Prezydent podpisał nowelizację ustawy o KSC. Wkrótce zacznie obowiązywać NIS2

19 lutego 2026 r. Prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowe przepisy wdrażają w Polsce Dyrektywę NIS2. Oznacza to, że firmy muszą przygotować się na istotne zmiany.

Ustawa trafi teraz do ogłoszenia w Dzienniku Ustaw. Następnie rozpocznie się okres vacatio legis. W praktyce nowe obowiązki zaczną obowiązywać już w najbliższych tygodniach. Jednocześnie Prezydent skierował do Trybunału Konstytucyjnego wniosek o kontrolę przepisów dotyczących dostawców wysokiego ryzyka, jednak decyzja ta nie wstrzymuje wejścia ustawy w życie.

Co zmienia nowelizacja ustawy o KSC?

Nowelizacja znacząco rozszerza katalog podmiotów objętych przepisami. Do systemu wejdą m.in. nowe sektory, takie jak gospodarka wodno-ściekowa, usługi pocztowe, produkcja żywności, chemikaliów czy obszar kosmiczny. W związku z tym wiele firm po raz pierwszy zostanie objętych nowymi obowiązkami w ramach KSC.

Ponadto ustawa wprowadza podział na podmioty kluczowe i podmioty ważne. W konsekwencji wzrośnie zakres obowiązków organizacyjnych i technicznych.

Najważniejsze zmiany obejmują:

obowiązek wdrożenia adekwatnych środków bezpieczeństwa,
nowe zasady zgłaszania incydentów do CSIRT,
zwiększone uprawnienia organów nadzorczych,
osobistą odpowiedzialność członków zarządu,
wysokie kary finansowe, sięgające nawet 10 mln euro lub procentu przychodów.

Co istotne, przedsiębiorcy będą musieli przeprowadzić analizę ryzyka, zaktualizować procedury oraz przeszkolić pracowników. Dodatkowo organy nadzorcze zyskają możliwość wydawania ostrzeżeń, nakazów oraz decyzji dotyczących audytów bezpieczeństwa.

Czas na przygotowanie organizacji

Chociaż ustawa jeszcze nie obowiązuje, firmy powinny działać już teraz. Im szybciej organizacja oceni swój poziom zgodności, tym mniejsze ryzyko sankcji oraz przestojów operacyjnych.

Dlatego przygotowaliśmy bezpłatny e-book opracowany z ekspertami IT i audytorami NIS2. Znajdziesz w nim: