Najczęstsze pytania o NIS2 i KSC w Polsce (FAQ 2026)

NIS2 to dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555 o bezpieczeństwie sieci i informacji — drugi poziom unijnych wymogów cyberbezpieczeństwa, uchwalony w grudniu 2022. Dyrektywa samoczynnie nie obowiązuje firm — musiała zostać przetransponowana do krajowego prawa.

KSC (ustawa o krajowym systemie cyberbezpieczeństwa) to polska ustawa, która implementuje NIS2 w polskim porządku prawnym. Weszła w życie 3 kwietnia 2026 roku. To KSC obowiązuje polskie firmy — nie bezpośrednio dyrektywa.

Różnica praktyczna: KSC może zawierać przepisy surowsze niż minimum NIS2 (polskie prawo może nakładać dodatkowe obowiązki). Sprawdź polskie organy regulacyjne (UODO, CERT Polska) w sprawie interpretacji krajowych.

Polska ustawa KSC transponująca NIS2 weszła w życie 3 kwietnia 2026 roku. Termin samoidentyfikacji podmiotów to 3 październik 2026 (6 miesięcy od wejścia w życie). Pełne wymogi techniczne wchodzą w życie 3 kwietnia 2027.

Szacunki mówią o 38 000–42 000 polskich podmiotach, które muszą spełnić wymagania KSC — jest to około 10-krotnie więcej niż objęła stara ustawa o KSC (przed NIS2). Wzrost wynika z poszerzenia definicji "sektorów krytycznych" i obniżenia progu wielkości firm objętych regulacją.

Podmioty kluczowe (Essential Entities): duże firmy (250+ pracowników lub obrót >50 mln EUR) z sektorów Załącznika I (energia, transport, bankowość, zdrowie, woda, infrastruktura cyfrowa, administracja publiczna, sektor kosmiczny). Podlegają aktywnym kontrolom — organ nadzorczy przeprowadza audyty z własnej inicjatywy. Kary: do 10 mln EUR lub 2% obrotu.

Podmioty ważne (Important Entities): średnie firmy z Załącznika I lub firmy dowolnej wielkości z Załącznika II (usługi pocztowe, produkcja, chemikalia, żywność, usługi cyfrowe). Podlegają kontrolom reaktywnym — audyt tylko po incydencie lub skardze. Kary: do 7 mln EUR lub 1,4% obrotu.

Wymagania techniczne są podobne dla obu — różni się intensywność nadzoru i wysokość kar.

Tak, generalnie. Mikroprzedsiębiorstwa (mniej niż 10 pracowników i roczny obrót poniżej 2 mln EUR) oraz małe przedsiębiorstwa (mniej niż 50 pracowników i obrót poniżej 10 mln EUR) są wyłączone z zakresu KSC.

Ważne wyjątki: małe firmy mogą podlegać KSC jeśli: są jedynym dostawcą krytycznej usługi w Polsce; świadczą usługi zaufania (kwalifikowane podpisy elektroniczne); są rejestrami nazw domen; są dostawcami usług DNS; lub organ regulacyjny uzna je za kluczowe ze względu na wpływ na bezpieczeństwo.

Termin samoidentyfikacji upływa 3 października 2026 — dokładnie 6 miesięcy od dnia wejścia ustawy w życie. Do tej daty każdy podmiot objęty KSC musi:

1. Ocenić czy spełnia kryteria podmiotu kluczowego lub ważnego
2. Zarejestrować się w odpowiednim rejestrze prowadzonym przez właściwy organ sektorowy
3. Wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo

Brak rejestracji do 3 października 2026 może skutkować karą administracyjną.

Pełna zgodność techniczna (wdrożone środki zarządzania ryzykiem, procedury, ISMS) wymagana jest do 3 kwietnia 2027 — rok od wejścia ustawy w życie. Zewnętrzny audyt cyberbezpieczeństwa dla podmiotów kluczowych wymagany jest do 3 kwietnia 2028.

