NIS2 i ustawa KSC. Czy to dotyczy właśnie Ciebie?

Polska ustawa KSC wdrażąjaca NIS2 weszła w życie 3 kwietnia 2026 r. Od tej daty biegnie 6-miesięczny termin na rejestrację dla podmiotów kluczowych i ważnych. Nie wiesz, do której grupy należysz? Tester NIS2 odpowie Ci w kilka minut, ponieważ pobiera dane z rejestrów publicznych.

  • Sprawdza sektor i wielkość firmy wg aktualnych przepisów uKSC
  • Określa status: podmiot kluczowy, ważny lub poza zakresem
  • Generuje raport w PDF do analizy


Po otrzymaniu wyniku odpowiadamy na pytania i wspieramy w analize sytuacji.

Sprawdź bezpłatnie Potrzebujesz doradztwa?

Trzy rzeczy, które musisz wiedzieć o uKSC teraz

UKSC / NIS2

Skąd pochodzi?

  • NIS2 to dyrektywa UE z 2022 r.
  • Polska wdrożyła ją w ustawie KSC
  • UKSC obowiązuje od 3 kwietnia 2026 r.

UKSC / NIS2

Kogo obowiązuje?

  • Firmy i instytucje z ponad 18 sektorów:
  • Firmy IT, energetyka, zdrowie, transport,
woda, odpady, producenci, transport
  • Każda firma z 50+ pracownikami powinna
to sprawdź

UKSC / NIS2

Co teraz?

  • Terminy biegną od 3 kwietnia 2026 r.
  • Samodzielna weryfikacja i rejestracja:
do 3 października 2026 r.
  • SZBI: do 3 kwietnia 2027 r.

Polska implementacja NIS2 zawiera szereg wymagań, których nie znajdziesz w samej dyrektywie.

Jeśli chcesz zrozumieć przepisy zanim sprawdzisz swój status – przeczytaj nasz pełny przewodnik.

Przewodnik

Ile czasu zostało?

108

dni do deadline'u rejestracji

290

dni do pełnego wdrożenia SZBI

656

dni do pierwszego audytu

3 kwietnia 2026

Ustawa KSC wchodzi w życie

Nowelizacja uKSC obowiązuje. Terminy zaczęły biec.

Już obowiązuje
3 października 2026

Rejestracja w wykazie podmiotów

Wniosek z kwalifikowanym podpisem elektronicznym.

Kara do 10 mln euro
3 kwietnia 2027

Pełne wdrożenie
SZBI

Polityki, zarządzanie ryzykiem, incydenty, łańcuch dostaw.

Wszyscy objęci ustawą
3 kwietnia 2028

Pierwszy audyt bezpieczeństwa

Na własny koszt. Raport do organu w 3 dni robocze.

Tylko podmioty kluczowe
Sprawdź bezpłatnie w Testerze NIS2

Jak działa Tester NIS2?

Jeżeli którąś z wymienionych sytuacji spotykasz w swojej pracy, to trafiłeś w dobre miejsce.

  1. Podaj NIP i pobierz dane
  2. Wpisz liczbę zatrudnionych na UoP
  3. Sprawdź na liście sektorów zgodność zaciągniętych kodów PKD
  4. Sprawdź czy dotyczą Cię wyjątki od progu wielkości
  5. Sprawdź czy dotyczą Cię wyłączenia
  6. Skorzystaj z omówienia wyniku
Sprawdź bezpłatnie w Testerze NIS2

Ile kosztuje ignorowanie uKSC?

Ustawa KSC przewiduje kary finansowe dla organizacji i osobistą
odpowiedzialność kierownika, niezależnie od tego, czy powierzył
obowiązki innej osobie.

PODMIOT KLUCZOWY

10 mln euro

lub 2% rocznego przychodu

Brak rejestracji, wadliwy SZBI, nieraportowanie incydentów, utrudnianie kontroli.

Minimum: 20 000 zł

PODMIOT WAŻNY

7 mln euro

lub 1,4% rocznego przychodu

Zakres naruszeń taki sam jak dla podmiotów kluczowych – niższy próg kary.

