbezpieczeństwa, zarządzania ryzykiem oraz organizacji systemów bezpieczeństwa informacji.

Podmioty kluczowe i podmioty ważne – kogo obejmuje nowelizacja KSC?

Nowelizacja obejmuje przedsiębiorców, którzy – po spełnieniu ustawowych przesłanek – zostaną zakwalifikowani jako tzw. podmioty kluczowe albo podmioty ważne.

Status przedsiębiorcy zależeć będzie przede wszystkim od:

  • wielkości przedsiębiorcy,
  • rodzaju prowadzonej działalności.

Wielkość przedsiębiorcy

Określając wielkość przedsiębiorcy należy posłużyć się definicją mikro-, małego i średniego przedsiębiorcy zawartą w ustawie z dnia 6 marca 2018 roku – Prawo przedsiębiorców (t. jedn. Dz. U. 2025 poz. 1480). W niektórych przypadkach konieczne będzie również uwzględnienie przedsiębiorstw powiązanych oraz partnerskich.

Definicje mikro-, małego i średniego przedsiębiorcy konstruuje się w odniesieniu do jednego z dwóch ostatnich lat obrotowych na podstawie danych dotyczących:

  • średniorocznego zatrudnienia,
  • osiągniętego rocznego obrotu netto, lub
  • sumy aktywów bilansu.
  Średnioroczne zatrudnienie Obrót netto Suma aktywów bilansu
Mikroprzedsiębiorca mniej niż 10 do 2 mln euro do 2 mln euro
Mały przedsiębiorca mniej niż 50 do 10 mln euro do 10 mln euro
Średni przedsiębiorca mniej niż 250 do 50 mln euro do 43 mln euro

Wartość w euro przelicza się na złote według średniego kursu ogłaszanego przez NBP w ostatnim dniu roku obrotowego wybranego do określenia statusu przedsiębiorcy.

Dużym przedsiębiorcą jest przedsiębiorca niespełniający kryteriów mikro-, małego i średniego przedsiębiorcy, co wynika z ustawy z 8 marca 2013 roku o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych (Dz. U. 2023 poz. 1790).

Przedsiębiorstwa powiązane i partnerskie

W Nowelizacji nie wskazano definicji pojęć „przedsiębiorstwo powiązane” i „przedsiębiorstwo partnerskie”. Pomocniczo można jednak odwołać się do definicji zawartych w Zaleceniu Komisji z 6 maja 2003 roku dotyczącym definicji przedsiębiorstw mikro, małych i średnich (Dz. U. L 124 z 20.5.2003).

W przypadku przedsiębiorstw powiązanych chodzi o relacje umożliwiające dominujący wpływ na działalność przedsiębiorstwa, np. poprzez posiadanie większości głosów lub uprawnienie do powoływania większości członków organu zarządzającego.

Przedsiębiorstwa partnerskie są natomiast powiązane w mniejszym stopniu – jedno przedsiębiorstwo posiada co najmniej 25% kapitału lub praw głosu w drugim przedsiębiorstwie.

Jeżeli występują opisane zależności, zatrudnienie oraz obrót lub sumy aktywów bilansu należy rozpatrywać łącznie. Nie sumuje się tych parametrów, jeżeli przedsiębiorca i przedsiębiorstwa powiązane lub partnerskie mają oddzielne systemy informacyjne służące wykonywaniu działalności gospodarczej albo prowadzą odmienną działalność.

Rodzaj prowadzonej działalności

Rodzaj prowadzonej działalności pozwala zakwalifikować przedsiębiorcę do konkretnego sektora objętego nowelizacją KSC wdrażającą NIS2.

Do sektorów objętych nowymi regulacjami należą m.in.:

  • energetyka,
  • transport,
  • bankowość i infrastruktura rynków finansowych,
  • ochrona zdrowia,
  • infrastruktura cyfrowa,
  • podmioty publiczne,
  • usługi pocztowe,
  • gospodarowanie odpadami,
  • produkcja i dystrybucja chemikaliów,
  • produkcja i dystrybucja żywności,
  • produkcja wyrobów medycznych,
  • produkcja komputerów i urządzeń elektronicznych,
  • dostawcy usług cyfrowych,
  • działalność badawczo‑naukowa.

Po ustaleniu wielkości przedsiębiorcy oraz sektora działalności możliwe jest określenie, czy przedsiębiorca podlega nowym obowiązkom wynikającym z ustawy o krajowym systemie cyberbezpieczeństwa. W przypadku objęcia przepisami konieczny będzie wpis do wykazu podmiotów kluczowych i ważnych.

Obowiązki podmiotów kluczowych i podmiotów ważnych

Nowelizacja przewiduje obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) w infrastrukturze informatycznej wykorzystywanej do prowadzenia działalności gospodarczej.

System ten powinien obejmować środki techniczne i organizacyjne uwzględniające:

  • aktualny stan wiedzy technicznej,
  • koszty wdrożenia,
  • wielkość podmiotu,
  • prawdopodobieństwo wystąpienia incydentów,
  • poziom ryzyka,
  • skutki społeczne i gospodarcze incydentów.

