19 lutego 2026 r. Prezydent podpisał nowelizację ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC), wdrażając do polskiego porządku prawnego unijną Dyrektywę NIS2. To największa od lat zmiana w krajowym systemie cyberbezpieczeństwa, zarówno pod względem liczby objętych podmiotów, jak i zakresu obowiązków.
Nowelizacja zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych nowymi kategoriami: podmiotów kluczowych i podmiotów ważnych, wzmacnia system reagowania na incydenty oraz rozszerza kompetencje organów nadzorczych.
Dlaczego wprowadzono nowe przepisy?
Potrzebę utworzenia ogólnego systemu zapewnienia cyberbezpieczeństwa pierwszy dostrzegł ustawodawca unijny. Pierwszym kompleksowym aktem w tym obszarze była dyrektywa 2016/1148 (tzw. NIS), która ustanowiła podstawy wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w UE. Jej przegląd wykazał jednak, że stanowiła ona katalizator zmian w instytucjonalnym i regulacyjnym podejściu do cyberbezpieczeństwa w Unii oraz spowodowała znaczącą zmianę w sposobie myślenia. Co więcej, ujawnił także liczne luki, zwłaszcza wobec postępującej cyfryzacji i rosnącej skali zagrożeń.
W odpowiedzi przyjęto więc Dyrektywę NIS2, która znacząco rozszerza zakres regulacji i zaostrza obowiązki przedsiębiorców. Polska wdrożyła ją poprzez nowelizację Ustawy o KSC.
Warto wspomnieć, że Dyrektywa NIS2 nie jest jedynym unijnym aktem prawnym regulującym kwestie cyberbezpieczeństwa. Oprócz niej, obowiązują jeszcze chociażby:
- rozporządzenie CRA (Cyber Resilience Act) w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi,
- rozporządzenie DORA dotyczące operacyjnej odporności cyfrowej sektora finansowego.
Kogo dotyczą nowe przepisy Ustawy o KSC?
To, jakie firmy podlegają pod postanowienia dyrektywy NIS2 zależy od dwóch kryteriów, które powinny być spełnione łącznie. Chodzi tutaj o wielkość przedsiębiorstwa i obszar jego działalności. Dyrektywa NIS2 dotyczy przede wszystkim średniego i dużego biznesu. To oznacza, że obejmuje firmy zatrudniające od 51 pracowników wzwyż lub mniejsze – jeśli ich obrót lub całkowity bilans roczny przekracza 10 milionów EUR.
Pamiętać jednak należy, że Dyrektywa NIS2 dotyczy tylko przedsiębiorstw z sektorów w niej wskazanych, przy czym ilość takich sektorów jest duża. Tytułem tylko przykładu, dyrektywa NIS2 obejmuje bardzo dużą część sektora produkcyjnego (chemikalia, żywność, wyroby medyczne, elektronika, maszyny, motoryzacja), a także nowe sektory, takie jak: ICT, kosmiczny, pocztowy czy gospodarki ściekowej.
Dotychczasowe przepisy Ustawy o KSC obejmowały zaledwie kilkaset podmiotów. Po wdrożeniu Dyrektywy NIS2 szacuje się, że nowe obowiązki mogą objąć nawet ok. 40 tysięcy firm w Polsce. Dla wielu przedsiębiorców będzie to pierwsze zetknięcie z tak rozbudowanym reżimem cyberbezpieczeństwa.
