Logo Inforlex
Zaloguj
dodaj do schowka
Aktualność
z dnia 24.04.2026

Dyrektywa NIS2 w Polsce. Kogo dotyczą nowe wymogi w zakresie cyberbezpieczeństwa

Wraz z wejściem w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa Polska wdrożyła unijną dyrektywę NIS 2, znacząco rozszerzając zakres regulacji dotyczących cyberbezpieczeństwa. Nowe przepisy obejmują zarówno sektory o wysokim stopniu krytyczności, jak i sektory uznane za ważne, w tym wiele branż dotychczas znajdujących się poza reżimem KSC. Przedsiębiorcy muszą samodzielnie ocenić swój status i zarejestrować się w wykazie KSC do 3 października 2026 r.

Dyrektywa NIS2 w Polsce. Kogo dotyczą nowe wymogi w zakresie cyberbezpieczeństwaDyrektywa NIS2 w Polsce. Kogo dotyczą nowe wymogi w zakresie cyberbezpieczeństwa

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Regulacja wdraża w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.

Nowelizacja rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Zastąpiono dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne. Nowelizacja wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem.

Których sektorów dotyczą obowiązki z zakresu cyberbezpieczeństwa

Nowe regulacje w zakresie cyberbezpieczeństwa dotyczą firm działających w sektorach istotnych dla funkcjonowania państwa i gospodarki. Są to sektory o wysokim stopniu krytyczności (sektory kluczowe), takie jak energia, transport czy woda pitna i sektory ważne, takie jak produkcja, gospodarka odpadami czy usługi cyfrowe.

Sektory kluczowe to:

  • energia (na przykład energia elektryczna, gaz, paliwa i ropa, ciepło),
  • transport lotniczy, kolejowy, wodny i drogowy,
  • finanse (bankowość i infrastruktura rynku finansowego, jak instytucje kredytowe, operatorzy systemów obrotu i partnerzy centralni),
  • ochrona zdrowia, w tym podmioty świadczące opiekę zdrowotną, producenci podstawowych produktów farmaceutycznych i wyrobów medycznych o krytycznym znaczeniu oraz laboratoria referencyjne UE,
  • woda pitna,
  • ścieki,
  • infrastruktura cyfrowa, w tym dostawcy usług centrów danych, usług przetwarzania w chmurze, publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej,
  • zarządzanie usługami ICT (teleinformatycznymi),
  • przestrzeń kosmiczna,
  • wybrane podmioty publiczne.

Sektory ważne to:

  • usługi pocztowe, w tym kurierskie,
  • inwestycje energetyki jądrowej,
  • gospodarka odpadami,
  • produkcja, wytwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego,
  • dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych,
  • badania naukowe,
  • podmioty publiczne (regionalne): samorządowe jednostki budżetowe, samorządowe zakłady budżetowe, samorządowe instytucje kultury, spółki realizujące zadania użyteczności publicznej.

Których firm dotyczy ustawa o KSC - podmioty kluczowe i ważne

Dyrektywa NIS2 i ustawa o KSC dzielą przedsiębiorców, których dotyczą obowiązki z zakresu cyberbezpieczeństwa, na podmioty kluczowe i ważne. W obu przypadkach są to osoby fizyczne, osoby prawne lub jednostki organizacyjne nieposiadające osobowości prawnej, które są wskazane w załączniku nr 1 i nr 2 ustawy.

Podmioty kluczowe to takie, które przewyższają wymogi dla średniego przedsiębiorstwa, czyli zatrudniają 250 lub więcej osób oraz których roczny obrót przekracza 50 mln euro lub roczna suma bilansowa przekracza 43 mln euro. Są też odstępstwa od tej reguły. Do podmiotów kluczowych należy również dołączyć przedsiębiorców komunikacji elektronicznej, którzy spełniają wymogi dla średniego przedsiębiorcy. Niezależnie od wielkości podmiotu do tej kategorii zaliczają się również:

  • dostawcy usług DNS,
  • dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa,
  • kwalifikowani dostawcy usług zaufania8,
  • podmioty krytyczne,
  • podmioty publiczne,
  • podmioty uznane przez organ właściwy do spraw cyberbezpieczeństwa jako podmiot kluczowy oraz
  • rejestry domen najwyższego poziomu.

Podmioty ważne to takie, które spełniają wymogi dla średniego przedsiębiorcy, czyli zatrudniają 50 lub więcej, ale mniej niż 250 osób oraz których roczny obrót jest większy niż 10, ale jest mniejszy niż 50 mln euro lub roczna suma bilansowa nie przekracza 43 mln euro. W przypadku podmiotów ważnych również istnieją wyjątki. Za podmiot ważny uznaje się również niekwalifikowanych dostawców usług zaufania będących mikro-, małym lub średnim przedsiębiorcą, przedsiębiorców komunikacji elektronicznej będących mikro- lub małym przedsiębiorcą oraz podmioty uznane przez organ właściwy do spraw cyberbezpieczeństwa jako podmiot ważny.

Podmioty kluczowe to przede wszystkim duże firmy (w określonych przypadkach podmiotem kluczowym może być też mała lub średnia firma). Podmioty ważne to najczęściej mali lub średni przedsiębiorcy.

Ustawa o krajowym systemie cyberbezpieczeństwa nie zawiera odrębnego katalogu przedsiębiorców zwolnionych z jej stosowania. Zakres stosowania ustawy określa się przede wszystkim przez wskazanie sektorów i podmiotów objętych regulacją. Firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna - będą zobowiązane zarejestrować się w wykazie podmiotów KSC do 3 października 2026 r.

Ważne

Do 3 kwietnia 2027 r. podmioty kluczowe i ważne muszą wdrożyć obowiązki związane z cyberbezpieczeństwem, wynikające z nowych przepisów.

Co to oznacza w praktyce

Resort cyfryzacji szacuje, że KSC może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych. Podmioty działające w wyżej wymienionych sektorach powinny już teraz przeanalizować, czy są objęte nowymi przepisami. Obecnie trwa 12-miesięczny okres dostosowawczy. To czas, który firmy powinny wykorzystać na pełne wdrożenie obowiązków wynikających z ustawy.

  • 13 kwietnia 2026 r. Minister Cyfryzacji rozpoczął wpisywanie z urzędu do Wykazu KSC dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmioty publiczne.
  • Od 7 maja 2026 r. uruchomiona zostanie możliwość wpisu do Wykazu KSC (samorejestracji) dla podmiotów, które nie są objęte wpisem realizowanym z urzędu.

W najbliższych dniach Minister Cyfryzacji przekaże do konsultacji publicznych projekt zestawienia wymogów dokumentów normalizacyjnych, w tym norm, przydatnych dla ustalenia szczegółowych wymagań dla SZBI dla poszczególnych sektorów kluczowych i sektorów ważnych w świetle KSC.

ŹRÓDŁO: Ministerstwo Cyfryzacji, biznes.gov.pl

Oprac. Katarzyna Bogucka

REDAKCJA INFORLEX

Więcej na ten temat przeczytasz w Poradniku: NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa »

Zobacz także
Książka
okładka
NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa
Źródło: INFORLEX Freemium
Copyright © 2026 INFOR PL S.A. Wszelkie prawa zastrzeżone.