Projekt ustawy wdrażającej unijną dyrektywę NIS2 jest na ostatniej prostej legislacyjnej. Po wielu miesiącach prac, finalna wersja nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) trafiła do Kancelarii Prezesa Rady Ministrów i ma zostać rozpatrzona przez rząd. Oznacza to przełom – nowe przepisy dotyczące cyberbezpieczeństwa są już niemal gotowe, by stać się obowiązującym prawem w Polsce. W praktyce NIS2 wejdzie w życie niebawem, nakładając na liczne firmy i instytucje nowe obowiązki w zakresie ochrony systemów informacyjnych.
Przełom w sprawie wdrożenia NIS2 w Polsce
Dnia 14 października 2025 r. Minister Cyfryzacji oficjalnie przekazał Radzie Ministrów projekt ustawy o zmianie ustawy o KSC oraz niektórych innych ustaw. Dokument został opracowany przez Ministerstwo Cyfryzacji jako realizacja unijnej dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r., znanej jako NIS2. Celem nowelizacji jest podniesienie poziomu ochrony sieci i systemów teleinformatycznych w administracji oraz gospodarce, a także dostosowanie polskich regulacji do europejskich standardów cyberbezpieczeństwa. Projekt wpisano do wykazu prac rządu (pozycja UC32) i uznano za priorytetowy, m.in. ze względu na Kamień Milowy C3.1 w Krajowym Planie Odbudowy związany z cyberbezpieczeństwem.
Prace nad ustawą trwały od początku 2024 r. – przeprowadzono uzgodnienia międzyresortowe, konsultacje publiczne i szereg opinii eksperckich. W efekcie 20 maja 2025 r. projekt został przyjęty przez Komitet Rady Ministrów ds. Bezpieczeństwa Narodowego, a 4 września 2025 r. Stały Komitet Rady Ministrów zarekomendował jego rozpatrzenie przez rząd. Po pracach Komisji Prawniczej (22–25 września) naniesiono ostatnie poprawki legislacyjne i redakcyjne. Ostateczny projekt ustawy trafił do rozpatrzenia przez Radę Ministrów z prośbą o pilne przyjęcie.
Co istotne, Polska przekroczyła już unijny termin transpozycji NIS2, który upłynął 17 października 2024 r. (dyrektywa NIS2 uchyliła starą dyrektywę NIS1 ze skutkiem od 18 października 2024 r.). W związku z opóźnieniem wdrożenia Komisja Europejska wszczęła postępowanie naruszeniowe przeciw Polsce za brak implementacji tych przepisów. To dodatkowo mobilizuje rząd do szybkiego procedowania ustawy – Ministerstwo Spraw Zagranicznych wydało opinię podkreślającą konieczność niezwłocznego uchwalenia noweli w obliczu działań Komisji. Można więc mówić o przełomie – po długim zastoju prace legislacyjne przyspieszyły i nowe regulacje są tuż przed finalną akceptacją rządu
Co zmieni dyrektywa NIS2?
Dyrektywa NIS2 (Network and Information Security 2) ustanawia jednolite ramy prawne cyberbezpieczeństwa dla państw UE i znacząco podnosi poprzeczkę w porównaniu do poprzedniej dyrektywy NIS z 2016 r. Przede wszystkim poszerzono zakres sektorów i podmiotów objętych regulacjami. W Polsce już obecnie ustawa KSC obejmuje m.in. sektor energii, transport, bankowość, ochronę zdrowia, zaopatrzenie w wodę czy infrastrukturę cyfrową – czyli operatorów usług kluczowych zdefiniowanych na gruncie NIS1. Nowe przepisy dodadzą kolejne branże, takie jak np. telekomunikacja i usługi cyfrowe (w tym platformy społecznościowe, dostawcy chmury, rejestry domen), sektor produkcji wybranych wyrobów istotnych dla krytycznej infrastruktury, usługi pocztowe i kurierskie, gospodarka odpadami, administracja publiczna (centralna i samorządowa) czy sektor kosmiczny. Średnie i duże przedsiębiorstwa działające w tych sektorach zostaną zakwalifikowane jako podmioty kluczowe lub podmioty ważne i będą musiały spełnić nowe wymogi bezpieczeństwa. W praktyce liczba organizacji objętych obowiązkami cyberbezpieczeństwa znacząco wzrośnie.
