Logo Inforlex
Zaloguj
dodaj do schowka
Aktualność
z dnia 15.05.2026

Dyrektywa NIS2 w Polsce – nowe obowiązki firm w ustawie o KSC

Wraz z wejściem w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa Polska wdrożyła unijną dyrektywę NIS 2, znacząco rozszerzając zakres regulacji dotyczących cyberbezpieczeństwa. Wdrożenie NIS2 to proces, który wymaga zarówno znajomości przepisów, jak i praktycznego podejścia do zarządzania bezpieczeństwem informacji. Przedsiębiorcy muszą samodzielnie ocenić swój status i zarejestrować się w wykazie KSC, a następnie przygotować się na nowe obowiązki - wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji oraz zarządzanie incydentami.

Dyrektywa NIS2 w Polsce – nowe obowiązki firm w ustawie o KSCDyrektywa NIS2 w Polsce – nowe obowiązki firm w ustawie o KSC

Wdrożenie skutecznych mechanizmów zarządzania bezpieczeństwem informacji

Podstawowym obowiązkiem każdego podmiotu jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w procesach wpływających na świadczenie usług. Ustawa o KSC określa wymogi co do samego systemu, który ma zapewnić:

1. systematyczną analizę i zarządzanie ryzykiem incydentów,

2. wdrożenie adekwatnych środków technicznych i organizacyjnych, m. in.: polityki szacowania ryzyka i bezpieczeństwa systemu informacyjnego, polityki kontroli dostępu, zapewnienie ciągłości działania (plany awaryjne, odtworzeniowe), monitoring oraz testowanie zabezpieczeń, stosowanie środków ochrony danych (aktualizacje, kryptografia, zabezpieczenia komunikacji),

3. zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty,

4. zarządzanie incydentami,

5. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi.

Podstawą SZBI jest cykl PDCA (Plan-Do-Check-Act), czyli planowanie, wdrażanie, monitorowanie i doskonalenie działań w obszarze bezpieczeństwa. Na etapie planowania organizacja ustanawia politykę bezpieczeństwa informacji, definiuje cele bezpieczeństwa, zakres systemu oraz niezbędne procesy i procedury. W fazie wdrażania uruchamiane są zaplanowane środki ochrony i procedury operacyjne – zgodnie z polityką i wymaganiami bezpieczeństwa. Następnie, w fazie monitorowania i przeglądu, organizacja sprawdza efektywność wdrożonych zabezpieczeń (np. poprzez audyty wewnętrzne, monitorowanie incydentów, przeglądy zgodności), dostarczając kierownictwu informacje o funkcjonowaniu systemu i ewentualnych potrzebach jego ulepszenia. W ostatniej fazie cyklu podejmowane są działania korygujące i doskonalące – usuwanie przyczyn incydentów lub niezgodności, doskonalenie procedur oraz wdrażanie usprawnień, co zapewnia ciągłe podnoszenie poziomu bezpieczeństwa.

W praktyce powoływany jest dedykowany zespół lub osoba odpowiedzialna za SZBI (np. administrator bezpieczeństwa informacji, CISO lub pełnomocnik ds. cyberbezpieczeństwa). Ich zadaniem jest koordynacja działań systemu – m.in. zarządzanie ryzykiem, utrzymanie dokumentacji, nadzór nad wdrażaniem zabezpieczeń i reagowanie na incydenty.

Ważne

Podmioty kluczowe i podmioty ważne muszą posiadać formalny SZBI, dostosowany do profilu ryzyka i skali działalności. Chodzi o wdrożenie zasad, procesów i mechanizmów kontroli, które chronią informacje organizacji.

Integralną częścią systemu są mechanizmy kontroli wewnętrznej – np. przeglądy dostępu, testy zabezpieczeń, audyty wewnętrzne – które pozwalają ocenić zgodność działań z politykami i procedurami oraz szybko wykryć nieprawidłowości.

Audyt bezpieczeństwa

Audyt bezpieczeństwa to kluczowy element weryfikacji zgodności podmiotów kluczowych z przepisami ustawy o KSC. Jego głównym celem jest sprawdzenie, czy organizacja wdrożyła odpowiednie środki techniczne i organizacyjne w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) oraz czy skutecznie zarządza ryzykiem cybernetycznym.

Zgodnie z nowelizacją ustawy, każda organizacja uznana za podmiot kluczowy musi przeprowadzać obowiązkowy audyt bezpieczeństwa co najmniej raz na trzy lata na własny koszt. Raport z audytu musi zostać przekazany do organu właściwego ds. cyberbezpieczeństwa w ciągu trzech dni roboczych od jego otrzymania.

Dla podmiotów ważnych audyt nie jest obowiązkowy, jednak organ właściwy do spraw cyberbezpieczeństwa może nałożyć taki obowiązek w przypadku:

  • wystąpienia incydentu poważnego lub krytycznego w organizacji,
  • stwierdzenia braku zgodności z wymogami ustawy podczas kontroli,
  • podejrzenia, że podmiot nie spełnia wymagań w zakresie cyberbezpieczeństwa.

