monaltro . pl
← Dziennik
Biznes 7 maj 2026 · 9 min czytania · Zespół Monaltro

NIS2 w Polsce — co MŚP musi zrobić do października 2026

3 kwietnia 2026 weszła w życie ustawa o KSC wdrażająca dyrektywę NIS2. Pokazujemy konkretnie, czy Twoja firma jest objęta, jakie trzy daty trzeba wpisać w kalendarz i ile może kosztować spóźnienie.

3 kwietnia 2026 weszła w życie ustawa o KSC wdrażająca dyrektywę NIS2. Pokazujemy konkretnie, czy Twoja firma jest objęta, jakie trzy daty trzeba wpisać w kalendarz i ile może kosztować spóźnienie.

3 kwietnia 2026 w Polsce weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) — to nasza krajowa wersja unijnej dyrektywy NIS2. Dla części MŚP zmiana wygląda jak „kolejne przepisy dla korporacji”, ale w praktyce katalog firm objętych nowymi obowiązkami jest znacznie szerszy niż przed nowelizacją i obejmuje też część średnich firm produkcyjnych, dystrybutorów wody, zakłady opieki zdrowotnej, dostawców usług cyfrowych i niektóre podmioty z sektora odpadów czy żywności.

Najważniejsza wiadomość dla właściciela firmy: nawet jeśli ustawa formalnie wymaga pełnego wdrożenia dopiero w 2027 roku, deklarację, że jesteś podmiotem objętym, musisz złożyć do 3 października 2026 — czyli w ciągu sześciu miesięcy od wejścia ustawy w życie. Tego terminu się nie przesuwa „na zaś”. W tym wpisie pokazujemy, jak w 30 minut sprawdzić, czy Twoja firma jest na liście, jakie obowiązki realnie spadają na MŚP i ile kosztuje przegapienie deadline’u.

Co zmieniła ustawa o KSC z 3 kwietnia 2026

Stara ustawa o krajowym systemie cyberbezpieczeństwa działała od 2018 roku i wdrażała pierwszą dyrektywę NIS z 2016 r. Obejmowała wąsko zdefiniowanych „operatorów usług kluczowych” — głównie energetykę, banki, duże szpitale, telekom. MŚP poza tymi sektorami praktycznie tej ustawy nie zauważały.

Nowelizacja, którą prezydent Karol Nawrocki podpisał 19 lutego 2026 r., opublikowana w Dzienniku Ustaw 2 marca 2026 r., weszła w życie po miesięcznym vacatio legis 3 kwietnia 2026 r. To efekt transpozycji dyrektywy unijnej (UE) 2022/2555, znanej jako NIS2. Polska zrobiła to z opóźnieniem — termin transpozycji mijał 17 października 2024 r. i Komisja Europejska wysłała w maju 2025 r. opinię uzasadnioną w postępowaniu o naruszenie traktatu.

Trzy zmiany istotne dla właściciela firmy:

  • Rozszerzenie zakresu sektorowego. Z 7 sektorów w NIS1 do 18 sektorów krytycznych w NIS2 — dochodzą m.in. produkcja produktów krytycznych, zarządzanie odpadami, usługi pocztowe i kurierskie, sektor żywności (produkcja i dystrybucja), administracja publiczna, sektor kosmiczny, dostawcy usług cyfrowych. Według szacunków Komisji Europejskiej w całej UE objętych będzie ok. 28 700 firm, w tym 6 200 mikro i małych przedsiębiorstw.
  • Dwie kategorie podmiotów: kluczowe (essential) i ważne (important). To nie jest semantyka — od kategorii zależą wymogi, terminy audytu i wysokość kar.
  • Odpowiedzialność osobista zarządu. Cyberbezpieczeństwo przestaje być sprawą „tego od IT” — ustawa wprost przesuwa ją na poziom decyzyjny. Zarząd zatwierdza politykę bezpieczeństwa, jest szkolony, odpowiada za nadzór nad wdrożeniem.

Najczęściej słyszymy od właścicieli firm: „my nie jesteśmy bankiem, nas to nie dotyczy”. Sprawdźmy.

Czy Twoja firma jest objęta NIS2 — sprawdź dwie rzeczy

Klasyfikacja działa według prostego algorytmu: sektor + wielkość. Jedno bez drugiego nie wystarczy — firma 500-osobowa z branży gastronomicznej (poza produkcją żywności) nie jest objęta, ale 60-osobowy zakład produkcji wyrobów mleczarskich jest.

