Sprawdź czy Cię dotyczy w 60 sekund
Regulacje · NIS2 / KSC

NIS2 i KSC — co dokładnie musisz wiedzieć.

Praktyczny przewodnik po obowiązkach wynikających z ustawy o krajowym systemie cyberbezpieczeństwa i dyrektywy NIS2. Kogo dotyczy, jakie kary, 8 kroków do pełnej zgodności.

Sprawdź Kwalifikacyjny Audyt Zerowy NIS2 Pełnomocnik vCISO
Praktyczny przewodnik regulacyjny · NIS2 + KSC
  • Kwiecień 2026 termin transpozycji NIS2 do prawa krajowego
  • Art. 8c KSC odpowiedzialność osobista Zarządu
  • do 10 mln EUR maksymalna kara administracyjna dla podmiotu
  • Klauzula ZASTRZEŻONE Dostęp naszego vCISO do informacji Niejawnych - gwarancja zachowania poufności
Komu dotyczy

Podmiot Kluczowy czy Podmiot Ważny?

Klasyfikacja zależy od sektora i wielkości firmy. Próg: 50 zatrudnionych lub obrót / suma bilansowa powyżej 10 mln EUR.

Podmiot Kluczowy

Sektory najbardziej krytyczne

Najwyższy reżim. Kary do 10 mln EUR lub 2% obrotu globalnego. Ścisły obowiązek raportowania i nadzoru ze strony właściwego organu.

  • Energia (elektroenergetyka, gazownictwo, ropa)
  • Transport (lotniczy, kolejowy, drogowy, morski)
  • Bankowość i infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa (DNS, IXP, TLD, CDN)
  • Administracja publiczna
  • Przestrzeń kosmiczna
Podmiot Ważny

Sektory ważne

Reżim łagodniejszy, ale obowiązki SZBI, BIA i raportowania incydentów pozostają. Kary do 7 mln EUR lub 1,4% obrotu globalnego.

  • Usługi pocztowe i kurierskie
  • Gospodarka odpadami
  • Produkcja i dystrybucja chemikaliów
  • Produkcja, przetwórstwo i dystrybucja żywności
  • Wytwarzanie wyrobów medycznych, elektroniki, maszyn
  • Dostawcy usług cyfrowych (e-handel, wyszukiwarki, platformy)
  • Badania naukowe
  • Część działalności B2B w sektorze ICT

Sprawdź, w której kategorii jesteś — bezpłatnie

W 60 sekund

Kogo dotyczy
Podmiotów Kluczowych i Ważnych według ustawy o KSC
Próg wielkości
Min. 50 zatrudnionych lub obrót/bilans powyżej 10 mln EUR
Maksymalne kary
10 mln EUR lub 2% obrotu (Podmiot Kluczowy) + osobista odpowiedzialność Zarządu (Art. 8c KSC)
Co zrobić
Zacznij od bezpłatnego Audytu Zerowego — w 20 minut wiesz, czy podlegasz ustawie
Cztery obowiązki

Co musisz wdrożyć, żeby być zgodny.

Niezależnie od wielkości firmy, jeśli podlegasz ustawie, te cztery elementy są niezbywalne.

SZBI — System Zarządzania Bezpieczeństwem Informacji

Pełna dokumentacja procesowa zgodna z ISO 27001: polityki, procedury, role, plan ciągłości działania, plan reagowania na incydenty.

S46 — Rejestracja w systemie krajowym

Samoidentyfikacja podmiotu w systemie S46 prowadzonym przez krajowy CSIRT. Żaden urząd nie przyśle przypomnienia — to obowiązek po stronie firmy.

Zgłaszanie incydentów do CSIRT

Wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, pełne zgłoszenie w ciągu 72 godzin, raport końcowy w 1 miesiąc. Procedura musi być przećwiczona.

Praktyczny checklist

8 kroków do pełnej zgodności.

Kolejność ma znaczenie — pominięcie BIA czyni SZBI bezużytecznym, a brak rejestracji w S46 oznacza nieświadome naruszenie obowiązku samoidentyfikacji.