NIS2 nakłada na podmioty kluczowe i ważne szeroki wachlarz wymogów organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa systemów informacyjnych. Zgodnie z art. 21 dyrektywy każda organizacja musi wdrożyć adekwatne środki zarządzania ryzykiem cyberbezpieczeństwa – mówiąc prościej, przeprowadzać regularne analizy ryzyka oraz stosować zabezpieczenia dostosowane do wykrytych zagrożeń. NIS2 kładzie nacisk na kompleksowe podejście: od polityk i procedur wewnętrznych, przez zabezpieczenia techniczne, po nadzór nad łańcuchem dostaw ICT. Poniżej przykładowe kluczowe obowiązki, jakie wprowadza dyrektywa (i odpowiadająca jej nowelizacja KSC):
Analiza ryzyka i planowanie zabezpieczeń: Regularne przeprowadzanie ocen ryzyka cyberzagrożeń oraz wdrażanie proporcjonalnych środków technicznych i organizacyjnych, aby ryzyko minimalizować. Obejmuje to m.in. aktualizowanie planów ciągłości działania na wypadek incydentów oraz procedur reagowania na cyberataki.
Polityka cyberbezpieczeństwa i procedury wewnętrzne: Posiadanie formalnej strategii bezpieczeństwa informacji, zatwierdzonej przez najwyższe kierownictwo, oraz zestawu polityk regulujących obszary takie jak kontrola dostępu, zarządzanie uprawnieniami, aktualizacje i łatki, wykonywanie kopii zapasowych czy szyfrowanie komunikacji i danych. Procedury powinny też obejmować monitorowanie incydentów i ich zgłaszanie odpowiednim organom.
Bezpieczeństwo łańcucha dostaw: Zapewnienie, że dostawcy usług i rozwiązań IT również spełniają odpowiednie standardy bezpieczeństwa. Organizacje muszą dbać o bezpieczeństwo swoich kontrahentów – wymagać od nich określonych praktyk (np. posiadania certyfikacji, stosowania określonych zabezpieczeń) oraz uwzględniać ryzyka związane z dostawcami w swoich analizach. Dotyczy to także regularnego monitorowania podatności w używanych produktach i aktualizowania ich.
Zgłaszanie incydentów: Wprowadzenie obowiązku raportowania poważnych incydentów bezpieczeństwa do właściwych organów krajowych (np. CSIRT, organ nadzorczy) w ściśle określonych terminach. Ma to zapewnić szybkie ostrzeganie o zagrożeniach na poziomie krajowym i unijnym oraz skoordynowaną reakcję na incydenty o dużej skali.
Zaangażowanie kierownictwa i szkolenia: Dyrektywa bardzo mocno akcentuje odpowiedzialność najwyższego kierownictwa za cyberbezpieczeństwo. Zarządy firm muszą nie tylko zatwierdzać politykę bezpieczeństwa i nadzorować jej wdrożenie, ale także dbać o własną wiedzę w tym zakresie (np. odbywać szkolenia). NIS2 wprost przewiduje możliwość pociągnięcia menedżerów do odpowiedzialności za rażące zaniedbania obowiązków – łącznie z sankcjami finansowymi, a nawet czasowym zakazem pełnienia funkcji kierowniczych. To sprawia, że temat cyberbezpieczeństwa staje się priorytetem na poziomie zarządu, a nie tylko działu IT.