Krok 1: czy Twój sektor jest na liście NIS2

Pełna lista zawiera 18 sektorów, z czego 11 jest „wysoce krytycznych” (Załącznik I dyrektywy):

  • Energetyka (energia elektryczna, gaz, ciepło, ropa, wodór)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynków finansowych
  • Opieka zdrowotna (szpitale, laboratoria, producenci leków, wyrobów medycznych)
  • Zaopatrzenie w wodę pitną i ścieki
  • Infrastruktura cyfrowa (DNS, IXP, dostawcy chmury, centrów danych, sieci CDN)
  • Zarządzanie usługami ICT (B2B)
  • Administracja publiczna (centralna i regionalna)
  • Sektor kosmiczny

oraz 7 sektorów „innych krytycznych” (Załącznik II):

  • Usługi pocztowe i kurierskie
  • Zarządzanie odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Produkcja produktów krytycznych (m.in. wyroby medyczne, sprzęt elektryczny, maszyny, samochody)
  • Dostawcy usług cyfrowych (marketplace’y, wyszukiwarki, platformy społecznościowe)
  • Badania naukowe

Jeśli prowadzisz firmę usługową — IT, marketing, księgowość, kancelarię prawną — i nie obsługujesz wymienionych wyżej podmiotów jako dostawca ICT B2B, prawdopodobnie jesteś poza zakresem. Jeśli jednak Twoje usługi cyfrowe (np. marketplace, platforma SaaS, hosting) zaspokajają popyt klientów na rynku polskim — sprawdź dokładniej.

Krok 2: czy spełniasz progi wielkości

Standardowe progi NIS2 (definicja MŚP wg unijnego zalecenia 2003/361/WE):

Kategoria podmiotuLiczba pracownikówRoczny obrót lub suma bilansowa
Kluczowy (essential)≥ 250≥ 50 mln EUR
Ważny (important)50–24910–50 mln EUR
Mikro/mały (poza zakresem*)< 50< 10 mln EUR

* Z wyjątkami sektorowymi (poniżej).

Większość MŚP w Polsce to firmy mikro i małe (mniej niż 50 pracowników i mniej niż 10 mln EUR obrotu) — i ta grupa z reguły jest poza zakresem. Ale dyrektywa NIS2 wprowadza wyjątki bezprogowe — niezależnie od wielkości firmy, NIS2 obejmuje:

  • Dostawców publicznych sieci łączności elektronicznej i usług łączności elektronicznej (dotyczy też małych ISP wojewódzkich)
  • Rejestratorów nazw domen (TLD registrars)
  • Dostawców usług DNS (z wyjątkiem operatorów root)
  • Podmioty administracji publicznej szczebla centralnego (wszystkie urzędy gov)
  • Podmioty wyznaczone jako „krytyczne” przez Polskę w trybie indywidualnym (np. ze względu na rolę w łańcuchu dostaw infrastruktury krytycznej)

Ostrzeżenie: jeśli świadczysz usługi cyfrowe (hosting, SaaS, marketplace) jako podwykonawca dla podmiotów kluczowych — np. szpitala, banku, zakładu energetycznego — Twoja firma może zostać objęta NIS2 przez łańcuch dostaw, niezależnie od własnej wielkości. Klauzula supply chain w art. 21 NIS2 przesuwa wymogi bezpieczeństwa na dostawców.

W praktyce większość klasyfikacji rozstrzyga się w jednym z trzech scenariuszy:

  1. Jesteś produkcją lub dystrybucją w sektorze NIS2 i masz 50+ pracowników — z dużym prawdopodobieństwem jesteś podmiotem ważnym.
  2. Jesteś dostawcą ICT (hosting, telco, DNS, MSP) — niezależnie od wielkości sprawdź, czy Twoje usługi mieszczą się w katalogu z Załącznika I.
  3. Jesteś poza listą sektorów i poniżej progów — najprawdopodobniej NIS2 Cię nie dotyczy. Ale w łańcuchu dostaw klientów objętych NIS2 możesz dostać żądanie wykazania zgodności (kontraktowo).

Decyzja o klasyfikacji wymaga przejścia trzech kroków: identyfikacja sektora w Załączniku I/II, weryfikacja progów wielkości i sprawdzenie wyjątków bezprogowych. Rezultat zapisz — będzie potrzebny przy rejestracji w S46.

