2 marca 2026 r. w Dzienniku Ustaw opublikowano nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252), która wdraża do polskiego prawa dyrektywę NIS2. Ustawa zaczyna obowiązywać po 30 dniach od publikacji, czyli 2 kwietnia 2026 r.
Dla wielu firm to moment, w którym pojawia się naturalne pytanie: czy te przepisy w ogóle nas dotyczą? I właśnie od tego warto zacząć.
W praktyce pierwszym krokiem nie jest kupowanie nowych narzędzi bezpieczeństwa ani wdrażanie kolejnych procedur. Najpierw trzeba rzetelnie ustalić, czy organizacja podlega przepisom KSC po nowelizacji i jakie są dla niej konkretne wymagania.
Wiemy, że nowe regulacje znacząco rozszerzają katalog podmiotów objętych zapisami ustawy. Mówiono o tym już w wielu komentarzach dotyczących zmiany w KSC. Dotyczy to organizacji działających w sektorach wskazanych w ustawie oraz spełniających określone kryteria wielkości przedsiębiorstwa lub znaczenia dla funkcjonowania rynku. W praktyce oznacza to, że wiele firm, które dotychczas nie postrzegały siebie jako elementu infrastruktury krytycznej, może znaleźć się w katalogu podmiotów objętych regulacją
Pierwszy krok: analiza kwalifikacyjna
Dlatego pierwszą rozsądną decyzją jest przeprowadzenie analizy kwalifikacyjnej. Nie chodzi o szybkie zgłoszenie się do systemu „na wszelki wypadek”, ale o sprawdzenie kilku rzeczy: czym dokładnie zajmuje się organizacja, jakie są jej kody działalności, jaka jest skala przedsiębiorstwa, jakie są powiązania kapitałowe i czy działalność mieści się w sektorach wskazanych w ustawie.
Taka analiza powinna być udokumentowana i przygotowana przy udziale osób, które naprawdę znają działalność i specyfikę firmy oraz oczywiście potrafią właściwie zinterpretować zapisy ustawy. Dokonaną weryfikację należy potwierdzić w dokumentacji wraz z uzasadnieniem, tak aby organizacja mogła wykazać, w jaki sposób ustaliła swój status.
Dopiero kiedy wiemy, czy podlegamy przepisom i jakim konkretnie, można przejść do kolejnego etapu: sprawdzenia, jak wygląda nasze cyberbezpieczeństwo dziś i co trzeba zmienić.
W wielu organizacjach istnieje już część wymaganych elementów. Wiemy o tym, gdyż prowadzimy audyty w tych obszarach. Są backupy, monitoring bezpieczeństwa, polityki dostępu czy procedury reagowania na incydenty. Nowelizacja ustawy nie oznacza więc zawsze budowania wszystkiego od zera. Często oznacza raczej uporządkowanie tego, co już funkcjonuje, uzupełnienie braków i dopasowanie rozwiązań technologicznych oraz organizacyjnych do realnych wymagań przepisów.
Technologia oczywiście pozostaje ważna. Cyberbezpieczeństwo nie istnieje bez narzędzi, które chronią systemy i dane. Zanim jednak zaczniemy inwestować w nowe rozwiązania, warto wiedzieć, jakie technologie już mamy, jakie środki organizacyjne są wdrożone i które elementy wymagają wzmocnienia. Środków na technologie można wydać ogromną ilość, ale nie o to chodzi. Chodzi o to, aby wydatek był celowany i wynikał z realnych potrzeb bezpieczeństwa.
Cyberbezpieczeństwo jako element zarządzania organizacją
Nowelizacja ustawy przypomina również coś, co w praktyce często było pomijane i przerzucane na działy IT. Cyberbezpieczeństwo jest elementem zarządzania organizacją. Aby system bezpieczeństwa był skuteczny, potrzebne jest zaangażowanie nie tylko IT, ale również kadry zarządzającej.
Zarząd odpowiada między innymi za zapewnienie odpowiednich środków finansowych, umożliwienie pracownikom udziału w szkoleniach oraz budowanie świadomości zagrożeń w organizacji. Dyrektywa NIS2 i nowelizacja KSC podkreślają również konieczność podnoszenia świadomości cyberbezpieczeństwa wśród samej kadry kierowniczej. Osoby podejmujące decyzje muszą rozumieć, z jakimi zagrożeniami mamy dziś do czynienia w świecie cyfrowym i jakie środki są potrzebne, aby chronić organizację.
Ustawa wprowadza również obowiązek stosowania środków zarządzania ryzykiem cyberbezpieczeństwa. Obejmują one m.in. analizę ryzyka systemów informatycznych, procedury reagowania na incydenty, zapewnienie ciągłości działania systemów czy odpowiednie zarządzanie dostępem do informacji.
