3 października 2026 roku to data, która zaskoczy wiele polskich firm i instytucji. Do tego dnia każdy podmiot objęty dyrektywą NIS2 musi sam zidentyfikować się jako essential lub important i zarejestrować się w rejestrze prowadzonym przez Ministerstwo Cyfryzacji. Bez czekania na pismo z urzędu. Bez urzędowej listy podmiotów. Bez osobistego zaproszenia. Wystarczy, że spełniają kryteria — a obowiązek powstaje z mocy prawa.

To zasadnicza zmiana w stosunku do wcześniejszej praktyki nadzorczej, w której to organy państwa identyfikowały podmioty regulowane. Pod NIS2 i polską ustawą o krajowym systemie cyberbezpieczeństwa (UKSC) — odpowiedzialność za samoidentyfikację spoczywa na samym podmiocie. Zaniechanie tego obowiązku to nie tylko sankcja administracyjna, ale osobista odpowiedzialność członków zarządu zgodnie z art. 32 NIS2.

Dlaczego sytuacja w Polsce jest szczególna

Polska ustawa o krajowym systemie cyberbezpieczeństwa po nowelizacji z 23 stycznia 2026 (Dz.U. 2026 poz. 252) wprowadziła trzy kluczowe terminy, których przekroczenie skutkuje kaskadą obowiązków:

  • 2 kwietnia 2026 — wejście w życie znowelizowanej ustawy UKSC
  • 13 kwietnia 2026 — uruchomienie wykazu podmiotów kluczowych i ważnych przez Ministerstwo Cyfryzacji
  • 3 października 2026ostateczny termin samoidentyfikacji i rejestracji w rejestrze MC
  • 3 kwietnia 2027 — pełna zgodność z wymaganiami technicznymi (art. 21 NIS2 — 10 obszarów cyberbezpieczeństwa)

Pomiędzy 13 kwietnia a 3 października 2026 podmioty mają niespełna 6 miesięcy na samoocenę i rejestrację. Patrząc na praktykę dotychczasowych wdrożeń regulacyjnych w Polsce — to jest realnie krótki termin, biorąc pod uwagę, że 18 sektorów objętych dyrektywą obejmuje setki tysięcy podmiotów, z czego znaczna część dotąd nie miała obowiązków cyberbezpieczeństwa.

Kogo dotyczy NIS2 — 18 sektorów do sprawdzenia

Lista sektorów jest podzielona na dwa załączniki dyrektywy. Annex I — sektory essential (kluczowe), Annex II — sektory important (ważne). Różnica nie jest jedynie semantyczna — przekłada się na progi sankcji i intensywność nadzoru.

Sektory essential (Annex I):

  • Energetyka (elektryczność, ropa, gaz, wodór)
  • Transport (lotniczy, kolejowy, morski, drogowy)
  • Bankowość (poza DORA — w zakresie nieobjętym DORA)
  • Infrastruktura rynków finansowych (poza DORA)
  • Ochrona zdrowia (szpitale, laboratoria, producenci leków)
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa (chmura, IXP, DNS, TLD, CDN)
  • ICT B2B (dostawcy usług zarządzanych)
  • Administracja publiczna
  • Przestrzeń kosmiczna

Sektory important (Annex II):

  • Usługi pocztowe i kurierskie
  • Gospodarka odpadami
  • Produkcja, dystrybucja chemikaliów
  • Produkcja, przetwórstwo, dystrybucja żywności
  • Produkcja maszyn, pojazdów i innych urządzeń
  • Dostawcy usług cyfrowych (marketplace, wyszukiwarki, sieci społecznościowe)
  • Badania naukowe

Próg wielkości — kluczowy filtr

Obowiązek samoidentyfikacji dotyczy podmiotów spełniających co najmniej jedno z dwóch kryteriów wielkościowych:

  • 50+ pracowników lub
  • Roczny obrót / suma bilansowa powyżej 10 mln EUR

To oznacza, że NIS2 obejmuje znacznie szerszy krąg niż dotychczasowa ustawa o krajowym systemie cyberbezpieczeństwa. Średnie firmy energetyczne, mniejsze szpitale powiatowe, gminne zakłady wodociągowe, regionalni operatorzy transportu, producenci żywności średniej skali — wszyscy mogą podlegać NIS2 i nie mieć tego świadomości.

Najczęstszy błąd: “czekamy na pismo z urzędu”

Z perspektywy konsultingu prawniczego obserwujemy zaskakująco częstą reakcję: “skoro NIS2 nas dotyczy, to państwo nas zawiadomi i wyznaczy termin”. To błąd, który może kosztować zarząd osobiście.

