Przejdź do treści
dyrektywaNIS2
Dyrektywa (UE) 2022/2555 · transpozycja w Polsce

Dyrektywa NIS2 w Polsce obowiązki, kary, harmonogram

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która transponuje NIS2 do polskiego porządku prawnego, weszła w życie 3 kwietnia 2026 r. Po raz pierwszy wprowadza ona osobistą odpowiedzialność członków zarządu za zaniechania w cyberbezpieczeństwie — z karą sięgającą 600% miesięcznego wynagrodzenia w trybie regresu (Art. 12a KSC).

Niniejszy serwis prowadzony jest przez Cyber Alterity jako dedykowane miejsce wiedzy o dyrektywie NIS2 i jej polskiej implementacji. Aktualizujemy treści wraz z postępem prac legislacyjnych nad nowelizacją KSC.

Przeczytaj wprowadzenie

Akredytacje i twarde dowody zaufania

  • ISO 27001 LA

    Audytor Wiodący

  • CompTIA CySA+

    Analityk bezpieczeństwa

  • NASK-PIB

    Zatwierdzenia KSC

  • ULC / PART-IS

    Lotnictwo cywilne

  • Poświadczenie

    Klauzula „ZASTRZEŻONE”

Cztery narzędzia interaktywne

Od klasyfikacji do weryfikacji — w 5 minut

Wszystkie obliczenia wykonujemy w przeglądarce. Dane nigdy nie opuszczają urządzenia. Linki udostępnienia są prywatne (hash URL nie jest wysyłany na serwer). Każda reguła z cytatem do publicznego źródła — wynik defensible w audycie organu właściwego.

Klasyfikator NIS2

Wieloetapowy kreator audytora — sprawdź klasyfikację swojej firmy w 5 minut. Pełna logika prawna z cytatami EUR-Lex/ISAP.

Otwórz klasyfikator

Klasyfikator dostawców NIS2

Strukturalna ocena ryzyka dostawcy ICT — wymóg formalnej analizy z Art. 21 ust. 2 lit. d NIS2 + Art. 66a KSC.

Otwórz scorecard

Klasyfikator grupowy NIS2

Wielopodmiotowa klasyfikacja holdingu — wczytaj CSV, otrzymaj per-entity decyzję K/V/W + grupowy memo audytowy z dwuwarstwowym hashem.

Otwórz klasyfikator grupowy

Audyt-pack — weryfikator memo

Niezależna kontrola integralności wygenerowanego memo audytowego — przeklej memo z klasyfikatora, otrzymaj werdykt match / niezgodne / przeterminowane. Tamper-evidence przez memoHash + groupHash.

Otwórz weryfikator

Dla CISO i audytorów — pełna transparentność silnika, polityka cytowań, IP firewall i prywatność (URL hash) w metodologii narzędzi.

Trzy pytania, na które ten serwis odpowiada

Od ogólnej dyrektywy do konkretnych decyzji Państwa firmy

NIS2 brzmi w mediach abstrakcyjnie. Każdy zarząd polskiej firmy potrzebuje jednak odpowiedzi na trzy proste pytania, zanim przekaże temat do działu IT lub do prawnika. Najtańszą decyzją jest właściwa kolejność: najpierw klasyfikacja własnego podmiotu, potem skala potencjalnych kar, dopiero na końcu lista działań technicznych. Odwrotna kolejność prowadzi do projektów, które kosztują wielokrotnie więcej, niż wymaga tego ustawa.

Czy obowiązek dotyczy mojej firmy?

Podmiot Kluczowy, Podmiot Ważny, próg 50 osób lub 10 mln EUR obrotu — sprawdź klasyfikację i obowiązek samorejestracji w systemie S46.

Czytaj dalej

Jakie są kary?

Do 10 mln EUR lub 2% obrotu globalnego, czasowy zakaz pełnienia funkcji, a w przypadku zarządów — osobista odpowiedzialność z Art. 12a do 600% wynagrodzenia.

Czytaj dalej

Jak się przygotować?

Dziesięć minimalnych środków z Art. 21 NIS2, ich mapowanie na ISO 27001 oraz roczny plan działań — od audytu zerowego po pełne wdrożenie SZBI.

Czytaj dalej

Kluczowe daty

Harmonogram NIS2 w Polsce

Cztery daty, które warto zapamiętać i wpisać do kalendarza ryzyka — od przyjęcia dyrektywy po pierwsze kontrole nadzoru.