Minimum: 15 000 zł

SZCZEGÓLNE ZAGROŻENIE

100 mln zł

kara nadzwyczajna

Gdy istnieje bezpośrednie i poważne cyberzagrożenie lub ryzyko poważnych szkód.

Kierownik odpowiada osobiście

Nawet jeśli powierzył obowiązki cyberbezpieczeństwa innej osobie

300%

miesięcznego wynagrodzenia, podmiot prywatny

300%

miesięcznego wynagrodzenia
podmiot publiczny

Zakaz

pełnienia funkcji zarządczych przy niewykonaniu nakazów organu

Wstrzymanie koncesji
i zezwoleń na działalność

Wstrzymanie działalności
do czasu usunięcia naruszeń

Audyt z nakazu organu
w każdym czasie (kluczowe)

Publiczne ogłoszenie
naruszenia w BIP i przez organ

Podmioty kluczowe podlegają nadzorowi prewencyjnemu i następczemu.
Podmioty ważne — nadzorowi następczemu, uruchamianemu przy uzasadnionym podejrzeniu naruszeń. Niekaralność zależy od tego, czy spełniłeś obowiązek – nie od tego, czy wiedziałeś o jego istnieniu.

Sprawdź bezpłatnie w Testerze NIS2

FAQ

Czy moja firma musi rejestrować się w związku z NIS2?

Obowiązek rejestracji dotyczy podmiotów kluczowych i ważnych w rozumieniu ustawy KSC. Status zależy od sektora, w którym działa firma, oraz od jej wielkości (liczba zatrudnionych lub roczny obrót). Jeśli działasz w jednym z ponad 18 sektorów wymienionych w załącznikach nr 1 i 2 do ustawy i przekraczasz próg średniego przedsiębiorcy, najprawdopodobniej masz obowiązek złożenia wniosku o wpis do wykazu podmiotów kluczowych lub ważnych.

Termin: 6 miesięcy od spełnienia przesłanek — dla większości firm to 3 października 2026 r.

Czym różni się podmiot kluczowy od podmiotu ważnego?

Podmiot kluczowy działa w sektorze z załącznika nr 1 (m.in. energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa) i zatrudnia ponad 250 osób lub osiąga obrót powyżej 50 mln euro. Podmiot ważny to firma z załącznika nr 1 lub 2 spełniająca progi średniego przedsiębiorcy (50–249 pracowników, obrót 10–50 mln euro).

Różnica ma znaczenie praktyczne: podmioty kluczowe podlegają nadzorowi prewencyjnemu, muszą przeprowadzać audyty co 3 lata i grożą im wyższe kary (do 10 mln euro). Podmioty ważne podlegają nadzorowi następczemu i niższemu progowi kar (do 7 mln euro).

Do kiedy trzeba złożyć wniosek o rejestrację w wykazie NIS2?

Termin wynosi 6 miesięcy od dnia spełnienia przesłanek. Dla podmiotów, które spełniały kryteria już w dniu wejścia ustawy w życie (3 kwietnia 2026 r.), termin upływa 3 października 2026 r.

Jeśli firma przekroczyła progi wielkości lub rozpoczęła działalność w regulowanym sektorze po tej dacie, termin liczy się od momentu spełnienia przesłanek — nie od daty wejścia ustawy w życie. Wniosek składa się wyłącznie elektronicznie z kwalifikowanym podpisem.

Czy firma z wieloma kodami PKD podlega pod uKSC?

Tak — ustawa KSC nie wymaga, aby działalność z załącznika nr 1 lub 2 była działalnością przeważającą. Każdy zarejestrowany kod PKD odpowiadający sektorowi z ustawy może samodzielnie triggerować obowiązki. Podmiot z wieloma kodami PKD wykazuje odrębnie każdą kwalifikującą działalność we wniosku o wpis do wykazu.

Wyjątek: w sektorze gospodarowania odpadami i zaopatrzenia w wodę ustawa wymaga, aby dana działalność stanowiła istotną lub podstawową część ogólnej działalności firmy.

Co grozi za brak rejestracji lub niespełnienie wymogów uKSC?

Kary finansowe sięgają do 10 mln euro lub 2% rocznego przychodu dla podmiotów kluczowych i do 7 mln euro lub 1,4% przychodu dla podmiotów ważnych (stosuje się wyższą z kwot). W szczególnych przypadkach kara może wynieść do 100 mln zł.

