01. Słyszymy o „NIS2” i o „KSC” — co nas właściwie obowiązuje?
NIS2 to dyrektywa unijna; w Polsce obowiązuje jej wdrożenie — znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (KSC), w mocy od 3 kwietnia 2026 r. To z ustawy, nie z dyrektywy, wynikają Wasze konkretne obowiązki, terminy i kary. Gdy ktoś mówi „NIS2”, w praktyce chodzi o KSC.
02. Skąd mamy wiedzieć, czy nasza firma podlega?
Decydują dwa kryteria łącznie: sektor (18 sektorów w załącznikach 1 i 2 do ustawy — m.in. energia, transport, zdrowie, woda, żywność, chemia, produkcja, poczta, odpady, usługi cyfrowe) i wielkość (co do zasady od 50 zatrudnionych albo powyżej 10 mln EUR obrotu i sumy bilansowej). Uwaga: wielkość liczy się razem z grupą kapitałową, a część kategorii (m.in. telekomunikacja, usługi zaufania, DNS, MSSP) podlega niezależnie od wielkości. Mamy checklistę, którą przechodzimy z Wami w 10 minut.
03. Jakie terminy nas dotyczą?
Dla firm, które spełniały przesłanki 3 kwietnia 2026 r.: wpis do wykazu KSC do 3 października 2026 (elektronicznie, system S46), wdrożone środki i procedury do 3 kwietnia 2027, pierwszy audyt bezpieczeństwa do 3 kwietnia 2028 (podmioty kluczowe). Firmy, które dopiero przekroczą progi, mają odpowiednio 6, 12 i 24 miesiące od dnia spełnienia przesłanek.
04. Co realnie grozi za brak zgodności?
Kary dla firmy: do 10 mln EUR lub 2% rocznych przychodów (podmiot kluczowy) albo do 7 mln EUR lub 1,4% (podmiot ważny) — zawsze kwota wyższa, z ustawowym minimum 20 000 / 15 000 zł. Większość kar administracyjnych może być nakładana od 3 kwietnia 2028 r. (ustawowa karencja), ale kara nadzwyczajna do 100 mln zł za naruszenia powodujące poważne zagrożenie działa bez karencji, podobnie jak kary za niewykonanie nakazów organu (500–100 000 zł za każdy dzień zwłoki).
05. Czy zarząd odpowiada osobiście?
Tak — to jedna z najważniejszych zmian. Kierownik podmiotu odpowiada za wykonywanie obowiązków ustawy (art. 8c), ma obowiązek corocznego szkolenia i może dostać osobistą karę pieniężną do 300% wynagrodzenia (liczonego jak ekwiwalent za urlop), niezależnie od kary nałożonej na firmę. Delegowanie zadań na dział IT lub zewnętrzną firmę nie zwalnia z tej odpowiedzialności. Standardowa polisa D&O może nie pokrywać kar administracyjnych — to warto zweryfikować.
06. Mamy ISO 27001 — czy to wystarczy?
Bardzo pomaga, ale nie zamyka tematu. Certyfikat pokrywa dużą część wymagań dotyczących systemu zarządzania bezpieczeństwem, natomiast nie zastępuje obowiązków ustawowych: wpisu do wykazu, raportowania incydentów w systemie S46 w ustawowych terminach, szkolenia kierownictwa ani wymagań specyficznych dla KSC. Praktycznie: robimy mapowanie różnic zamiast wdrożenia od zera — to istotnie tańsze.
07. Co to jest SZBI i co konkretnie trzeba mieć?
System zarządzania bezpieczeństwem informacji: udokumentowana analiza ryzyka, polityki i procedury, środki techniczne i organizacyjne proporcjonalne do ryzyka, plan obsługi incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw oraz przeszkolone kierownictwo. Nie chodzi o segregator dokumentów, tylko o działający system — organ w razie incydentu sprawdzi, czy procedury były stosowane, nie czy istniały na papierze.
08. Jak wygląda zgłaszanie incydentów?
Kaskada trzech terminów dla incydentu poważnego: wczesne ostrzeżenie w 24 godziny od wykrycia, zgłoszenie w 72 godziny, raport końcowy do miesiąca. Zgłoszenia idą do właściwego CSIRT przez system S46. To wymaga wcześniej przygotowanej procedury: kto wykrywa, kto decyduje, kto zgłasza — w nocy i w weekend też.
09. Mamy zewnętrzną firmę IT i wszystko w chmurze — czy to nie załatwia sprawy?
Nie. Odpowiedzialność z ustawy jest nieprzenoszalna — dostawca IT może wykonywać zadania, ale obowiązki i kary pozostają po stronie firmy i jej kierownika. Co więcej, ustawa wprost wymaga zarządzania ryzykiem łańcucha dostaw, czyli oceny i umownego zabezpieczenia właśnie takich dostawców. Umowę z firmą IT trzeba będzie przejrzeć, a nie traktować jako polisę.
10. Robiliśmy wdrożenie RODO — czy to się nie dubluje?
Częściowo się uzupełnia (analiza ryzyka, zgłaszanie naruszeń, dokumentacja), ale to osobne reżimy z osobnymi organami i karami: RODO chroni dane osobowe, KSC — ciągłość i bezpieczeństwo usług oraz systemów. Ten sam incydent może wymagać zgłoszenia i do UODO, i do CSIRT, w różnych terminach. Dobra wiadomość: dokumentacji RODO zwykle da się użyć jako punktu wyjścia.
11. Nie jesteśmy w żadnym sektorze z ustawy — czy temat nas nie dotyczy?
Bezpośrednio może nie, ale jeśli Waszym klientem jest podmiot kluczowy lub ważny (np. dostarczacie komponenty, oprogramowanie, logistykę), to jego ustawowy obowiązek zabezpieczenia łańcucha dostaw spłynie na Was w umowach: wymogi bezpieczeństwa, audyty dostawcy, klauzule o incydentach. Coraz częściej to warunek utrzymania kontraktu, nie przepis.
12. Od czego zacząć i ile to kosztuje?
Kolejność: (1) ustalenie statusu — 10-minutowa checklista, (2) wpis do wykazu (formalność, ale karalna przy zaniechaniu — termin 3.10.2026), (3) ocena zakresu i luk — od ~6 000 zł, z raportem i planem, (4) wdrożenie wg realnych luk, nie katalogu. Zwlekanie podnosi koszt: im bliżej terminów, tym mniejsza dostępność wykonawców i większe spiętrzenie prac.
Pytanie spoza listy? Nie zgadujcie — przekażcie.
Na pytanie o konkretnego klienta odpowiadam do 2 dni roboczych. Pracuję pod Waszą marką albo jako wskazany wykonawca — klient i relacja zostają u Was. Do ustalenia statusu służy checklista kwalifikacji.