  1. 01 Przeprowadź Kwalifikacyjny Audyt Zerowy NIS2 (Bezpłatna weryfikacja statusu i potrzeb)
  2. 02 Zamów Techniczny Audyt Zerowy (Gap analysis – identyfikacja luk)
  3. 03 Wyznacz pełnomocnika ds. cyberbezpieczeństwa — wewnętrznie lub kontraktowo (vCISO). To ekspert, który poprowadzi Państwa za rękę przez wszystkie kolejne kroki, zaczynając od szkolenia dla Zarządu, opracowania Polityki SZBI oraz zgłoszenia do systemu S46 (budowa fundamentów prawno-biznesowych). W wielu organizacjach pierwszym niezbędnym działaniem będzie również ustalenie samego kontekstu organizacji, zwłaszcza jeśli firma nie posiada wdrożonej normy ISO 9001.
  4. 04 Zmapuj procesy i zidentyfikuj aktywa konieczne dla funkcjonowania usługi kluczowej
  5. 05 Wykonaj ocenę ryzyka oraz BIA, BCP (najlepiej jako Zwinne warsztaty: Top-Down + Value Streams)
  6. 06 Wdróż wymagane zabezpieczenia dla zidentyfikowanych ryzyk, napisz procedury SZBI i przeprowadź szkolenia załogi uwzględniając także aspekty bezpieczeństwa fizycznego.
  7. 07 Uruchom proces zgłaszania incydentów do CSIRT — wczesne ostrzeżenie w 24h, pełne zgłoszenie w 72h
  8. 08 Utrzymuj SZBI oraz Ład Cyberbezpieczeństwa w Organizacji podkreślając swoje realne zangażowanie jako Najwyższego Kierownictwa zgodnie z modelem ciągłego doskonalenia (PDCA).

Czy moja firma jest Podmiotem Kluczowym, czy Ważnym?

Klasyfikacja zależy od sektora (np. energia, transport — Kluczowe; gospodarka odpadami, FMCG — Ważne) oraz wielkości firmy (próg 50 zatrudnionych lub obrót/bilans powyżej 10 mln EUR). Najszybciej sprawdzić to Kwalifikacyjnym Audytem Zerowym NIS2 — w 20 minut otrzymasz pisemną klasyfikację.

Kiedy muszę zarejestrować się w systemie S46?

Obowiązek samoidentyfikacji w systemie S46 (prowadzonym przez krajowy CSIRT) spoczywa na podmiocie i nie jest poprzedzany żadnym wezwaniem ze strony urzędu. Brak rejestracji w terminie traktowany jest jako naruszenie obowiązku, niezależnie od stanu wiedzy Zarządu.

Jaka jest różnica między KSC a NIS2?

NIS2 to dyrektywa unijna (UE 2022/2555). KSC to polska ustawa wdrażająca tę dyrektywę — Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. 2018 poz. 1560) wraz z nowelizacją implementującą NIS2. W praktyce mówimy o jednym i tym samym reżimie regulacyjnym z perspektywy polskiej firmy.

Czy NIS2 dotyczy mojej firmy, jeśli mam mniej niż 50 pracowników?

Zwykle nie — próg 50 zatrudnionych jest jednym z warunków. Istnieją jednak wyjątki: Wysokie obroty i suma bilansowa a także niektóre sektory (np. zaufanej infrastruktury cyfrowej, administracja publiczna) wpadają w reżim niezależnie od wielkości. Audyt Zerowy ostatecznie to weryfikuje.

Co grozi Zarządowi za brak zgodności z KSC/NIS2?

Maksymalna kara dla Podmiotu Kluczowego to 10 mln EUR lub 2% obrotu globalnego (Ważnego — 7 mln EUR lub 1,4%). Dodatkowo Art. 8c KSC wprowadza osobistą odpowiedzialność członków Zarządu — kara wynagrodzeniowa do 300% wynagrodzenia, niezależnie od kar dla spółki.

Kiedy muszę zgłosić incydent do CSIRT?