W szczególności obowiązki obejmują:

  • politykę szacowania ryzyka i bezpieczeństwa systemów informacyjnych,
  • wdrażanie i testowanie planów ciągłości działania,
  • objęcie infrastruktury informatycznej systemem monitorowania ciągłego,
  • zarządzanie incydentami cyberbezpieczeństwa.

Terminy wdrożenia obowiązków wynikających z NIS2

Do 3 października 2026 roku Wpisanie się do wykazu podmiotów kluczowych i ważnych
Do 3 kwietnia 2027 roku Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) i podłączenie się do systemu S46
24 miesiące od spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny, to jest od dnia wejścia w życie Nowelizacji, to jest od 3 kwietnia 2026 roku Pierwszy audyt z wdrożenia SZBI.

Odpowiedzialność za wykonanie nowych obowiązków ponosi organ zarządzający podmiotu. Powierzenie realizacji obowiązków podmiotowi zewnętrznemu nie zwalnia członków organu zarządzającego z odpowiedzialności.

Nadzór i sankcje za naruszenie obowiązków wynikających z ustawy o KSC

Nadzór nad przestrzeganiem przepisów sprawują właściwe organy do spraw cyberbezpieczeństwa. Organy te zostały wyposażone w instrumenty umożliwiające kontrolę wdrożonych rozwiązań oraz egzekwowanie obowiązków ustawowych.

Do najważniejszych uprawnień organów należą:

  • nakazanie audytu ad hoc,
  • przeprowadzenie oceny bezpieczeństwa infrastruktury informatycznej,
  • żądanie informacji, danych i dokumentów.

W przypadku stwierdzenia nieprawidłowości organ może wskazać działania konieczne do dostosowania działalności do nowych wymogów. W odniesieniu do podmiotów kluczowych możliwe jest także wnioskowanie o zawieszenie, ograniczenie lub cofnięcie zezwolenia albo koncesji.

Nowelizacja przewiduje również wysokie kary pieniężne.

Wysokość kar pieniężnych

Wysokość kar pieniężnych z tytułu naruszenia obowiązków ustawowych
Podmiot kluczowy Podmiot ważny Organ zarządzający
Maksymalnie: równowartość 10 mln euro (wg kursu średniego NBP z 31 grudnia poprzedniego roku) lub 2% przychodów osiągniętych z działalności gospodarczej w poprzednim roku obrotowym, jednak nie mniej niż 20 tys. zł.  Maksymalnie: równowartość 7 mln euro (wg kursy średniego NBP z 31 grudnia poprzedniego roku) lub 1,4% przychodów osiągniętych z działalności gospodarczej w poprzednim roku obrotowym, jednak nie mniej niż 15 tys. zł. Maksymalnie 300% otrzymywanego wynagrodzenia obliczonego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

W Nowelizacji przewidziano także możliwość nałożenia tzw. kary ekstraordynaryjnej do wysokości 100 mln zł. Kara ta może zostać nałożona w razie spowodowania bezpośredniego i poważnego cyberzagrożenia dla bezpieczeństwa państwa, porządku publicznego albo życia i zdrowia ludzi.

Podsumowanie

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca dyrektywę NIS2 stanowi istotną zmianę dla przedsiębiorców działających w sektorach objętych regulacją. Wdrożenie nowych obowiązków będzie wymagało odpowiedniego przygotowania organizacyjnego, prawnego i technicznego.

W ramach wsparcia przedsiębiorców oferujemy kompleksowe doradztwo prawne obejmujące:

  • weryfikację statusu przedsiębiorcy na gruncie nowych przepisów,
  • koordynację działań z działami IT i podmiotami zewnętrznymi,
  • przeprowadzanie stress‑testów,
  • przygotowanie rekomendacji dostosowawczych,
  • opracowanie dokumentacji i procedur,
  • szkolenia dla pracowników oraz kadry zarządzającej.

FAQ – najczęstsze pytania dotyczące NIS2 i nowelizacji KSC

Kogo dotyczy dyrektywa NIS2?

Dyrektywa NIS2 oraz nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa dotyczą przede wszystkim średnich i dużych przedsiębiorców działających w sektorach uznanych za kluczowe lub ważne.

Czym jest podmiot kluczowy i podmiot ważny?

Są to przedsiębiorcy objęci szczególnymi obowiązkami w zakresie cyberbezpieczeństwa wynikającymi z ustawy o KSC wdrażającej NIS2.

Do kiedy należy wdrożyć system zarządzania bezpieczeństwem informacji?

Zgodnie z nowelizacją wdrożenie SZBI oraz podłączenie do systemu S46 powinno nastąpić do 3 kwietnia 2027 roku.

Jakie są kary za brak zgodności z NIS2?

Kary mogą sięgać nawet 10 mln euro albo 2% rocznego obrotu przedsiębiorcy. W określonych przypadkach możliwe jest także nałożenie kary ekstraordynaryjnej do 100 mln zł.

Autor: r. pr. Filip Wolski

 

Comments
Share
aherbet

logo