24/04/2026 / Cybersecurity /

NIS2 w Polsce 2026 – od kiedy obowiązuje i co musi zrobić Twoja firma?

Logo dyrektywy NIS2 i wymagania compliance dla firm w Polsce w 2026 roku

3 kwietnia 2026 roku w Polsce weszły w życie przepisy wdrażające dyrektywę NIS2 do ustawy o krajowym systemie cyberbezpieczeństwa (KSC). To moment, w którym cyberbezpieczeństwo przestaje być „dobrą praktyką”, a staje się obowiązkiem prawnym dla wielu firm.

Jeśli prowadzisz działalność związaną z IT, VoIP, hostingiem, produkcją lub przetwarzaniem danych – ten temat dotyczy bezpośrednio Ciebie.

Kluczowe daty – NIS2 w Polsce

  • 03.04.2026 – wejście w życie przepisów w Polsce
  • do 03.10.2026 – termin na złożenie wniosku o wpis do wykazu podmiotów

Masz 6 miesięcy na działanie – potem zaczyna się realne egzekwowanie przepisów.

Kogo dotyczy NIS2?

NIS2 obejmuje:

  • średnie i duże firmy (≥50 pracowników lub ≥10 mln € obrotu)
  • oraz wybrane mniejsze podmioty z kluczowych sektorów

Najważniejsze branże:

  • IT / hosting / cloud / DNS
  • telekomunikacja i VoIP
  • energetyka, transport
  • bankowość i finanse
  • ochrona zdrowia
  • produkcja i logistyka

Jeśli zarządzasz infrastrukturą IT lub usługami cyfrowymi – istnieje duża szansa, że podlegasz.

Co się zmieniło w 2026?

Najważniejsza zmiana:

to firma sama musi się zgłosić

Od 3 kwietnia 2026:

  • musisz ocenić, czy podlegasz NIS2
  • określić, czy jesteś:
    • podmiotem kluczowym (essential)
    • podmiotem ważnym (important)

Obowiązek wpisu do wykazu

Jeśli Twoja firma kwalifikuje się pod NIS2:

do 3 października 2026 musisz złożyć wniosek o wpis do wykazu

W praktyce oznacza to:

  • rejestrację w systemie krajowym
  • przekazanie danych o działalności i usługach
  • wskazanie osoby odpowiedzialnej za cyberbezpieczeństwo

Czy to jest „pozwolenie”?

Nie.

To nie jest:

  • licencja
  • koncesja
  • certyfikat

To jest obowiązek rejestracji + zgodności (compliance)

Ale skutki są bardzo realne:

  • podlegasz kontrolom
  • musisz spełniać wymagania bezpieczeństwa
  • odpowiada za to zarząd

Jakie obowiązki wprowadza NIS2?

Po wpisie do wykazu firma musi wdrożyć m.in.:

  • analizę ryzyka
  • polityki bezpieczeństwa IT
  • MFA (logowanie wieloskładnikowe)
  • backupy (najlepiej offline)
  • monitoring i logowanie zdarzeń
  • segmentację sieci (VLAN, firewall)
  • procedury reagowania na incydenty

Zgłaszanie incydentów

Obowiązkowe terminy:

  • 24h – zgłoszenie wstępne
  • 72h – raport szczegółowy
  • raport końcowy po analizie

Dotyczy np.:

  • ataków ransomware
  • wycieków danych
  • awarii usług

Kary za brak zgłoszenia i brak zgodności

  • do 10 mln € lub
  • do 2% globalnego obrotu

oraz odpowiedzialność zarządu

Co to oznacza w praktyce?

NIS2 kończy podejście:
„jakoś to działa”
„backup jest gdzieś na serwerze”
„nikt nas nie zaatakuje”

Zamiast tego:
kontrola dostępu + MFA
segmentacja sieci
monitoring i alerty
backup + testy odtworzeń
procedury i dokumentacja

Co powinieneś zrobić teraz?

  1. Sprawdź, czy Twoja firma podlega NIS2
  2. Przygotuj się do zgłoszenia
  3. Złóż wniosek do 03.10.2026
  4. Wdroż podstawowe zabezpieczenia
  5. Przygotuj procedury incydentów

Podsumowanie

03.04.2026 – start przepisów
03.10.2026 – deadline na wpis
obowiązek: samodzielna ocena i zgłoszenie

NIS2 to nie teoria – to realny obowiązek, który będzie kontrolowany.

Najczęściej zadawane pytania

Od kiedy NIS2 obowiązuje w Polsce?
Dyrektywa NIS2 weszła w życie w UE w styczniu 2023, a polska ustawa wdrażająca (nowelizacja KSC) ma być w pełni obowiązująca w 2026 roku. Firmy objęte dyrektywą muszą być zgodne od daty wejścia ustawy.
Czy moja mała firma podlega NIS2?
Dotyczy podmiotów średnich i dużych (>50 zatrudnionych lub >10 mln EUR obrotu) z sektorów kluczowych i ważnych: energetyka, transport, bankowość, infrastruktura cyfrowa, ICT, dostawcy usług zarządzanych IT, produkcja. Mikroprzedsiębiorstwa są zazwyczaj wyłączone — z wyjątkami dla dostawców infrastruktury krytycznej.
Jakie sankcje grożą za brak compliance NIS2?
Dla podmiotów kluczowych — do 10 mln EUR lub 2% obrotu globalnego (większa kwota). Dla podmiotów ważnych — do 7 mln EUR lub 1,4% obrotu. Plus odpowiedzialność osobista zarządu i obowiązek raportowania incydentów w 24/72 godziny.
Co muszę wdrożyć żeby spełnić NIS2?
Zarządzanie ryzykiem cyberbezpieczeństwa, MFA dla dostępów uprzywilejowanych, szyfrowanie danych w spoczynku i tranzycie, backup z testami odtwarzania, plan ciągłości działania (BCP), procedury reagowania na incydenty oraz audyt dostawców (supply chain security).
Czy NIS2 wymaga konkretnego firewalla lub VPN-a?
Nie. Dyrektywa nie wskazuje konkretnych produktów — wymaga adekwatnych środków bezpieczeństwa proporcjonalnych do ryzyka. Można użyć dowolnych rozwiązań (open source lub komercyjnych), pod warunkiem że są poprawnie skonfigurowane i regularnie aktualizowane.