Ustawa wymaga wyznaczenia osoby lub zespołu odpowiedzialnego za zarządzanie cyberbezpieczeństwem. Niekoniecznie musi to być pełnoetatowy CISO — może to być:

• Wewnętrzny pracownik IT z rozszerzonymi obowiązkami
• Zewnętrzny konsultant lub firma usługowa (MSSP)
• Prezes lub dyrektor w przypadku małych podmiotów ważnych

Kluczowe jest formalne wyznaczenie tej roli w dokumentacji i jej faktyczne wykonywanie.

KSC wymaga trójstopniowego raportowania incydentów cyberbezpieczeństwa:

• 24 godziny od wykrycia: wczesne ostrzeżenie do organu właściwego (CERT Polska lub sektorowy organ nadzorczy)
• 72 godziny od wykrycia: pełne zgłoszenie incydentu z oceną jego wpływu
• 1 miesiąc od wykrycia: szczegółowy raport końcowy z analizą przyczyn i podjętymi działaniami

Raportowanie dotyczy tylko poważnych incydentów mających istotny wpływ na ciągłość usług — nie każdy alert bezpieczeństwa.

Artykuł 21 dyrektywy NIS2 (implementowany przez KSC) wymaga co najmniej:

1. Polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych
2. Procedury obsługi incydentów bezpieczeństwa (wykrywanie, raportowanie, reagowanie)
3. Zarządzanie ciągłością działania (backup, disaster recovery, zarządzanie kryzysowe)
4. Bezpieczeństwo łańcucha dostaw (ocena dostawców i partnerów)
5. Bezpieczeństwo nabywania, rozwijania i utrzymania sieci i systemów
6. Polityki i procedury oceny skuteczności środków zarządzania ryzykiem
7. Podstawowe praktyki higieny cyberbezpieczeństwa i szkolenia
8. Polityki i procedury dotyczące kryptografii i szyfrowania
9. Bezpieczeństwo zasobów ludzkich, kontrola dostępu, zarządzanie aktywami
10. Stosowanie uwierzytelniania wieloskładnikowego (MFA) lub SSO

Narzędzia ISMS pokrywają wszystkie te wymogi — porównaj narzędzia →

Nie zwalnia całkowicie, ale znacznie ułatwia spełnienie wymagań. ISO 27001 i KSC/NIS2 mają pokrywający się zakres — szacuje się że firma z certyfikatem ISO 27001 spełnia ok. 80-85% wymogów technicznych KSC.

Pozostałe 15-20% to elementy specyficzne dla NIS2: procedury raportowania incydentów do organów publicznych, ocena bezpieczeństwa łańcucha dostaw według kryteriów KSC, rejestracja w rejestrze podmiotów. Posiadanie ISO 27001 może jednak złagodzić kary i jest pozytywnie oceniane przez organy nadzorcze.

Nie, nie ma prawnego wymogu zakupu konkretnego oprogramowania. KSC wymaga spełnienia wymogów technicznych i proceduralnych — nie określa jak firma ma zarządzać tym procesem.

W praktyce duże firmy (podmioty kluczowe) będą potrzebowały narzędzia GRC do zarządzania dokumentacją, dowodami i monitoringiem — ręczne zarządzanie jest nierealistyczne przy 50+ kontrolach. Małe podmioty ważne mogą startować z darmowego planu Reglyze lub Microsoft Purview. Porównaj opcje →

ISMS (Information Security Management System) to system zarządzania bezpieczeństwem informacji — zbiór polityk, procedur, procesów i kontroli służących zarządzaniu ryzykiem cyberbezpieczeństwa. Standardem definiującym ISMS jest ISO/IEC 27001.

NIS2/KSC nie wymaga certyfikacji ISO 27001, ale wymaga wdrożenia elementów ISMS (polityk bezpieczeństwa, zarządzania ryzykiem, procedur incydentowych). Narzędzia takie jak Reglyze, Secfix czy ISMS.online automatyzują budowanie i utrzymanie ISMS specjalnie pod kątem NIS2.

Koszty wdrożenia różnią się znacznie w zależności od podejścia i rozmiaru firmy:

• Małe firmy (podmiot ważny, 50-100 pracowników): €2 000–15 000 jednorazowo + €500–2 000/rok za narzędzia i utrzymanie
• Średnie firmy (100-250 pracowników): €10 000–50 000 wdrożenie + €3 000–8 000/rok
• Duże firmy (podmiot kluczowy): €50 000–250 000+ wdrożenie + €15 000–50 000/rok

Koszt audytu ISO 27001 (opcjonalny, ale pomocny) to dodatkowe €8 000–25 000 w zależności od firmy audytującej.