Audyt bezpieczeństwa może być wykonany przez wewnętrzny zespół audytorski, jeśli organizacja posiada odpowiednio wykwalifikowanych ekspertów ds. cyberbezpieczeństwa i jest w stanie zapewnić niezależność audytu lub zewnętrzną jednostkę audytorską, które stanowią certyfikowane firmy lub audytorzy posiadający doświadczenie w zakresie prowadzenia audytów cyberbezpieczeństwa. Pełen wykaz certyfikatów uprawniających do przeprowadzania audytów został opublikowany w rozporządzeniu Ministra Cyfryzacji z 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. z 2018 r. poz. 1999).

Ważne

Dzięki audytom organizacja ma możliwość identyfikowania luk w swoich systemach, ulepszania procesów zarządzania bezpieczeństwem oraz wykazywania zgodności z przepisami ustawy, co jest istotne dla podmiotów kluczowych i ważnych.

Zgłaszanie incydentów dotyczących cyberbezpieczeństwa

Zgodnie z ustawą o KSC, podmioty kluczowe i ważne są zobowiązane do zgłaszania incydentów bezpieczeństwa, które mogą wpłynąć na ich działalność. Nowelizacja ustawy wprowadza szczegółowe wymagania dotyczące klasyfikacji incydentów oraz terminów ich zgłaszania. Odpowiednie i terminowe powiadamianie właściwych organów jest kluczowym elementem skutecznego zarządzania cyberbezpieczeństwem. Każdy podmiot kluczowy i ważny jest zobowiązany do zgłaszania incydentów, które mogą mieć wpływ na:

  • świadczenie kluczowych lub ważnych usług,
  • bezpieczeństwo publiczne,
  • stabilność gospodarki,
  • obronność i funkcjonowanie infrastruktury krytycznej.

Przepisy różnicują termin zgłaszania incydentów w zależności od ich skali i konsekwencji:

  • incydenty krytyczne – muszą zostać zgłoszone niezwłocznie, nie później niż w ciągu 24 godzin od momentu ich wykrycia. Incydent krytyczny to taki, który powoduje poważne zakłócenia, unieruchomienie systemów informatycznych, a jego skutki mogą zagrażać kluczowym sektorom państwa;
  • incydenty poważne – wymagają wczesnego zgłoszenia w ciągu 24 godzin oraz pełnego zgłoszenia w ciągu 72 godzin od momentu ich wykrycia. Incydenty te powodują pewne zakłócenia w działalności organizacji, jednak nie mają aż tak poważnych konsekwencji jak incydenty krytyczne.

Podmioty nie mają obowiązku zgłaszania incydentów, które nie spełniają kryteriów incydentu poważnego lub krytycznego, ale ich wewnętrzna dokumentacja powinna obejmować rejestr wszystkich incydentów cyberbezpieczeństwa.

Każdy incydent powinien być zgłoszony do odpowiedniego CSIRT (Computer Security Incident Response Team) – krajowego lub sektorowego, w zależności od charakteru podmiotu i rodzaju zdarzenia:

  • CSIRT MON – dla incydentów w systemach informacyjnych Sił Zbrojnych RP,
  • CSIRT GOV – dla incydentów w systemach administracji rządowej,
  • CSIRT NASK – dla incydentów w systemach podmiotów prywatnych oraz organizacji niepodlegających pod CSIRT MON i CSIRT GOV.

Każda organizacja powinna opracować formalną procedurę reagowania na incydenty bezpieczeństwa, która krok po kroku opisuje, co należy robić w przypadku wykrycia incydentu. Procedura taka zwykle obejmuje:

  • sposób zgłaszania (np. wzór zgłoszenia incydentu, dane kontaktowe do zespołu bezpieczeństwa),
  • skład i role zespołu reagowania (kto jest kierownikiem incydentu, kto odpowiada za komunikację, kto za analizę techniczną itd.),
  • zasady klasyfikacji incydentu (np. matryca oceny krytyczności),
  • instrukcje postępowania dla typowych scenariuszy (wyciek danych, awaria systemu itp.) oraz
  • wytyczne dotyczące dokumentowania działań.

W ramach ustawy o KSC od podmiotów wymaga się również ustanowienia punktu kontaktowego do spraw cyberbezpieczeństwa – osoby odpowiedzialnej za utrzymywanie komunikacji z podmiotami krajowego systemu cyberbezpieczeństwa. Procedury muszą zatem przewidywać, kiedy i jak dokonać zgłoszenia incydentu do CSIRT.

Kary finansowe za nieprzestrzeganie przepisów ustawy o KSC

Za nieprzestrzeganie przepisów na przedsiębiorców objętych KSC będą nakładane kary pieniężne.

Ważne

Kara na podmioty kluczowe może wynieść 2 proc. przychodów firmy; minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł). Natomiast kary na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy; min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).

Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.

Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

W przypadku gdy naruszenie przepisów wiąże się z naruszeniem przepisów ustawy o ochronie danych osobowych, a kara pieniężna została narzucona przez Prezesa Urzędu Ochrony Danych Osobowych, organ właściwy nie będzie nakładał kar finansowych. Podmioty kluczowe i ważne będą miały 14 dni na uiszczenie należności.

Oprac. Katarzyna Bogucka

REDAKCJA INFORLEX

Więcej na ten temat przeczytasz w Poradniku: NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa »

Zobacz także
Książka
okładka
NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa
Źródło: INFORLEX Freemium
Copyright © 2026 INFOR PL S.A. Wszelkie prawa zastrzeżone.