NIS2 w 2026 roku – jakie obowiązki mają firmy w Polsce?

Dyrektywa NIS2 w 2026 roku przestała być tematem „na przyszłość”. W Polsce nowe przepisy już obowiązują, a firmy działające w strategicznych sektorach muszą sprawdzić, czy obejmuje je nowy system cyberbezpieczeństwa. To istotne, bo nie chodzi tylko o formalności. W praktyce NIS2 oznacza nowe obowiązki organizacyjne, techniczne i zarządcze, a także konkretne terminy, których nie warto przeoczyć. W artykule podsumowujemy najważniejsze informacje dla firm ważnych i kluczowych. 

NIS2 dyrektywa – co to jest i po co wprowadzono? 

Dyrektywa NIS2 to unijna regulacja, która ma podnieść wspólny poziom cyberbezpieczeństwa w całej UE. Zastąpiła wcześniejszą dyrektywę NIS1, rozszerzając zarówno katalog sektorów objętych przepisami, jak i sam zakres obowiązków. Celem NIS2 jest lepsza ochrona usług kluczowych (ważnych dla gospodarki oraz społeczeństwa). Powodem wprowadzenie dyrektywy było też ujednolicenie podejścia do zarządzania ryzykiem, zgłaszania incydentów i nadzoru.

W Polsce NIS2 wdraża nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026 r. To oznacza, że firmy objęte przepisami powinny podjąć już konkretne kroki. 

Dyrektywa NIS2 – kogo dotyczy? 

Dyrektywa obejmuje podmioty z sektorów krytycznych. W polskich przepisach pojawia się podział na podmioty kluczowe i podmioty ważne. Kluczowe to te, które działają w sektorze: 

• ochrony zdrowia, 

• energetyki, 

• transportu, 

• bankowości i infrastruktury rynków finansowych, 

• infrastruktury cyfrowej, 

• wody pitnej, 

• ścieków, 

• zarządzania usługami ICT, 

• podmiotów administracji publicznej oraz 

• przestrzeni kosmicznej. 

 

Sektory zaliczane do grona podmiotów ważnych to natomiast: 

• usługi pocztowe i kurierskie, 

• zarządzanie odpadami, 

• produkcja, przetwarzanie i dystrybucja chemikaliów, 

• produkcja, przetwarzanie i dystrybucja żywności, 

• szeroko pojęta produkcja, 

• dostawcy usług cyfrowych, 

• dostawcy badań naukowych. 

 

Obszar działalności nie jest jednak jedynym kryterium. Znaczenie mają również wielkość podmiotu (NIS2 dotyczy średnich i dużych przedsiębiorstw) i charakter świadczonych usług. Poza tym, przepisy obejmują też podmioty publiczne. 

Jak sprawdzić, czy firma podlega NIS2? 

Najpierw należy sprawdzić, czy firma działa w sektorze lub podsektorze wskazanym w dyrektywie NIS2 i polskiej ustawie. Potem należy ocenić skalę działalności, bo dyrektywa co do zasady obejmuje podmioty średnie i duże. W niektórych przypadkach może natomiast dotyczyć organizacji niezależnie od ich wielkości. Na przykład gdy są one jedynym dostawcą usługi istotnej dla państwa albo działają w szczególnie wrażliwym obszarze. 

W Polsce 13 kwietnia 2026 r. uruchomiono wykaz podmiotów kluczowych i ważnych. Będzie on stopniowo aktualizowany. Do 6 maja 2026 r. dokonywane będę wpisy z urzędu. Dotyczą one wybranych grup, takich jak dotychczasowi operatorzy usług kluczowych, dostawcy usług zaufania, przedsiębiorcy telekomunikacyjni i podmioty publiczne. Od 7 maja do 3 października 2026 r. trwa samorejestracja dla podmiotów, które nie zostały wpisane z urzędu. 

Oznacza to, że firma nie powinna biernie czekać na informację z zewnątrz, lecz przeprowadzić własną samoocenę. 

Jakie obowiązki dla firm nakłada dyrektywa NIS2? 

Dyrektywa NIS2 to zestaw wymagań, które obejmują różne obszary działania firmy. Część z nich dotyczy organizacji i procedur, część infrastruktury i zabezpieczeń technicznych, a część odpowiedzialności zarządu i kierownictwa. 

Obowiązki organizacyjne 

Firmy objęte NIS2 muszą wdrożyć zasady zarządzania ryzykiem i bezpieczeństwem informacji, przygotować procedury reagowania na incydenty, zadbać o ciągłość działania oraz uporządkować relacje z dostawcami i usługodawcami. Dyrektywa NIS2 w art. 21 wskazuje m.in. polityki analizy ryzyka, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, ocenę skuteczności środków bezpieczeństwa oraz podstawowe praktyki cyberhigieny.

W praktyce dla firmy oznacza to potrzebę uporządkowania dokumentacji, ról, odpowiedzialności, ścieżek decyzyjnych i zasad działania w sytuacji incydentu. 

