Przejdź do treści
dyrektywanis2.com
Dyrektywa (UE) 2022/2555 · transpozycja w Polsce

Dyrektywa NIS2 w Polsce — obowiązki, kary, harmonogram

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która transponuje NIS2 do polskiego porządku prawnego, wchodzi w życie w marcu 2026 roku. Po raz pierwszy wprowadza ona osobistą odpowiedzialność członków zarządu za zaniechania w cyberbezpieczeństwie — z karą sięgającą 600% miesięcznego wynagrodzenia w trybie regresu (Art. 12a KSC).

Niniejszy serwis prowadzony jest przez Alterity Solutions jako dedykowane miejsce wiedzy o dyrektywie NIS2 i jej polskiej implementacji. Aktualizujemy treści wraz z postępem prac legislacyjnych nad nowelizacją KSC.

Zarezerwuj 20-minutową konsultacjęPrzeczytaj wprowadzenie

Trzy pytania, na które ten serwis odpowiada

Od ogólnej dyrektywy do konkretnych decyzji Państwa firmy

NIS2 brzmi w mediach abstrakcyjnie. Każdy zarząd polskiej firmy potrzebuje jednak odpowiedzi na trzy proste pytania, zanim przekaże temat do działu IT lub do prawnika. Najtańszą decyzją jest właściwa kolejność: najpierw klasyfikacja własnego podmiotu, potem skala potencjalnych kar, dopiero na końcu lista działań technicznych. Odwrotna kolejność prowadzi do projektów, które kosztują wielokrotnie więcej, niż wymaga tego ustawa.

Czy obowiązek dotyczy mojej firmy?

Podmiot Kluczowy, Podmiot Ważny, próg 50 osób lub 10 mln EUR obrotu — sprawdź klasyfikację i obowiązek samorejestracji w systemie S46.

Czytaj dalej

Jakie są kary?

Do 10 mln EUR lub 2% obrotu globalnego, czasowy zakaz pełnienia funkcji, a w przypadku zarządów — osobista odpowiedzialność z Art. 12a do 600% wynagrodzenia.

Czytaj dalej

Jak się przygotować?

Dziesięć minimalnych środków z Art. 21 NIS2, ich mapowanie na ISO 27001 oraz roczny plan działań — od audytu zerowego po pełne wdrożenie SZBI.

Czytaj dalej

Kluczowe daty

Harmonogram NIS2 w Polsce

Cztery daty, które warto zapamiętać i wpisać do kalendarza ryzyka — od przyjęcia dyrektywy po pierwsze kontrole nadzoru.

Polska wykonała transpozycję dyrektywy z istotnym opóźnieniem wobec terminu unijnego z października 2024 r. Skutkiem jest to, że w marcu 2026 r. obowiązki wchodzą w życie z bardzo krótkim okresem przygotowawczym. Firmy, które rozpoczną prace w styczniu lub lutym, mają realne ok. 6–8 tygodni na zorganizowanie klasyfikacji, dokumentacji i procedury raportowania — minimum, aby pierwsza kontrola nie zastała ich nieprzygotowanymi.

  1. 14 grudnia 2022

    Przyjęcie dyrektywy

    Parlament Europejski i Rada przyjmują Dyrektywę (UE) 2022/2555 (NIS2), zastępującą NIS z 2016 r.

  2. 17 października 2024

    Termin transpozycji

    Państwa członkowskie miały wdrożyć przepisy NIS2 do prawa krajowego. Polska terminu nie dotrzymała.

  3. marzec 2026

    Polska nowelizacja KSC

    Wejście w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa transponującej NIS2 w polskim porządku prawnym.

  4. od marca 2026

    Egzekwowanie obowiązków

    Urzędy nadzorcze (NASK-PIB, sektorowe CSIRT-y, ministerstwa) rozpoczynają działania kontrolne i nakładanie kar.

Następny krok

Sprawdźmy razem, czy ustawa rzeczywiście Państwa obejmuje

Większość firm zakłada, że NIS2 ich nie dotyczy — i jest to założenie ryzykowne. Klasyfikacja zależy od kodów PKD, wielkości przedsiębiorstwa oraz miejsca w łańcuchu dostaw, a obowiązek zgłoszenia leży po stronie firmy, nie urzędu. W krótkiej rozmowie ze specjalistą Alterity Solutions można w 20 minut potwierdzić status i wyjść z konkretną listą następnych kroków.

Zarezerwuj rozmowęSprawdź klasyfikację samodzielnie

Konsultacja jest bezpłatna i niezobowiązująca. Rozmowa nie tworzy umowy z Alterity Solutions.

Umów konsultację