Nieprzestrzeganie nowych wymogów będzie surowo karane. Dyrektywa NIS2 ustanawia minimalne maksymalne poziomy kar administracyjnych, które muszą przewidzieć krajowe przepisy. Dla podmiotów kluczowych górna granica kary to 10 000 000 EUR lub 2% całkowitego rocznego obrotu (w zależności która wartość jest wyższa). Dla podmiotów ważnych maksymalna kara została określona na 7 000 000 EUR lub 1,4% obrotu. To porównywalny poziom do kar z RODO, co podkreśla wagę przestrzegania nowych przepisów. Oprócz kar finansowych, organy nadzorcze będą mogły wydawać zalecenia i nakazy w zakresie usunięcia naruszeń, a w skrajnych przypadkach – jak wspomniano – nakładać sankcje na osoby zarządzające.
Kolejne kroki – kiedy przepisy wejdą w życie?
Skoro rządowy projekt ustawy wdrażającej NIS2 jest już gotowy i trafia pod obrady Rady Ministrów, pozostaje pytanie: kiedy nowe przepisy zaczną obowiązywać? Po przyjęciu przez Radę Ministrów projekt zostanie skierowany do prac parlamentarnych jako pilny rządowy projekt ustawy. Następnie czeka go standardowa ścieżka legislacyjna w Sejmie (czytania plenarna i prace w komisjach) oraz w Senacie. Biorąc pod uwagę presję czasu i naciski ze strony UE, można spodziewać się dość sprawnego procedowania – rząd zapewne będzie dążył do uchwalenia ustawy jeszcze w IV kwartale 2025 r. lub na początku 2026 r. (każdy miesiąc opóźnienia zwiększa ryzyko nałożenia kar przez UE za zwłokę we wdrożeniu dyrektywy).
Zgodnie z aktualnym projektem, ustawa wejdzie w życie po upływie miesiąca od ogłoszenia w Dzienniku Ustaw. To tzw. vacatio legis da podmiotom nieco czasu na zapoznanie się z nowymi przepisami. Co ważne, przewidziano także okres dostosowawczy wynoszący 6 miesięcy dla wszystkich podmiotów kluczowych i ważnych. Oznacza to, że od dnia wejścia w życie ustawy takie podmioty będą miały pół roku na pełne wdrożenie wymaganych środków i procedur zanim zaczną one podlegać egzekwowaniu. W praktyce, jeśli ustawa zostałaby ogłoszona np. w styczniu 2026, to jej przepisy zaczęłyby obowiązywać od lutego 2026, a obowiązki dla firm i instytucji byłyby w pełni egzekwowane od ok. sierpnia 2026. Oczywiście przy założeniu, że proces legislacyjny przebiegnie bez dalszych opóźnień – co, mając na uwadze już ponad roczne spóźnienie wobec terminu unijnego, jest priorytetem.
Warto podkreślić, że mimo formalnego okresu dostosowawczego, dyrektywa NIS2 już obowiązuje w sensie prawnym na poziomie UE (weszła w życie 16 stycznia 2023 r.), a wymagania w niej zawarte są znane od dawna. Państwa członkowskie miały prawie dwa lata na dostosowanie krajowych przepisów. Dlatego wielu ekspertów zaleca, aby nie czekać biernie na ostatni moment, tylko już teraz podejmować działania dostosowawcze. Podmioty, które zostaną objęte nowymi regulacjami, powinny wykorzystać najbliższe miesiące na przygotowanie się do nadchodzących zmian.
Jak przygotować swoją organizację?
Wejście w życie NIS2 zbliża się nieuchronnie, dlatego już teraz jest ostatni dzwonek, aby przygotować się do nowych obowiązków. Oto kilka kroków, które warto podjąć niezwłocznie:
- Sprawdź, czy Twoja organizacja będzie podlegać ustawie KSC po wdrożeniu NIS2. Przeanalizuj kryteria podmiotów kluczowych i ważnych – jeśli działasz w sektorze uznanym za krytyczny (np. energetyka, transport, finanse, zdrowie, łączność, usługi cyfrowe, administracja itp.) i jesteś średnim lub dużym przedsiębiorstwem, prawdopodobnie znajdziesz się w zasięgu nowych regulacji.
