19 lutego 2026 r. Prezydent poinformował, że podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), czyli ustawę wdrażającą do polskiego porządku prawnego dyrektywę NIS2, znacząco zaostrzającą wymogi w zakresie cyberbezpieczeństwa wobec podmiotów prywatnych i publicznych. To kluczowy moment – oznacza, że w ciągu najbliższych tygodni zaczną obowiązywać nowe, znacznie bardziej wymagające zasady cyberbezpieczeństwa dla szerokiego katalogu podmiotów.
Czym jest NIS2?
NIS2 to jedna z najważniejszych regulacji unijnych ostatnich lat w zakresie cyberbezpieczeństwa. Określa minimalne wymogi cyberbezpieczeństwa, które mają zastosowanie do szerokiej grupy podmiotów prowadzących działalność na terenie UE. Celem regulacji jest wzmocnienie odporności organizacji na cyberzagrożenia, poprawa reakcji na incydenty oraz zwiększenie nadzoru państw członkowskich.
Kogo dotyczy NIS2 i UKSC?
NIS2 i UKSC dotyczą szerokiego kręgu podmiotów – znacznie szerszego niż poprzednia wersja UKSC. Wprowadza rozróżnienie na podmioty kluczowe i podmioty ważne, obejmując organizacje działające w wielu sektorach, także tych nowych z perspektywy cyberbezpieczeństwa.
Podmioty kluczowe to m. in przedsiębiorstwa z sektorów:
energia,
transport,
ochrona zdrowia,
finanse,
zarządzanie usługami ICT,
niektóre instytucje administracji publicznej.
Podmioty ważne to m. in. organizacje z sektorów takich jak:
produkcja, produkcja chemikaliów;
dostawcy usług cyfrowych,
produkcja, przetwarzanie i dystrybucja żywności,
badania naukowe;
niektóre podmioty publiczne.
Co do zasady, to na poszczególnych przedsiębiorcach i organizacjach spoczywa obowiązek stwierdzenia, czy podlega nowym przepisom. Pierwszym krokiem dla każdego podmiotu powinno być zatem zweryfikowanie własnego statusu – określenie, czy i w jakim zakresie nowe przepisy go obejmują.
Nowe przepisy = nowe obowiązki
Zakres obowiązków różni się w zależności od kategorii podmiotu, ale nawet mniejsze jednostki będą musiały spełnić liczne wymogi. Skala zmian jest duża, dlatego tak ważne jest szybkie zapoznanie się z nowymi obowiązkami i ich wdrożenie.
Przykładowe nowe obowiązki:
przeprowadzenie analizy ryzyka i wdrożenie polityk bezpieczeństwa informacyjnego,
zgłaszanie poważnych incydentów – obowiązek niezwłocznego (w ciągu 24h) notyfikowania właściwym organom zaistniałych poważnych incydentów bezpieczeństwa oraz przedstawienia szczegółowego raportu w terminie 72h,
zapewnienie ciągłości działania,
zarządzanie bezpieczeństwem dostawców (łańcucha dostaw).
Jakie grożą kary?
Ustawa przewiduje dotkliwe kary:
do 10 mln euro lub do 2% globalnego obrotu – dla podmiotów kluczowych
do 7 mln euro lub do 1,4% globalnego obrotu – dla podmiotów ważnych
odpowiedzialność osobista kadry zarządzającej – w niektórych przypadkach członkowie najwyższego kierownictwa mogą zostać pociągnięci do odpowiedzialności za zaniedbania.
Od kiedy obowiązuje ustawa?
Przepisy wejdą w życie już wkrótce (ustawa zacznie obowiązywać po miesiącu od ogłoszenia), więc czasu na wdrożenie zmian jest bardzo mało. Nie należy zwlekać – podmioty objęte nową ustawą powinny jak najszybciej przeprowadzić analizę podlegania pod NIS2 i uzupełnić braki w obszarze cyberbezpieczeństwa.
Jak możemy pomóc?
→ Sprawdzimy status Twojej organizacji i wskażemy, które przepisy NIS2 i UKSC jej dotyczą;
→ Sprawdzimy, czy działasz zgodnie z przepisami NIS2 i UKSC, a jeśli nie – zaproponujemy wprowadzenie odpowiednich zmian;
→ Przeprowadzimy szkolenie, dzięki którym Twoi pracownicy i zarząd będą świadomi obowiązujących przepisów;
→ W razie kontroli lub incydentu – zapewnimy wsparcie prawne – będziemy reprezentować Cię w kontaktach z właściwymi organami ds. cyberbezpieczeństwa i pomożemy w zarządzaniu incydentem zgodnie z prawem.
Zapisz się na newsletter: Prawo
Skontaktuj się z nami
Counsel, Radca Prawny, PwC Polska
Dominika Chodkowska
