10 mln EUR kary. Czy Twoja firma jest bezpieczna?
Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje od 3 kwietnia 2026 r. i obejmuje ok. 38 tysięcy podmiotów — także średnie firmy produkcyjne, spożywcze i logistyczne, które nigdy nie miały obowiązków „cyber". Wybierz sektor i wielkość firmy, a dostaniesz werdykt z listą obowiązków.
Krok po kroku
Trzy pytania. Werdykt liczony w przeglądarce — nic nie wysyłamy i nie zapisujemy.
Kto jest podmiotem kluczowym, a kto ważnym?
Podmiot kluczowy
- 250+ pracowników lub obrót ponad 50 mln EUR
- sektor z załącznika nr 1 (energia, transport, banki, zdrowie, woda, infrastruktura cyfrowa…)
- nadzór prewencyjny — kontrole bez incydentu
- kary do 10 mln EUR lub 2% obrotu
Podmiot ważny
- 50–249 pracowników lub obrót 10–50 mln EUR (zał. 1)
- albo średnia/duża firma z załącznika nr 2 (poczta, odpady, chemia, żywność, produkcja, usługi cyfrowe…)
- nadzór reaktywny — po incydencie lub sygnale
- kary do 7 mln EUR lub 1,4% obrotu
Obowiązki i kary w pigułce
| Obowiązek | Termin |
|---|---|
| Rejestracja w wykazie podmiotów kluczowych i ważnych (wykaz-ksc.gov.pl) | do 3.10.2026* |
| Wdrożenie systemu zarządzania bezpieczeństwem informacji (analiza ryzyka, polityki, ciągłość działania, łańcuch dostaw) | 12 mies. od wpisu |
| Zgłoszenie incydentu poważnego — wczesne ostrzeżenie do CSIRT | 24 h |
| Zgłoszenie incydentu — pełne zgłoszenie | 72 h |
| Szkolenia kierownictwa z cyberbezpieczeństwa + osobista odpowiedzialność zarządu | ciągłe |
* dla podmiotów, które spełniały kryteria w dniu wejścia ustawy w życie (3.04.2026); pozostałe — 6 miesięcy od dnia spełnienia kryteriów. Kary: podmiot kluczowy do 10 mln EUR lub 2% rocznego obrotu, podmiot ważny do 7 mln EUR lub 1,4%; dodatkowo kara dla kierownika podmiotu do 300% wynagrodzenia.
NIS2 to nie jedyny zegar compliance, który tyka w 2026 r. — drugi to KSeF: kary i numer faktury w przelewach od 1.01.2027. Sprawdź swój termin.
Za ... dni koniec okresu rejestracji
Zostaw adres — przypomnimy o zbliżającym się terminie i damy znać natychmiast, gdy zmienią się przepisy lub pojawią się nowe interpretacje Ministerstwa Cyfryzacji. Zero spamu.
Wdrożenie NIS2 to w praktyce uporządkowanie procesów IT: inwentaryzacja systemów, dokumentacja, automatyzacja raportowania. Jeśli potrzebujesz do tego rąk — umów konsultację.
Częste pytania
Od kiedy obowiązuje nowa ustawa o KSC (NIS2) w Polsce?
Czy mała firma (poniżej 50 pracowników) podlega NIS2?
Czym różni się podmiot kluczowy od ważnego?
Jak zarejestrować firmę w wykazie podmiotów kluczowych i ważnych?
Co grozi za brak rejestracji lub niewdrożenie wymogów?
Moja firma nie podlega — czy NIS2 mnie w ogóle dotyczy?
Narzędzie informacyjne — nie stanowi porady prawnej. Kwalifikacja konkretnego podmiotu zależy od szczegółów działalności (kody PKD, rodzaj usług) i wymaga analizy prawnej. Stan prawny na 7.07.2026.