- Przeprowadź audyt bezpieczeństwa i analizę luk. Oceń obecny poziom cyberbezpieczeństwa w swojej firmie w odniesieniu do wymogów NIS2. Zidentyfikuj obszary, w których brakuje wymaganych polityk, procedur lub zabezpieczeń technicznych.
- Opracuj plan dostosowania do NIS2. Na podstawie audytu przygotuj harmonogram działań naprawczych. Uaktualnij istniejące polityki bezpieczeństwa lub utwórz nowe (np. politykę zarządzania incydentami, politykę ciągłości działania, politykę bezpieczeństwa dostawców). Zaplanuj wdrożenie brakujących środków technologicznych, takich jak systemy monitorowania, mechanizmy uwierzytelniania wieloskładnikowego, szyfrowanie wrażliwych danych, narzędzia do zarządzania podatnościami itp.
- Zaangażuj kadrę kierowniczą i przeszkol pracowników. Upewnij się, że zarząd rozumie wagę nowych obowiązków – przedstaw ryzyko braku zgodności (np. wysokie kary, odpowiedzialność osobista menedżerów). Przeprowadź szkolenia dla personelu, szczególnie w zakresie nowych procedur zgłaszania incydentów, polityk bezpieczeństwa oraz dobrych praktyk (np. higiena haseł, rozpoznawanie phishingu). Zwiększona świadomość całej organizacji jest kluczowa dla skutecznego spełnienia wymogów NIS2.
- Konsultuj się z ekspertami i śledź na bieżąco informacje. Regulacje cyberbezpieczeństwa potrafią być złożone, dlatego warto rozważyć wsparcie specjalistów – czy to firm doradczych, kancelarii prawnych, czy doświadczonych audytorów bezpieczeństwa. Eksperci pomogą poprawnie zinterpretować nowe przepisy i zaimplementować je w sposób efektywny. Równocześnie monitoruj oficjalne komunikaty (np. z Ministerstwa Cyfryzacji) – dowiesz się z nich o terminach wejścia ustawy w życie, aktach wykonawczych czy wytycznych organów nadzorczych.
Nie warto zwlekać.
Nowa ustawa o cyberbezpieczeństwie może zostać uchwalona szybciej, niż się wydaje, a czas na pełne dostosowanie się jest ograniczony. Im wcześniej rozpoczniesz działania przygotowawcze, tym mniejsze ryzyko, że Twoja organizacja zostanie zaskoczona wymaganiami NIS2. Zadbaj o cyberbezpieczeństwo już teraz – potraktuj to jako inwestycję w stabilność i zaufanie do Twojej firmy. Dzięki proaktywnej postawie nie tylko spełnisz nadchodzące obowiązki prawne, ale przede wszystkim wzmocnisz ochronę swojej infrastruktury i danych w obliczu rosnących zagrożeń cyfrowych. Pozostało niewiele czasu – działaj już dziś, aby NIS2 nie było dla Ciebie problemem, lecz kolejnym bodźcem do podniesienia poziomu bezpieczeństwa w organizacji.
Źródła
Dyrektywa (UE) 2022/2555 z dnia 14 grudnia 2022 r. – tzw. NIS2 (Dz. Urz. UE L 333 z 27.12.2022).
Projekt ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (UC32) – informacje z Rządowego Centrum Legislacji.
Legalis Księgowość Kadry Biznes – „Projekt ustawy o krajowym systemie cyberbezpieczeństwa trafił do Rady Ministrów”, 17.10.2025 (autor: A. Zuchowska-Prygiel)
Strona Komisji Europejskiej – Shaping Europe’s Digital Future: NIS2 Directive (podsumowanie założeń dyrektywy, termin implementacji)
Podręcznik Cyberbezpieczeństwa (materiały szkoleniowe) – opis obowiązków podmiotów kluczowych i ważnych zgodnie z NIS2.