Obowiązki techniczne 

Dyrektywa wymaga stosowania środków technicznych adekwatnych do ryzyka. W katalogu z art. 21 są między innymi bezpieczeństwo przy nabywaniu, rozwoju i utrzymaniu systemów, zarządzanie podatnościami, stosowanie kryptografii i szyfrowania, kontrola dostępu, zarządzanie zasobami oraz tam, gdzie to zasadne, uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja.

Firma powinna wiedzieć, jakie systemy ma, gdzie są jej słabe punkty, jak wykrywa incydenty, jak chroni dane i jak zabezpiecza ciągłość działania. 

Obowiązki kierownicze

To bardzo ważna część, bo NIS2 nie zostawia tematu wyłącznie działowi IT. Dyrektywa w art. 20 wymaga, aby organy zarządzające zatwierdzały środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorowały ich wdrożenie i mogły ponosić odpowiedzialność za naruszenia. Wprost wskazano też obowiązek szkoleń dla kadry zarządzającej.

Polskie przepisy potwierdzają ten kierunek. Nowelizacja KSC wprowadza odpowiedzialność kierownika podmiotu kluczowego i ważnego za realizację zadań z zakresu cyberbezpieczeństwa, a także obowiązek odbycia stosownego szkolenia. 

NIS2 a zgłaszanie incydentów – jakie są zasady? 

NIS2 wprowadza raportowanie etapowe. Chodzi o trzy kroki: wczesne ostrzeżenie w ciągu 24 godzin od uzyskania wiedzy o istotnym incydencie, zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy w ciągu miesiąca.

W polskim porządku prawnym ważna jest też strona operacyjna: nowe podmioty będą korzystać z systemu S46, który służy m.in. do raportowania incydentów i komunikacji z właściwymi organami w ramach krajowego systemu cyberbezpieczeństwa 

Terminy NIS2 w Polsce – co firmy muszą zrobić w 2026 i 2027 roku? 

Najważniejszą datą jest 3 kwietnia 2026 r. Tego dnia weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Od tego momentu zaczął się okres dostosowawczy dla firm objętych nowymi przepisami.  

13 kwietnia 2026 r. uruchomiono wykaz podmiotów kluczowych i ważnych. Od 13 kwietnia do 6 maja 2026 r. dokonywane są wpisy z urzędu dla wybranych kategorii podmiotów. Od 7 maja do 3 października 2026 r. trwa samorejestracja dla organizacji, które nie zostały wpisane automatycznie. To oznacza, że do 3 października 2026 r. firma objęta przepisami powinna złożyć wniosek o wpis do wykazu.  

Kolejny ważny termin to 3 kwietnia 2027 r. Do tego dnia podmioty, które spełniały przesłanki uznania za podmiot kluczowy albo ważny już w dniu wejścia ustawy w życie, muszą rozpocząć korzystanie z systemu S46 oraz wdrożyć obowiązki wynikające z ustawy. To właśnie ten termin powinien mobilizować firmy do uporządkowania procesów, dokumentacji i zabezpieczeń jeszcze w 2026 roku.  

Warto też pamiętać o dacie 3 kwietnia 2028 r. Do tego dnia podmioty kluczowe, które nie były wcześniej operatorami usług kluczowych, muszą przeprowadzić pierwszy obowiązkowy audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi. Kolejne audyty trzeba przeprowadzać co najmniej raz na trzy lata. 

Administracyjne kary pieniężne za brak wdrożenia NIS2 najprawdopodobniej będą nakładane po 3 kwietnia 2028 r. 

Od czego zacząć przygotowanie firmy do NIS2? 

Najpierw warto sprawdzić, czy firma rzeczywiście podlega nowym przepisom, a potem ocenić, w jakim stanie jest jej obecne środowisko bezpieczeństwa. Bez tej diagnozy trudno planować wdrożenie. Organizacja może mieć dobre narzędzia techniczne, ale słabe procedury. Albo mieć uporządkowaną dokumentację, ale być nieprzygotowana do reagowania na incydenty.  

Dlatego praktycznym pierwszym krokiem jest audyt bezpieczeństwa. Pozwala sprawdzić stan zabezpieczeń, procesów i ryzyk oraz zobaczyć, gdzie firma ma największe luki przed wdrożeniem obowiązków NIS2. 

Drugim ważnym krokiem są szkolenia z cyberbezpieczeństwa. Nie tylko dla pracowników operacyjnych, ale również dla kierownictwa, bo polskie przepisy wprost przewidują odpowiedzialność kierownika podmiotu i obowiązek przejścia szkolenia z tego obszaru.  

W praktyce NIS2 warto traktować nie jako jednorazowy projekt, ale jako proces porządkowania bezpieczeństwa firmy. Im wcześniej organizacja zacznie od realnej oceny stanu obecnego, tym łatwiej będzie jej wdrożyć obowiązki, dotrzymać terminów i ograniczyć ryzyko chaosu w 2026, 2027 i 2028 roku.