Trzy daty, których nie możesz przegapić

Po wejściu ustawy w życie 3 kwietnia 2026 zegar tyka. Polski ustawodawca wydłużył okres dostosowawczy z 6 do 12 miesięcy względem pierwotnego projektu (jednogłośna poprawka komisji ds. cyfryzacji w styczniu 2026 r.), ale terminu rejestracji ta poprawka nie dotyczy.

3 października 2026 — rejestracja w systemie S46

Pierwszy obowiązek to samoidentyfikacja. Jeśli na podstawie kroków powyżej ustaliłeś, że jesteś podmiotem ważnym lub kluczowym, masz 6 miesięcy na zgłoszenie tego faktu w systemie S46 prowadzonym przez ministerstwo cyfryzacji.

Co podajesz w zgłoszeniu:

  • Dane firmy (NIP, REGON, adres)
  • Kategorię (kluczowy/ważny) z uzasadnieniem
  • Sektor i podsektor (zgodnie z załącznikami ustawy)
  • Wyznaczone osoby kontaktowe (punkt kontaktowy 24/7 dla incydentów, osoba odpowiedzialna za ISMS)
  • Listę usług świadczonych w ramach NIS2

To nie jest „pro forma”. Zgłoszenie jest podstawą do późniejszego nadzoru — błędna klasyfikacja wykryta w audycie skutkuje sankcją administracyjną. Lepiej zgłosić się w wątpliwych przypadkach, niż liczyć, że nikt nie zauważy.

3 kwietnia 2027 — wdrożenie obowiązków

Kolejne 6 miesięcy (łącznie 12 od wejścia w życie) to czas na realne wdrożenie wymogów merytorycznych. Trzy najważniejsze obszary:

  • System zarządzania bezpieczeństwem informacji (ISMS) — w skrócie: udokumentowany sposób, w jaki firma identyfikuje ryzyka, zabezpiecza dane i monitoruje incydenty. Standardem branżowym jest ISO/IEC 27001, ale ustawa nie wymaga formalnej certyfikacji — wystarczy spójny zestaw polityk, procedur i dowodów ich stosowania.
  • Bezpieczeństwo łańcucha dostaw ICT — kontrola dostawców oprogramowania, sprzętu i usług cyfrowych. Czytaj: jeśli Twój hosting, narzędzie księgowe albo CRM są dostarczane przez podmioty trzecie, musisz mieć w umowie zapisy o ich bezpieczeństwie i procedurę reakcji, gdy dostawca zgłasza incydent.
  • Zgłaszanie incydentów w trybie 24/72/30 dni. Pierwsze powiadomienie o znaczącym incydencie: do 24 godzin (early warning). Pełne zgłoszenie: do 72 godzin. Sprawozdanie końcowe: do 30 dni.

Do tej daty dochodzi obowiązek integracji z systemem S46 — czyli możliwość przekazywania zgłoszeń o incydentach drogą elektroniczną zamiast e-mailem do CSIRT. To dla części firm wymaga połączenia z API systemu i aktualizacji własnych narzędzi monitoringu.

3 kwietnia 2028 — pierwszy audyt i pełna egzekucja kar

Dwa lata od wejścia ustawy w życie organy nadzorcze zaczynają pełnotekstową egzekucję kar administracyjnych. Do tego momentu administracja może (i będzie) prowadzić działania wyjaśniające i ostrzegawcze, ale formalne kary maksymalne wchodzą w grę dopiero po 3 kwietnia 2028 r.

Warto rozumieć logikę: ustawodawca dał dwa lata na adaptację, żeby uniknąć paraliżu sektora MŚP. Kto się nie przygotuje w tym oknie — wpadnie w pełen reżim kar.

Sankcje — ile to kosztuje, gdy nie zdążysz

Maksymalne kary finansowe są podzielone według kategorii podmiotu (im większa odpowiedzialność, tym wyższa kwota):

KategoriaMaksymalna kara
Podmiot kluczowy (essential)10 000 000 EUR lub 2% rocznego światowego obrotu (która wartość wyższa)
Podmiot ważny (important)7 000 000 EUR lub 1,4% rocznego światowego obrotu (która wartość wyższa)

Dla MŚP klasyfikowanego jako podmiot ważny, którego obrót wynosi 30 mln EUR, sufit kary to 7 mln EUR (kwota wyższa od 1,4% × 30 mln = 420 tys. EUR). To kara teoretyczna — nadzorca w praktyce stosuje proporcjonalność, biorąc pod uwagę naturę naruszenia, zakres szkód i historię firmy.