Kierownik odpowiada osobiście — do 300% miesięcznego wynagrodzenia w podmiocie prywatnym, nawet jeśli powierzył obowiązki innej osobie. Organ może też wstrzymać działalność lub wydać zakaz pełnienia funkcji zarządczych.

Czym różni się polska ustawa KSC od dyrektywy NIS2?

Polska implementacja zawiera szereg wymagań niemających odpowiednika w samej dyrektywie. Najważniejsze różnice to: formalny rejestr podmiotów z wnioskiem składanym pod rygorem odpowiedzialności karnej, obowiązkowe coroczne szkolenia kierownictwa z dokumentacją, weryfikacja niekaralności kluczowych pracowników w KRK, mechanizm uznania dostawcy za „dostawcę wysokiego ryzyka” oraz Połączone Centrum Operacyjne Cyberbezpieczeństwa (PCOC).

Sama znajomość dyrektywy NIS2 nie wystarczy — polskie przepisy są bardziej rygorystyczne w kilku kluczowych obszarach i wymagają osobnej analizy zgodności z uKSC.

Czy instytucje publiczne i JST też podlegają pod uKSC?

Tak. Określone podmioty publiczne podlegają ustawie niezależnie od progów wielkości — m.in. organy administracji rządowej, jednostki samorządu terytorialnego i podmioty im podległe. Ustawa przewiduje mechanizm wspólnego wykonywania obowiązków przez JST na podstawie porozumień między jednostkami.

Wyłączone ze standardowego reżimu są służby specjalne i podmioty podległe Ministrowi Obrony Narodowej.

Czym jest SZBI i co musi zawierać zgodnie z uKSC?

SZBI — System Zarządzania Bezpieczeństwem Informacji — to zestaw polityk, procedur i środków technicznych wdrożonych w systemach informacyjnych wykorzystywanych do świadczenia usługi. Ustawa KSC określa jego minimalny zakres: systematyczne szacowanie ryzyka, polityki bezpieczeństwa, zarządzanie aktywami i dostępem, bezpieczeństwo fizyczne, kryptografia, bezpieczeństwo HR, plany ciągłości działania i odtwarzania po awarii, monitoring ciągły oraz bezpieczeństwo łańcucha dostaw — w tym ocena dostawców i wyniki postępowań dotyczących dostawców wysokiego ryzyka.

Termin wdrożenia SZBI: 12 miesięcy od spełnienia przesłanek — dla większości podmiotów to 3 kwietnia 2027 r.

Dlaczego warto zweryfikować organizację przy pomocy Testera NIS2 RED INTO GREEN?

Tester NIS2 RED INTO GREEN to jedyne bezpłatne narzędzie na polskim rynku, które weryfikuje status organizacji na podstawie danych pobieranych automatycznie z rejestrów publicznych — wystarczy podać NIP. Nie interpretujesz przepisów samodzielnie.
W odróżnieniu od ogólnych checklist dostępnych w sieci, Tester uwzględnia pełną treść polskiej ustawy KSC z 3 kwietnia 2026 r. — nie samą dyrektywę NIS2. Sprawdza sektor na podstawie zaciągniętych kodów PKD, weryfikuje progi wielkości przedsiębiorcy, uwzględnia wyjątki od progów oraz wyłączenia podmiotowe. Wynik to nie ogólna odpowiedź „tak/nie” — to określenie konkretnego statusu (podmiot kluczowy, ważny lub poza zakresem), właściwego organu nadzorczego i CSIRT oraz terminu, w którym Twoja organizacja musi złożyć wniosek o rejestrację.
Po otrzymaniu wyniku zespół RED INTO GREEN odpowiada na pytania i wspiera w analizie sytuacji. Jeśli organizacja potrzebuje pełnego wdrożenia SZBI, zarządzania incydentami lub audytu zgodności, platforma RIG NIS stanowi naturalny kolejny krok.
Wynik otrzymujesz w postacie wyświetlonego komunikatu na stronie, a pełny raport w pliku PDF, który możesz analizować ze swoim zespołem jest przesyłany na maila podanego przy rejestracji.