NIS2 – ustawa w Radzie Ministrów

Przez /
„Proces legislacyjny jest maratonem, ale jego metą musi być bezpieczna gospodarka cyfrowa. Dlatego oprócz wymagań wprowadzamy realne źródła finansowania, aby żadna firma nie została sama.”
Paweł Olszewski
Sekretarz Stanu w MC

1. Finał wieloletnich prac

Szósta – i najprawdopodobniej ostatnia – wersja projektu ustawy o zmianie KSC (UC32) trafiła właśnie na Stały Komitet Rady Ministrów. Jeśli nie pojawią się kolejne korekty prawnicze, Rada Ministrów może przyjąć tekst jeszcze w czerwcu, a Sejm zajmie się nim przed wakacjami. To kulminacja czteroletnich konsultacji, w których każda kolejna iteracja poszerzała katalog podmiotów i dopasowywała zapisy do dyrektywy NIS 2.

2. Co się zmienia dla przedsiębiorstw?

  1. Nowy słownik – znikają operatorzy usług kluczowych; pojawiają się podmioty kluczowe (PK) i ważne (PW).

  2. Większy zasięg – pod ustawę wejdzie m.in. branża spożywcza, chemiczna, pocztowa, wod-kan, zarządzanie ICT i podmioty kosmiczne.

  3. System zarządzania ryzykiem – obowiązek wdrożenia SZBI oraz rejestracji w e-wykazie S46 (już bez specjalnych urządzeń tokenowych – połączenie będzie chmurowe).

  4. Incydenty „na dwa takty” – 24 h na early warning, 72 h na pełne zgłoszenie; możliwość żądania wsparcia CSIRT-u w trybie 24 h.

  5. Audyt co trzy lata (PK) lub doraźny (PW na polecenie organu). Decyzja audytowa ma być wykonalna natychmiast.

  6. Nowe sankcje – kary do 10 mln zł lub 2 % obrotu (PK) i do 7 mln zł / 1 % (PW); w skrajnych sytuacjach zawieszenie działalności, a nawet zarządu.

  7. High-risk vendor – MC będzie mógł oznaczyć dostawcę jako wysokiego ryzyka; firmy dostaną 5-7 lat na wymianę sprzętu/softu.

3. CSIRT-y sektorowe – sieć wsparcia 24/7

Ministerstwo zapowiada co najmniej pięć nowych CSIRT-ów sektorowych, finansowanych w 2/3 ze środków KPO CyberPL (≈ 66 mln zł) i budżetu resortów branżowych. Urząd Dozoru Technicznego obejmie produkcję i chemię, CSIRT NASK – administrację publiczną, a CSIRT KNF – rynki finansowe. Dzięki temu:

  • przedsiębiorstwa dostaną branżowy punkt kontaktu,

  • zgłoszenia incydentów będą trafiać „do swoich”,

  • CSIRT-y poprowadzą szkolenia i ćwiczenia sektorowe.

4. Pieniądze na dostosowanie – skąd je wziąć?

Agnieszka Wachowska zwraca uwagę, że to właśnie linia dotacyjna MC „na produkty i obsługę incydentów” jest jedną z najciekawszych nowości wersji 6 – zapobiega sytuacji, w której firmy musiałyby finansować wymogi wyłącznie z własnych środków (wpis)

5. Co powinny zrobić firmy już teraz?

  • Samoinwentaryzacja – sprawdź, czy kwalifikujesz się jako PK lub PW (≥ 50 pracowników lub > 10 mln € obrotu + należysz do wymienionych sektorów).

  • Analiza luk – zestaw obecnych procedur i kontroli vs. lista 10 wymogów art. 21 NIS 2.

  • Plan budżetowy – wpisz koszty SZBI, audytu i SOC na 2026 r.; śledź terminy konkursów MC/KPO.

  • Zarząd na szkolenie – nowe przepisy przenoszą odpowiedzialność personalnie na kierownika podmiotu.

  • Śledź vendor-risk – przygotuj listę produktów ICT i umów serwisowych; przy decyzji o HRV będziesz wiedzieć, co wymienić.

Nasza oferta obejmuje:

  • Audyt bezpieczeństwa IT – identyfikacja kluczowych zagrożeń oraz analiza aktualnych zabezpieczeń.

  • Szkolenia i konsultacje – przygotowanie kadry zarządzającej do nowych wyzwań oraz omówienie najlepszych praktyk.

  • Wsparcie przy wdrażaniu norm ISO – pomoc w wyborze odpowiednich standardów, które, choć nie dają pełnej gwarancji, stanowią solidną bazę do dalszych działań.

Zapraszamy do odwiedzenia naszej strony, gdzie znajdą Państwo szczegółowe informacje o naszych usługach oraz możliwość konsultacji z ekspertami. Dzięki temu możliwe będzie przygotowanie organizacji nie tylko do pierwszego zgłoszenia, ale także do pełnego wdrożenia procedur audytowych

6. Perspektywa rynku

Podkreślenie odpowiedzialności zarządów i surowych kar przesuwa cyberbezpieczeństwo z „kosztu IT” do roli czynnika ryzyka strategicznego. Jednocześnie programy finansujące (Fundusz Cyber, KPO, granty MC) zapewniają, że przejście na wymogi NIS 2 nie będzie finansową pułapką, zwłaszcza dla MŚP i sektora publicznego.

„Dofinansowanie to tarcza, która pozwala firmom skupić się na wzmacnianiu procesów, zamiast martwić się o koszt wymiany infrastruktury. Cyberbezpieczeństwo musimy traktować jak polisę – to inwestycja, a nie obciążenie.”
Marcin Ciesielski, ekspert ds. NIS 2

7. Co dalej?

  • 12 czerwca – projekt na Stałym Komitecie RM.

  • Koniec czerwca – możliwe przyjęcie przez Radę Ministrów.

  • III kwartał 2025 – pierwsze czytanie w Sejmie.

  • Styczeń 2026 – planowane vacatio legis (1 miesiąc) i odliczanie 6 miesięcy na rejestrację w S46.

Pozostaje więc kilka miesięcy na przygotowanie organizacji i zapewnienie finansowania – warto wykorzystać je maksymalnie, zanim ustawa wyląduje w Dzienniku Ustaw.

Artykuł przygotowany na podstawie projektu UC32 (maj 2025) oraz publicznych informacji Ministerstwa Cyfryzacji.

Przewijanie do góry