Najważniejsze zmiany zawarte w Ustawie o KSC:
- Rozszerzenie katalogu podmiotów o nowe sektory oraz znacznie większą liczbę przedsiębiorstw;
- Nowe obowiązki zarządzania ryzykiem dla podmiotów kluczowych i ważnych, które muszą wdrożyć adekwatne środki techniczne, organizacyjne i operacyjne dla ochrony sieci i systemów IT, w tym system zarządzania bezpieczeństwem informacji oraz procedury reagowania na incydenty;
- Odpowiedzialność kierownictwa – kierownik odpowiada za wdrożenie i nadzór nad realizacją obowiązków z zakresu cyberbezpieczeństwa, podlega karom za ich naruszenie oraz musi odbyć odpowiednie szkolenia;
- Nowy tryb raportowania incydentów poprzez przekazywanie zgłoszeń poprzez system teleinformatyczny do właściwych CSIRT-ów sektorowych i poziomu krajowego;
- CSIRT sektorowe – w ciągu 18 miesięcy mają powstać wyspecjalizowane zespoły wsparcia dla poszczególnych sektorów;
- Szersze uprawnienia nadzorcze – możliwość wydawania ostrzeżeń, wyznaczania urzędnika monitorującego oraz nakazywania ocen i audytów bezpieczeństwa;
- Wprowadzenie Krajowego planu reagowania na wypadek incydentów i kryzysów w cyberbezpieczeństwie na dużą skalę;
- Nowe kompetencje ministra ds. informatyzacji, tj. m.in. możliwość prawnej identyfikacji dostawcy wysokiego ryzyka w drodze decyzji oraz wydawania poleceń zabezpieczających przy incydentach krytycznych;
- Wzmocnienie struktur systemu poprzez rozszerzenie kompetencji Pełnomocnika Rządu ds. Cyberbezpieczeństwa oraz CSIRT poziomu krajowego (w tym CSIRT NASK).
Kary za brak zgodności i niewywiązywanie się z obowiązków
System sankcji został istotnie zaostrzony. Organy nadzorcze będą bowiem wyposażone w szereg narzędzi, aby dyscyplinować przedsiębiorców, m.in. poprzez:
- wysokie kary pieniężne (2% przychodów za poprzedni rok albo 10 milionów EUR – w przypadku podmiotu kluczowego; 1,4% przychodów za poprzedni rok albo 7 milionów EUR – w przypadku podmiotu ważnego); w wyjątkowych przypadkach kara będzie mogła sięgnąć nawet 100 milionów PLN;
- kary pieniężne dla kierownictwa do 300% miesięcznego wynagrodzenia;
- środki administracyjne (ostrzeżenia, nakazy, ustanowienie urzędnika monitorującego);
- możliwość czasowego wstrzymania działalności bądź wprowadzenie zakazu pełnienia funkcji zarządczych.
Obowiązek samorejestracji dla przedsiębiorców
Przedsiębiorcy muszą pamiętać, że Ustawa o KSC wprowadza obowiązek samodzielnego ustalenia swojego statusu (jako podmiot kluczowy lub ważny) oraz wpisu do specjalnego ministerialnego wykazu. Co istotne, termin jest bardzo krótki i wynosi zaledwie 6 miesięcy od daty spełnienia przesłanek ustawowych. Tym samym, to przedsiębiorca musi przeprowadzić odpowiednią analizę i dokonać zgłoszenia – brak rejestracji zagrożony jest bowiem sankcjami.
Skierowanie Ustawy o KSC do Trybunału Konstytucyjnego
Warto wspomnieć, że pomimo, iż Prezydent podpisał ustawę, to jednocześnie skierował ją w trybie kontroli następczej do Trybunału Konstytucyjnego. Wątpliwości Prezydenta dotyczą m.in.:
- rozszerzenia zakres sektorów ponad wymogi unijne (18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne);
- zasad uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz wydawania tzw. „poleceń zabezpieczających”. Zdaniem Prezydenta przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania bez mechanizmu odszkodowawczego i bez zabezpieczenia środków finansowych na ten cel;
- gwarancji proceduralnych oraz ochrony sądowej;
- surowości systemu kar administracyjnych.
Ustawa wchodzi w życie po upływie miesiąca od dnia ogłoszenia. Ewentualne orzeczenie TK może wyeliminować część przepisów, jednak na dziś przedsiębiorcy powinni zakładać konieczność ich stosowania.
Co to oznacza w praktyce?
Nowelizacja Ustawy o KSC to nie tylko zmiana formalna, ale realne przesunięcie odpowiedzialności na poziom zarządczy i operacyjny. Dla wielu firm oznacza to konieczność: przeprowadzenia analizy statusu pod kątem NIS2, wdrożenia systemowego podejścia do zarządzania ryzykiem cyberbezpieczeństwa, uporządkowania procedur raportowania incydentów, przeszkolenia kadry kierowniczej, a nawet przygotowania się na ewentualne kontrole i audyty.
Nawet jeśli część przepisów zostanie zakwestionowana, kierunek regulacyjny jest jednoznaczny, a mianowicie – cyberbezpieczeństwo przestaje być wyłącznie domeną IT, a staje się obszarem odpowiedzialności prawnej i strategicznej całej organizacji.