Procedura trzyetapowa: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, pełne zgłoszenie w ciągu 72 godzin, raport końcowy w ciągu 1 miesiąca. Brak zgłoszenia lub spóźnione zgłoszenie to samodzielne naruszenie, niezależnie od samego incydentu.

Czy NIS2 zastępuje RODO?

Nie, to dwa odrębne reżimy. RODO chroni dane osobowe, NIS2 chroni systemy informacyjne i ciągłość działania. Często musisz zgłosić ten sam incydent dwukrotnie — do CSIRT (NIS2) i do UODO (RODO), z różnymi terminami i zakresem danych.

Jak długo trwa pełne wdrożenie zgodności?

Zbudowanie planu to kwestia dni, jednak realne wdrożenie to miesiące rzetelnej pracy. Klasyczne firmy doradcze nierzadko poświęcają 30 dni na same wywiady. Nasza zwinna metodyka Top-Down skraca najtrudniejszy etap – BIA i Analizę Ryzyka – do 5 dni roboczych (od decyzji Zarządu po mapowanie konkretnych zabezpieczeń technicznych).

Niemniej, pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zajmuje zazwyczaj od 6 do 12 miesięcy. Finalne tempo zależy od Państwa budżetu oraz gotowości do zmian. Cyberbezpieczeństwo to proces, a nową kulturę organizacyjną trzeba w firmie zaszczepić i konsekwentnie pielęgnować.

Aby przeprowadzić Państwa przez tę transformację w sposób całkowicie usystematyzowany, pracujemy w oparciu o sprawdzoną ścieżkę wdrożenia:

  1. Kwalifikacyjny Audyt Zerowy NIS2 (Bezpłatna weryfikacja statusu i potrzeb)
  2. Techniczny Audyt Zerowy (Gap analysis – identyfikacja luk)
  3. Szkolenia Zarządu i Polityki SZBI / S46 (Budowa fundamentów prawno-biznesowych)
  4. Mapowanie procesów i Identyfikacja aktywów dla usługi kluczowej
  5. Ocena ryzyka / BIA, BCP (Zwinne warsztaty: Top-Down + Value Streams)
  6. Wdrożenie zabezpieczeń dla zidentyfikowanych ryzyk, wdrożenie procedur i szkolenia załogi
  7. Utrzymanie SZBI zgodnie z modelem ciągłego doskonalenia (PDCA)
  • Długoterminowe wsparcie w modelu OPEX

Ponieważ utrzymanie bezpieczeństwa (etap PDCA) to proces ciągły, przejmujemy na siebie ciężar zarządzania jako Państwa zewnętrzny vCISO. Współpracujemy w modelu abonamentowym ze stałą opłatą miesięczną. Pozwala to przenieść koszty bezpieczeństwa do wydatków operacyjnych (OPEX) zamiast obciążać budżet jednorazowymi inwestycjami (CAPEX), gwarantując ciągłość i ewolucję zabezpieczeń.

Podstawa prawna

  • Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa Dz. U. 2018 poz. 1560
  • Dyrektywa (UE) 2022/2555 Parlamentu Europejskiego i Rady z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS2)
  • Nowelizacja UKSC implementująca dyrektywę NIS2 do polskiego porządku prawnego — w tym wprowadzenie Art. 8c o osobistej odpowiedzialności Zarządu.

Powyższe nie stanowi porady prawnej. W konkretnym przypadku rekomendujemy konsultację z radcą prawnym specjalizującym się w prawie cyfrowym.

Pora przejść do działania

Sprawdź swoją sytuację. Bezpłatnie. W 20 minut.

Kwalifikacyjny Audyt Zerowy NIS2 odpowiada na trzy najważniejsze pytania: czy podlegasz ustawie, jaka jest Twoja kategoria, co musisz zrobić w pierwszej kolejności.

Umów Kwalifikacyjny Audyt Zerowy NIS2 Poznaj usługę vCISO

Twoja Polisa Bezpieczeństwa · zatwierdzenia polskich regulatorów · 5-dniowe BIA