Nie — KSC nie wymaga używania polskich dostawców oprogramowania. Możesz używać narzędzi z dowolnego kraju UE lub spoza UE, pod warunkiem że dane są przetwarzane zgodnie z RODO.

Jednak warto zwrócić uwagę na: lokalizację danych (UE vs poza UE), wsparcie techniczne w języku polskim, znajomość polskich przepisów przez dostawcę. Jedyną polską specjalistyczną platformą cyberbezpieczeństwa na liście jest Sycope (monitoring sieci). Zobacz recenzję →

Dla małych firm (podmiot ważny, 50-100 pracowników) rekomendujemy zacząć od:

1. Reglyze (darmowy plan) — przeprowadź samoidentyfikację i ocenę luk. Wygeneruj polityki bezpieczeństwa przez AI. Idealny punkt startowy, zero kosztów.
2. Microsoft Purview (jeśli masz M365 E3+) — gotowy szablon NIS2 w narzędziu, które już masz opłacone. Uzupełnij Reglyze o monitoring w Purview.
3. Po ocenie luk: zdecyduj czy potrzebujesz płatnego narzędzia (ISMS.online od £375/mies.) na podstawie konkretnych braków.

Skorzystaj z kalkulatora KSC → by najpierw sprawdzić jaki typ podmiotu dotyczy Twojej firmy.

Narzędzia z siedzibą i przetwarzaniem danych w UE:

• Reglyze — siedziba UE ✓
• ComplyCloud — Dania ✓
• Secfix — Niemcy ✓ (dane w UE)
• Sycope — Polska ✓
• ISMS Copilot — Niemcy ✓

Narzędzia z USA (Vanta, Drata, Sprinto) i UK (ISMS.online) mogą przetwarzać dane poza UE — sprawdź ich DPA (Data Processing Agreement) i SCCs przed zakupem. Microsoft Purview przetwarza dane w regionach Azure — można skonfigurować EU Data Boundary.

Podmioty kluczowe:

• Do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu (wyższa z kwot)
• Zakaz pełnienia funkcji kierowniczych przez osoby odpowiedzialne za naruszenie

Podmioty ważne:

• Do 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu (wyższa z kwot)

Organy nadzorcze mogą nakładać kary za: brak rejestracji, brak ISMS, nieraportowanie incydentów, niespełnienie wymogów technicznych. Pierwsze kary spodziewane są po wygaśnięciu okresu przejściowego (po 3 kwietnia 2027).

Nadzór nad KSC w Polsce sprawują różne organy w zależności od sektora:

• CERT Polska / CSIRT GOV — koordynacja ogólna, sektor administracji
• Urząd Regulacji Energetyki (URE) — sektor energetyczny
• Urząd Komunikacji Elektronicznej (UKE) — infrastruktura cyfrowa i telekomunikacja
• KNF — sektor bankowy i finansowy
• Ministerstwo Zdrowia — sektor ochrony zdrowia
• Urząd Lotnictwa Cywilnego, UTK, etc. — sektor transportu

Podmioty kluczowe podlegają aktywnym audytom z inicjatywy organu. Podmioty ważne — kontrolom reaktywnym (po incydencie lub skardze).

Tak. NIS2 (art. 20) i KSC nakładają na kierownictwo (prezes, zarząd, rada nadzorcza) obowiązek zatwierdzenia i nadzoru nad środkami zarządzania ryzykiem cyberbezpieczeństwa. W przypadku poważnych incydentów wynikających z zaniedbań, organy mogą:

• Wydać publiczne oświadczenie identyfikujące odpowiedzialną osobę
• Zakazać osobie fizycznej pełnienia funkcji zarządczych
• Nałożyć kary na kierownictwo za nieprzestrzeganie decyzji nadzorczych

To istotna różnica wobec poprzedniej wersji NIS1 — odpowiedzialność osobista kierownictwa jest nowym elementem.