Co konkretnie naraża firmę na karę:

  • Nieuzasadnione niezgłoszenie znaczącego incydentu w 24/72-godzinnych oknach
  • Brak ISMS lub udokumentowanego procesu zarządzania ryzykiem przy audycie
  • Niedostosowanie umów z dostawcami ICT do wymogów łańcucha dostaw
  • Niewykonanie decyzji organu nadzorczego (np. zaniechanie usunięcia luki bezpieczeństwa wskazanej w nakazie)
  • Brak rejestracji w S46 przy spełnieniu kryteriów objęcia

Drugi mechanizm to odpowiedzialność osobista członków zarządu. Ustawa pozwala nadzorcy nałożyć na kierownictwo karę pieniężną indywidualnie, jeśli zaniedbania nadzoru nad ISMS są ewidentne i powtarzalne. To zmienia logikę inwestycji w cyberbezpieczeństwo — wcześniej był to koszt operacyjny IT, teraz jest to ryzyko osobiste decydenta.

Warto pamiętać o kontekście Trybunału Konstytucyjnego: prezydent skierował do TK przepisy o dostawcach wysokiego ryzyka w trybie kontroli następczej. Jeśli TK uchyli te przepisy, część obowiązków dot. wymiany sprzętu (z procedurą 4–7 lat na wycofanie urządzeń od dostawców uznanych za wysokie ryzyko) zniknie. Ale obowiązki rejestracyjne, ISMS i raportowanie incydentów są poza zakresem skargi i pozostają w mocy niezależnie od decyzji TK.

W Monaltro pomagamy klientom przeprowadzić wstępną klasyfikację (sektor + wielkość + łańcuch dostaw) oraz zbudować minimalny ISMS spełniający wymogi NIS2 dla podmiotów ważnych — bez nadmiernej formalizacji, ale z dokumentacją wystarczającą do audytu. Wcześniej pisaliśmy o paralelnej regulacji unijnej dla firm korzystających z AI — pełen przegląd terminów w naszym wpisie o AI Act dla MŚP.

Podsumowanie

NIS2 nie jest „kolejną dyrektywą dla banków”. To pierwsza regulacja unijna, która systemowo obejmuje średnie firmy w 18 sektorach — w tym produkcję, dystrybucję żywności, opiekę zdrowotną na poziomie powiatowym, dostawców usług cyfrowych. Trzy daty, które trzeba zapisać w kalendarzu zarządu:

  • 3 października 2026 — termin rejestracji w S46. Bez wyjątków, bez przesuwania „na zaś”.
  • 3 kwietnia 2027 — pełne wdrożenie ISMS, procedur incydentowych i bezpieczeństwa łańcucha dostaw.
  • 3 kwietnia 2028 — pełna egzekucja kar administracyjnych, do 7 mln EUR dla podmiotów ważnych i 10 mln EUR dla kluczowych.

Po stronie firmy potrzebne są trzy kroki w 30-dniowej perspektywie: weryfikacja klasyfikacji (sektor + wielkość + łańcuch dostaw), wstępna decyzja zarządu o budżecie i osobie odpowiedzialnej za zgodność, i — jeśli klasyfikacja potwierdza objęcie — start prac nad ISMS na poziomie szkic-plan, nie czekając do września.

Wskazówka: najczęstszym błędem MŚP nie jest „nie wiedzieliśmy”, ale „uznaliśmy, że nas to nie dotyczy” bez sprawdzenia łańcucha dostaw. Jeśli obsługujesz nawet jednego klienta z sektora kluczowego (szpital, bank, energetyka, gov), a Twoje usługi to hosting, SaaS, MSP lub kontrakt ICT — bardzo prawdopodobnie zostaniesz wciągnięty w obowiązki NIS2 przez kontrakt z tym klientem, niezależnie od własnej wielkości. Jeśli rozważasz wstępny audyt klasyfikacji i wyznaczenie minimalnego ISMS pod NIS2 — chętnie podpowiemy.

§ Zaczynamy

Napisz. Odpiszemy.

Umów 30 minut →