Pod NIS2 to podmiot ma obowiązek samoidentyfikacji zgodnie z art. 30 dyrektywy oraz polskimi przepisami transponującymi. W praktyce oznacza to:

  1. Analiza, czy podmiot wpisuje się w którykolwiek z 18 sektorów Annex I lub II
  2. Weryfikacja progów wielkości (pracownicy, obrót, suma bilansowa)
  3. Klasyfikacja essential / important — wpływa na progi sankcji i częstotliwość audytów
  4. Rejestracja w rejestrze prowadzonym przez Ministerstwo Cyfryzacji do 3 października 2026
  5. Coroczna aktualizacja danych w rejestrze

Konsekwencje zaniechania

Sankcje pod NIS2 i UKSC są wielowarstwowe i mogą być dużo bardziej dotkliwe niż w innych regulacjach:

  • Sankcje administracyjne — do 10 mln EUR lub 2% globalnego obrotu rocznego dla podmiotów essential, do 7 mln EUR lub 1,4% obrotu dla important
  • Sankcje osobiste dla członków zarządu (art. 32 NIS2) — w skrajnych przypadkach zakaz pełnienia funkcji kierowniczych
  • Odpowiedzialność karna w określonych przypadkach (zaniechanie zgłoszenia incydentu)
  • Sankcje reputacyjne — publikacja decyzji administracyjnych

Procedura incydentów — trzy progi raportowania

Gdy podmiot zostanie już zidentyfikowany i zarejestrowany, kluczową obowiązkową procedurą jest raportowanie incydentów cyberbezpieczeństwa zgodnie z art. 23 NIS2 i polską ustawą UKSC. Obowiązują trzy progi czasowe:

TerminCo należy zgłosićKomu
24 godzinyNotyfikacja wstępna o incydencieWłaściwy CSIRT (NASK / GOV / MON)
72 godzinyRaport pośredni z oceną wpływuWłaściwy CSIRT
1 miesiącSprawozdanie końcowe z analizą i działaniami naprawczymiWłaściwy CSIRT

W Polsce zgłoszenia odbywają się przez system S46 prowadzony przez Ministerstwo Cyfryzacji. Trzy CSIRT-y krajowe (CSIRT NASK, CSIRT GOV przy ABW, CSIRT MON) odbierają zgłoszenia w zależności od sektora. Brak terminowego zgłoszenia = automatyczna sankcja.

10 obszarów cyberbezpieczeństwa z art. 21 NIS2

Pełna zgodność wymagana do 3 kwietnia 2027 obejmuje politykę cyberbezpieczeństwa pokrywającą wszystkie 10 obszarów wymienionych w art. 21 dyrektywy:

  1. Polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych
  2. Obsługa incydentów
  3. Ciągłość działania (zarządzanie kryzysowe, kopie zapasowe, plany odzyskiwania)
  4. Bezpieczeństwo łańcucha dostaw — w tym bezpieczeństwo dostawców i ICT B2B
  5. Bezpieczeństwo nabywania, rozwoju i utrzymania systemów informatycznych
  6. Polityki i procedury oceny skuteczności środków zarządzania ryzykiem
  7. Podstawowe praktyki cyberhigieny i szkolenia
  8. Polityki i procedury kryptografii i szyfrowania
  9. Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami
  10. Stosowanie uwierzytelniania wieloskładnikowego (MFA), bezpiecznej komunikacji głosowej i tekstowej

Każdy z tych obszarów to osobny dokument operacyjny, nie deklaracja. Generyczne polityki bez tej granulacji nie spełniają wymogów dyrektywy.

Jak wygląda pełen pakiet NIS2 w Kancelarii Kozłowski

Pakiet 17 dokumentów obejmuje wszystkie obszary art. 21 NIS2 oraz pełną integrację z polskim systemem zgłoszeń S46 i trzema CSIRT-ami. Wdrażamy w trzech etapach:

Etap 1 — samoidentyfikacja (do 03.10.2026): analiza essential/important, rejestracja w rejestrze MC, dokumentacja klasyfikacji Etap 2 — pełna polityka cyber (do 03.04.2027): 10 obszarów art. 21, BCP, DRP, supply chain security, polityka kryptografii Etap 3 — operacjonalizacja (ongoing): procedury incydentów S46, plan szkoleń cyber, audyty wewnętrzne, raporty zarządu

Przygotowanie obejmuje strukturalną analizę działalności klienta z biblioteki 230+ ankiet branżowych — energetyka, ochrona zdrowia, JST, telekomunikacja, ICT, dostawcy chmury, marketplace mają zupełnie różne profile ryzyka cybernetycznego. Dokumentacja jest dostosowana do każdej branży osobno.

Sześć poziomów weryfikacji + podpis radcy prawnego z OC 10 mln PLN. 12 miesięcy aktualizacji w cenie — gdy ukażą się dalsze RTS / wytyczne MC, klient otrzymuje zaktualizowane dokumenty automatycznie.

Zapraszamy do kontaktu — wykonujemy bezpłatny wstępny audyt zgodności, który w 7 dni roboczych odpowiada na trzy kluczowe pytania: (1) czy Państwa podmiot podlega NIS2, (2) jako essential czy important, (3) co należy zrobić w ciągu najbliższych 5 miesięcy do samoidentyfikacji.

Tagi: NIS2UKSCsamoidentyfikacjacyberbezpieczeństwoCSIRTKSC
← Powrót do listy artykułów