Dlaczego warto spojrzeć na bezpieczeństwo z zewnątrz
Z doświadczenia pracy z klientami wynika, że największym wyzwaniem wcale nie jest sama technologia. Najtrudniejsze jest zazwyczaj ustalenie, co dokładnie wynika z przepisów dla konkretnej organizacji. Dlatego wiele firm zaczyna od wsparcia zewnętrznego – analizy kwalifikacyjnej, przeglądu stanu cyberbezpieczeństwa oraz przygotowania planu dostosowania do nowych wymagań.
Dlaczego oceniamy to zewnętrznie? Bo wewnętrznie często brakuje nam krytycznego spojrzenia. Łatwo wpaść w sytuację znaną z kultowej bajki „Sąsiedzi”, kiedy wszystko działa jak powiązane na sznurkach, a na końcu patrzymy na efekt pracy i wykonujemy ich słynny gest zadowolenia 🙂
W rzeczywistości jednak system bezpieczeństwa warto czasem obejrzeć z dystansu i zadać sobie kilka niewygodnych pytań. Nie po to, żeby coś na siłę poprawiać, ale żeby mieć pewność, że naprawdę działa tak, jak powinno.
W Hakon Software od ponad 20 lat zajmujemy się bezpieczeństwem IT w firmach z różnych branż i o różnej wielkości. Wiemy, jakie są najczęstsze problemy organizacji i jak pomóc je rozwiązywać. Zaczynamy od analizy podmiotu, wspólnie z klientem, pod kątem podlegania pod przepisy ustawy. Następnie sprawdzamy, jak wygląda obecny poziom bezpieczeństwa systemów IT, jakie technologie są już wykorzystywane i które elementy techniczne lub organizacyjne wymagają wzmocnienia lub poprawy, a które działają bez zarzutu.
Najczęściej zadawane pytania
Jedno z najczęstszych pytań, które pojawia się po publikacji ustawy, brzmi: czy każda średnia firma podlega nowym przepisom? Nie zawsze. Wielkość przedsiębiorstwa jest tylko jednym z kryteriów. Równie ważny jest sektor działalności, charakter świadczonych usług oraz znaczenie firmy dla funkcjonowania gospodarki lub świadczenia usług istotnych z punktu widzenia bezpieczeństwa państwa i społeczeństwa.
Często pojawia się też pytanie, czy po wejściu ustawy w życie trzeba natychmiast zgłosić podleganie pod jej zapisy. W praktyce pierwszym krokiem powinna być analiza kwalifikacyjna. Zgłoszenie bez wcześniejszego sprawdzenia statusu organizacji może prowadzić do niepotrzebnych obowiązków regulacyjnych. Dlatego warto przeprowadzić rzetelną analizę i potwierdzić jej wynik „na piśmie” wraz z uzasadnieniem.
Inna wątpliwość dotyczy technologii. Czy nowe przepisy oznaczają konieczność budowania systemów bezpieczeństwa od podstaw? W wielu organizacjach część wymaganych elementów już funkcjonuje. Często kluczowe jest uporządkowanie istniejących rozwiązań i dopasowanie ich do wymagań ustawy. Dopiero po tej analizie można podejmować decyzje o zakupie technologii – jeżeli jest taka potrzeba i wiemy dokładnie, co oraz dlaczego należy wdrożyć.
Pojawia się również pytanie o standardy takie jak ISO/IEC 27001. Ustawa nie nakłada obowiązku wdrożenia norm ISO i certyfikacji, jednak wypracowane standardy zarządzania bezpieczeństwem informacji są często wykorzystywane jako sprawdzony model budowania systemu bezpieczeństwa w organizacji. Pozwalają one zadawać właściwe pytania i systematycznie doskonalić poziom bezpieczeństwa.
Komentarz
Po publikacji nowelizacji ustawy o KSC w wielu firmach pojawia się naturalna reakcja: co musimy teraz wdrożyć? I na to pytanie powinniśmy odpowiedzieć najpierw.
Dopiero potem można sensownie rozmawiać o technologiach, procedurach i inwestycjach w bezpieczeństwo. W przeciwnym razie łatwo wpaść w pułapkę nadinterpretacji przepisów i wdrażania rozwiązań, które w rzeczywistości nie są wymagane, a bywają kosztowne. Najpierw identyfikacja podmiotu, potem ocena obecnego poziomu bezpieczeństwa, a dopiero na końcu decyzje o zmianach technologicznych i organizacyjnych.
To nie zapisy ustawy są dla naszych organizacji realnym zagrożeniem. Prawdziwym wyzwaniem są zmieniające się zagrożenia cyfrowe. Ustawa i dyrektywa NIS2 mają pomóc organizacjom lepiej się przed nimi chronić i tak powinniśmy do tych przepisów podchodzić. W cyberprzestrzeni nie ma wyrysowanych granic – to jeden wspólny organizm i tylko wspólnie możemy skutecznie stawiać czoła pojawiającym się zagrożeniom.