MASTERJEDI.LTD / narzędzia
ustawa o KSC · wdrożenie NIS2 · Dz.U. 2026 poz. 252

10 mln EUR kary. Czy Twoja firma jest bezpieczna?

Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje od 3 kwietnia 2026 r. i obejmuje ok. 38 tysięcy podmiotów — także średnie firmy produkcyjne, spożywcze i logistyczne, które nigdy nie miały obowiązków „cyber". Wybierz sektor i wielkość firmy, a dostaniesz werdykt z listą obowiązków.

termin rejestracji w wykazie
3.10.2026
dla podmiotów spełniających kryteria 3.04.2026 · wykaz-ksc.gov.pl
checker

Krok po kroku

Trzy pytania. Werdykt liczony w przeglądarce — nic nie wysyłamy i nie zapisujemy.

1 Sektor
2 Wielkość
3 Szczególne
01W jakim sektorze działa firma?kolor oznacza załącznik ustawy — czerwony: nr 1 (kluczowe), złoty: nr 2 (ważne)
02Jak duża jest firma?liczy się zatrudnienie LUB obrót — wystarczy jedno kryterium
03Przypadki szczególnezaznacz tylko, jeśli dotyczy — te podmioty podlegają niezależnie od wielkości
Wybierz sektor (krok 1) i wielkość firmy (krok 2).
Werdykt checkera · ustawa o KSC (NIS2)masterjedi.ltd/nis2

    Co dalej?

    Zarejestruj w wykazie →
    Werdykt orientacyjny na podstawie deklaracji — kwalifikację prawną potwierdź z obsługą prawną. Stan prawny: 7.07.2026.
    jak działa kwalifikacja

    Kto jest podmiotem kluczowym, a kto ważnym?

    Podmiot kluczowy

    duża firma × załącznik nr 1
    • 250+ pracowników lub obrót ponad 50 mln EUR
    • sektor z załącznika nr 1 (energia, transport, banki, zdrowie, woda, infrastruktura cyfrowa…)
    • nadzór prewencyjny — kontrole bez incydentu
    • kary do 10 mln EUR lub 2% obrotu

    Podmiot ważny

    średnia × załącznik nr 1 · średnia/duża × załącznik nr 2
    • 50–249 pracowników lub obrót 10–50 mln EUR (zał. 1)
    • albo średnia/duża firma z załącznika nr 2 (poczta, odpady, chemia, żywność, produkcja, usługi cyfrowe…)
    • nadzór reaktywny — po incydencie lub sygnale
    • kary do 7 mln EUR lub 1,4% obrotu
    §Niezależnie od wielkości: dostawcy usług DNS, rejestry TLD, kwalifikowani dostawcy usług zaufania, operatorzy infrastruktury krytycznej i przedsiębiorcy telekomunikacyjni.
    Mikro i małe firmy spoza przypadków szczególnych nie podlegają ustawie wprost — ale jeśli ich klienci są w wykazie, dostaną ankiety i audyty łańcucha dostaw.
    terminy i sankcje

    Obowiązki i kary w pigułce

    ObowiązekTermin
    Rejestracja w wykazie podmiotów kluczowych i ważnych (wykaz-ksc.gov.pl)do 3.10.2026*
    Wdrożenie systemu zarządzania bezpieczeństwem informacji (analiza ryzyka, polityki, ciągłość działania, łańcuch dostaw)12 mies. od wpisu
    Zgłoszenie incydentu poważnego — wczesne ostrzeżenie do CSIRT24 h
    Zgłoszenie incydentu — pełne zgłoszenie72 h
    Szkolenia kierownictwa z cyberbezpieczeństwa + osobista odpowiedzialność zarząduciągłe

    * dla podmiotów, które spełniały kryteria w dniu wejścia ustawy w życie (3.04.2026); pozostałe — 6 miesięcy od dnia spełnienia kryteriów. Kary: podmiot kluczowy do 10 mln EUR lub 2% rocznego obrotu, podmiot ważny do 7 mln EUR lub 1,4%; dodatkowo kara dla kierownika podmiotu do 300% wynagrodzenia.

    NIS2 to nie jedyny zegar compliance, który tyka w 2026 r. — drugi to KSeF: kary i numer faktury w przelewach od 1.01.2027. Sprawdź swój termin.

    nie przegap terminu

    Za ... dni koniec okresu rejestracji

    Zostaw adres — przypomnimy o zbliżającym się terminie i damy znać natychmiast, gdy zmienią się przepisy lub pojawią się nowe interpretacje Ministerstwa Cyfryzacji. Zero spamu.

    Ostatnia zmiana przepisów: Wdrożenie Dyrektywy NIS2 do polskiego prawa (KSC) od 3 kwietnia 2026 r.

    Wdrożenie NIS2 to w praktyce uporządkowanie procesów IT: inwentaryzacja systemów, dokumentacja, automatyzacja raportowania. Jeśli potrzebujesz do tego rąk — umów konsultację.

    FAQ

    Częste pytania

    Od kiedy obowiązuje nowa ustawa o KSC (NIS2) w Polsce?
    Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w życie 3 kwietnia 2026 r. (Dz.U. 2026 poz. 252). Podmioty spełniające kryteria w tym dniu mają czas na rejestrację w wykazie do 3 października 2026 r.
    Czy mała firma (poniżej 50 pracowników) podlega NIS2?
    Co do zasady nie — ustawa obejmuje firmy średnie i duże z sektorów wymienionych w załącznikach. Wyjątki niezależne od wielkości to m.in. dostawcy DNS, rejestry TLD, usługi zaufania i telekomunikacja. Mała firma może jednak zostać objęta audytem łańcucha dostaw przez swoich klientów z wykazu.
    Czym różni się podmiot kluczowy od ważnego?
    Podmiot kluczowy (co do zasady duże firmy z sektorów załącznika nr 1) podlega ostrzejszemu nadzorowi — w tym kontrolom prewencyjnym — i wyższym karom (do 10 mln EUR lub 2% obrotu). Podmiot ważny (średnie firmy z załącznika nr 1 oraz średnie i duże z załącznika nr 2) jest nadzorowany reaktywnie, a kary sięgają 7 mln EUR lub 1,4% obrotu.
    Jak zarejestrować firmę w wykazie podmiotów kluczowych i ważnych?
    Elektronicznie przez portal wykaz-ksc.gov.pl (system S46), z podpisem elektronicznym. Część podmiotów (np. dotychczasowi operatorzy usług kluczowych, podmioty publiczne) została zarejestrowana automatycznie — warto to zweryfikować zamiast zakładać.
    Co grozi za brak rejestracji lub niewdrożenie wymogów?
    Kary administracyjne do 10 mln EUR lub 2% rocznego obrotu (podmioty kluczowe) albo do 7 mln EUR lub 1,4% (podmioty ważne). Nowością jest osobista odpowiedzialność kierownictwa — kara dla kierownika podmiotu może wynieść do 300% jego wynagrodzenia.
    Moja firma nie podlega — czy NIS2 mnie w ogóle dotyczy?
    Pośrednio może dotyczyć: podmioty z wykazu mają obowiązek zarządzania ryzykiem w łańcuchu dostaw, więc będą wymagać od swoich dostawców (także małych software house'ów i firm IT) wykazania środków bezpieczeństwa. Brak odpowiedzi na taki audyt może oznaczać utratę kontraktu.

    Narzędzie informacyjne — nie stanowi porady prawnej. Kwalifikacja konkretnego podmiotu zależy od szczegółów działalności (kody PKD, rodzaj usług) i wymaga analizy prawnej. Stan prawny na 7.07.2026.