MAKE SURE THAT YOUR DATA IS INSURED
/
NIS2 – ustawa w Radzie Ministrów
„Proces legislacyjny jest maratonem, ale jego metą musi być bezpieczna gospodarka cyfrowa. Dlatego oprócz wymagań wprowadzamy realne źródła finansowania, aby żadna firma nie została sama.”
Paweł Olszewski
Sekretarz Stanu w MC

1. Finał wieloletnich prac

Szósta – i najprawdopodobniej ostatnia – wersja projektu ustawy o zmianie KSC (UC32) trafiła właśnie na Stały Komitet Rady Ministrów. Jeśli nie pojawią się kolejne korekty prawnicze, Rada Ministrów może przyjąć tekst jeszcze w czerwcu, a Sejm zajmie się nim przed wakacjami. To kulminacja czteroletnich konsultacji, w których każda kolejna iteracja poszerzała katalog podmiotów i dopasowywała zapisy do dyrektywy NIS 2.

2. Co się zmienia dla przedsiębiorstw?

  1. Nowy słownik – znikają operatorzy usług kluczowych; pojawiają się podmioty kluczowe (PK) i ważne (PW).

  2. Większy zasięg – pod ustawę wejdzie m.in. branża spożywcza, chemiczna, pocztowa, wod-kan, zarządzanie ICT i podmioty kosmiczne.

  3. System zarządzania ryzykiem – obowiązek wdrożenia SZBI oraz rejestracji w e-wykazie S46 (już bez specjalnych urządzeń tokenowych – połączenie będzie chmurowe).

  4. Incydenty „na dwa takty” – 24 h na early warning, 72 h na pełne zgłoszenie; możliwość żądania wsparcia CSIRT-u w trybie 24 h.

  5. Audyt co trzy lata (PK) lub doraźny (PW na polecenie organu). Decyzja audytowa ma być wykonalna natychmiast.

  6. Nowe sankcje – kary do 10 mln zł lub 2 % obrotu (PK) i do 7 mln zł / 1 % (PW); w skrajnych sytuacjach zawieszenie działalności, a nawet zarządu.

  7. High-risk vendor – MC będzie mógł oznaczyć dostawcę jako wysokiego ryzyka; firmy dostaną 5-7 lat na wymianę sprzętu/softu.

3. CSIRT-y sektorowe – sieć wsparcia 24/7

Ministerstwo zapowiada co najmniej pięć nowych CSIRT-ów sektorowych, finansowanych w 2/3 ze środków KPO CyberPL (≈ 66 mln zł) i budżetu resortów branżowych. Urząd Dozoru Technicznego obejmie produkcję i chemię, CSIRT NASK – administrację publiczną, a CSIRT KNF – rynki finansowe. Dzięki temu:

  • przedsiębiorstwa dostaną branżowy punkt kontaktu,

  • zgłoszenia incydentów będą trafiać „do swoich”,

  • CSIRT-y poprowadzą szkolenia i ćwiczenia sektorowe.

4. Pieniądze na dostosowanie – skąd je wziąć?

Źródło
Kwota / formuła
Na co można przeznaczyć?
Fundusz Cyberbezpieczeństwa (podwyżka do 500 mln zł rocznie)
dotacje MC → PK/PW i administracja
sprzęt, licencje, testy penetracyjne, SOC-as-a-Service
KPO – CyberPL
700,5 mln zł na infrastrukturę + 66 mln zł CSIRT-y
modernizacja sieci IT/OT, SOC, backup, szkolenia
Nowy grant „NIS2” (FERC)
500 mln zł (2025-2029)
doposażenie JST i urzę­dów centralnych w zabezpieczenia NIS2
Cyberbezpieczny Samorząd
1,47 mld zł (2495 JST)
sprzęt, SZBI, audyty, awareness
Dodatkowe wsparcie MC dla biznesu
nowa kompetencja – dotacje na produkty/usługi ICT, obsługę incydentów, certyfikację
wnioski konkurencyjne, preferencja dla MŚP

Agnieszka Wachowska zwraca uwagę, że to właśnie linia dotacyjna MC „na produkty i obsługę incydentów” jest jedną z najciekawszych nowości wersji 6 – zapobiega sytuacji, w której firmy musiałyby finansować wymogi wyłącznie z własnych środków (wpis)

5. Co powinny zrobić firmy już teraz?

  • Samoinwentaryzacja – sprawdź, czy kwalifikujesz się jako PK lub PW (≥ 50 pracowników lub > 10 mln € obrotu + należysz do wymienionych sektorów).

  • Analiza luk – zestaw obecnych procedur i kontroli vs. lista 10 wymogów art. 21 NIS 2.

  • Plan budżetowy – wpisz koszty SZBI, audytu i SOC na 2026 r.; śledź terminy konkursów MC/KPO.

  • Zarząd na szkolenie – nowe przepisy przenoszą odpowiedzialność personalnie na kierownika podmiotu.

  • Śledź vendor-risk – przygotuj listę produktów ICT i umów serwisowych; przy decyzji o HRV będziesz wiedzieć, co wymienić.

Nasza oferta obejmuje:

  • Audyt bezpieczeństwa IT – identyfikacja kluczowych zagrożeń oraz analiza aktualnych zabezpieczeń.

  • Szkolenia i konsultacje – przygotowanie kadry zarządzającej do nowych wyzwań oraz omówienie najlepszych praktyk.

  • Wsparcie przy wdrażaniu norm ISO – pomoc w wyborze odpowiednich standardów, które, choć nie dają pełnej gwarancji, stanowią solidną bazę do dalszych działań.

Zapraszamy do odwiedzenia naszej strony, gdzie znajdą Państwo szczegółowe informacje o naszych usługach oraz możliwość konsultacji z ekspertami. Dzięki temu możliwe będzie przygotowanie organizacji nie tylko do pierwszego zgłoszenia, ale także do pełnego wdrożenia procedur audytowych

6. Perspektywa rynku

Podkreślenie odpowiedzialności zarządów i surowych kar przesuwa cyberbezpieczeństwo z „kosztu IT” do roli czynnika ryzyka strategicznego. Jednocześnie programy finansujące (Fundusz Cyber, KPO, granty MC) zapewniają, że przejście na wymogi NIS 2 nie będzie finansową pułapką, zwłaszcza dla MŚP i sektora publicznego.

„Dofinansowanie to tarcza, która pozwala firmom skupić się na wzmacnianiu procesów, zamiast martwić się o koszt wymiany infrastruktury. Cyberbezpieczeństwo musimy traktować jak polisę – to inwestycja, a nie obciążenie.”
Marcin Ciesielski, ekspert ds. NIS 2

7. Co dalej?

  • 12 czerwca – projekt na Stałym Komitecie RM.

  • Koniec czerwca – możliwe przyjęcie przez Radę Ministrów.

  • III kwartał 2025 – pierwsze czytanie w Sejmie.

  • Styczeń 2026 – planowane vacatio legis (1 miesiąc) i odliczanie 6 miesięcy na rejestrację w S46.

Pozostaje więc kilka miesięcy na przygotowanie organizacji i zapewnienie finansowania – warto wykorzystać je maksymalnie, zanim ustawa wyląduje w Dzienniku Ustaw.

Artykuł przygotowany na podstawie projektu UC32 (maj 2025) oraz publicznych informacji Ministerstwa Cyfryzacji.