Polska wykonała transpozycję dyrektywy z istotnym opóźnieniem wobec terminu unijnego z października 2024 r. Skutkiem jest to, że obowiązki weszły w życie 3 kwietnia 2026 r. z bardzo krótkim okresem przygotowawczym. Firmy, które nie rozpoczęły jeszcze prac, są już spóźnione — zorganizowanie klasyfikacji, dokumentacji i procedury raportowania to minimum, aby pierwsza kontrola nie zastała ich nieprzygotowanymi.

  1. Status: Wykonane

    14 grudnia 2022

    Przyjęcie dyrektywy

    Parlament Europejski i Rada przyjmują Dyrektywę (UE) 2022/2555 (NIS2), zastępującą NIS z 2016 r.

  2. Status: Wykonane

    17 października 2024

    Termin transpozycji

    Państwa członkowskie miały wdrożyć przepisy NIS2 do prawa krajowego. Polska terminu nie dotrzymała.

  3. Status: Aktualnie

    3 kwietnia 2026

    Polska nowelizacja KSC

    Wejście w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2026 poz. 252) transponującej NIS2 w polskim porządku prawnym.

  4. Status: Nadchodzi

    od 3 października 2026

    Egzekwowanie obowiązków

    Po upływie terminu rejestracji w S46 urzędy nadzorcze (NASK-PIB, sektorowe CSIRT-y, ministerstwa) rozpoczynają działania kontrolne; pełne stosowanie kar administracyjnych następuje po okresie przejściowym.

Narzędzie interaktywne

W trzy parametry — Państwa klasyfikacja i maksymalna kara

Bez formularza kontaktowego, bez wysyłania danych. Wszystkie obliczenia odbywają się w przeglądarce. Wystarczy wskazać sektor, przesunąć dwa suwaki i zobaczyć wynik — Podmiot Kluczowy, Podmiot Ważny, czy wyłączenie z mocy progu.

Klasyfikator NIS2

Sprawdź klasyfikację swojej firmy

Trzy parametry. Wynik na żywo. Bez wysyłania danych — wszystko liczy się w przeglądarce.

Podmiot Ważny

Sektor „Produkcja przemysłowa” (Załącznik II) + średnie przedsiębiorstwo ⇒ Podmiot Ważny.

Maksymalna kara

7 mln EUR

Wyższa z dwóch: 7 mln EUR lub 1,4% obrotu globalnego

Wielkość MŚP

średnie

wg rek. KE 2003/361/WE

Najważniejsze obowiązki

  • Samorejestracja w systemie S46 (ustawowy termin wpisu: do 3 października 2026 r.).
  • Wdrożenie 10 minimalnych środków bezpieczeństwa z Art. 21 NIS2.
  • Procedura raportowania incydentów do CSIRT (24 h / 72 h / 1 miesiąc).
  • Zarządzanie ryzykiem łańcucha dostaw (Art. 21(2)(d)).
  • Regularne szkolenia organów zarządzających (Art. 20).
  • Nadzór ex post — kontrola zwykle następuje po incydencie.

Kolejne kroki

Wsparcie decyzyjne, nie porada prawna. Klasyfikator opiera się na progach dyrektywy NIS2 i projektowanej nowelizacji KSC. Indywidualne wyłączenia, grupy kapitałowe i wskazania „z urzędu" wymagają konsultacji.

Wynik klasyfikatora to wsparcie decyzyjne — nie porada prawna. Pełna metodologia i ograniczenia narzędzia →

Następny krok

Sprawdźmy razem, czy ustawa rzeczywiście Państwa obejmuje

Większość firm zakłada, że NIS2 ich nie dotyczy — i jest to założenie ryzykowne. Klasyfikacja zależy od kodów PKD, wielkości przedsiębiorstwa oraz miejsca w łańcuchu dostaw, a obowiązek zgłoszenia leży po stronie firmy, nie urzędu. W krótkiej rozmowie ze specjalistą Cyber Alterity można w 20 minut potwierdzić status i wyjść z konkretną listą następnych kroków.

Zarezerwuj 20 min z ekspertemSprawdź klasyfikację samodzielnie

Konsultacja jest bezpłatna i niezobowiązująca. Rozmowa nie tworzy umowy z Cyber Alterity.

Umów konsultację