Ustawa o KSC (NIS2): co to jest, kogo dotyczy, obowiązki i kary (2026)

3 kwietnia 2026 weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża do polskiego prawa unijną dyrektywę NIS2. Dla wielu firm oznacza to nowe, konkretne obowiązki i realne kary za ich brak. Poniżej wyjaśniamy, czym jest ustawa o KSC, kogo dotyczy, jakie nakłada obowiązki, jakie są terminy i ile wynoszą kary.

Czym jest ustawa o KSC i dyrektywa NIS2?

Ustawa o KSC to polska implementacja dyrektywy NIS2 - unijnego prawa, które podnosi wymagania cyberbezpieczeństwa dla kluczowych sektorów gospodarki. Nowelizacja z 2026 roku rozszerza katalog podmiotów objętych przepisami i dzieli je na dwie kategorie: podmioty kluczowe i podmioty ważne. Różnią się one zakresem nadzoru i wysokością kar, ale podstawowe obowiązki mają zbliżone.

Kogo dotyczy ustawa o KSC?

O tym, czy firma podlega ustawie, decydują trzy kryteria:

• Wielkość - próg to co najmniej 50 pracowników albo roczny obrót powyżej 10 mln euro, albo suma bilansowa powyżej 10 mln euro. Wystarczy spełnić jeden warunek.
• Sektor - ustawa wskazuje sektory kluczowe i ważne, m.in. energetykę, transport, ochronę zdrowia, bankowość, infrastrukturę cyfrową, produkcję i gospodarkę odpadami.
• Kategorie szczególne - dostawcy DNS, rejestry nazw domen, dostawcy usług zaufania i przedsiębiorcy telekomunikacyjni podlegają przepisom niezależnie od wielkości.

Nie masz pewności? Sprawdź swoją firmę w 4 pytaniach w bezpłatnym teście NIS2/KSC - wynik od razu, bez rejestracji.

Jakie obowiązki nakłada ustawa o KSC?

Podmiot kluczowy i ważny musi przede wszystkim:

• zarejestrować się w wykazie podmiotów kluczowych i ważnych,
• wdrożyć środki zarządzania ryzykiem - m.in. polityki bezpieczeństwa, kontrolę dostępu, kopie zapasowe, szkolenia pracowników i procedury obsługi incydentów,
• zgłaszać poważne incydenty do właściwego CSIRT w wyznaczonych terminach,
• zapewnić nadzór kierownictwa nad wdrożeniem środków - odpowiedzialność spoczywa na zarządzie.

Terminy: do kiedy trzeba się dostosować?

• do 3 października 2026 - wpis do wykazu podmiotów kluczowych i ważnych,
• do 3 kwietnia 2027 - wdrożenie środków zarządzania ryzykiem.

Terminy liczą się od wejścia w życie nowelizacji, czyli od 3 kwietnia 2026.

Kary za naruszenie ustawy o KSC

Sankcje są dotkliwe i celowo obejmują też kierownictwo:

• podmiot kluczowy - kara do 10 mln euro lub 2% rocznego obrotu (kwota wyższa),
• kierownik podmiotu - kara do 300% miesięcznego wynagrodzenia,
• organ nadzoru może też nakazać wstrzymanie określonych czynności do czasu usunięcia naruszeń.

NIS2 a RODO i DORA - jak się przenikają?

Ustawa o KSC nie zastępuje RODO ani DORA - te przepisy obowiązują równolegle. RODO chroni dane osobowe, NIS2/KSC bezpieczeństwo sieci i systemów, a DORA odporność cyfrową sektora finansowego. W praktyce obszary się nakładają: incydent może wymagać zgłoszenia zarówno do CSIRT (KSC), jak i do UODO (RODO), jeśli doszło do naruszenia ochrony danych. Firmy z sektora finansowego dodatkowo podlegają DORA.

Co zrobić teraz?

1. Sprawdź, czy podlegasz - zrób bezpłatny test NIS2/KSC.
2. Jeśli tak, zaplanuj wpis do wykazu (do 3 października 2026) i wdrożenie środków (do 3 kwietnia 2027).
3. Zacznij od najszybszego do wdrożenia środka: budowania świadomości pracowników. Szkolenie z cyberbezpieczeństwa to jeden z elementów zarządzania ryzykiem wymaganych przez ustawę. Zobacz szkolenie Cyberbezpieczeństwo dla pracowników i menedżerów - z certyfikatem i rejestrem ukończeń gotowym na kontrolę.

Ten materiał ma charakter informacyjny i nie stanowi porady prawnej. Ostateczną kwalifikację i zakres obowiązków warto potwierdzić z prawnikiem lub działem compliance. Stan prawny: czerwiec 2026, Dz.U. 2026 poz. 252.