← Retour à Reglyze
Transposée — application échelonnée

NIS 2 en Polska : Krajowy System Cyberbezpieczeństwa (art. 8 UKSC + NSC)

Le référentiel national qui rend NIS 2 mesurable en Polska, c'est le Krajowy System Cyberbezpieczeństwa (art. 8 UKSC + NSC). Art. 8 ust. 1 UKSC nakłada obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji w pięciu obszarach środków technicznych i organizacyjnych, proporcjonalnych do oszacowanego ryzyka. Warstwą metodyczną są Narodowe Standardy Cyberbezpieczeństwa (NSC, KPRM), oparte na standardach NIST.

Statut du référentiel : w mocy — wdrażanie środków w okresie 12 miesięcy

L'essentiel en un coup d'œil

Loi de transposition

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw

En vigueur : 2026-04-03

Autorité compétente

Minister Cyfryzacji (Ministerstwo Cyfryzacji) (MC)

https://www.gov.pl/web/cyfryzacja
Référentiel national

Krajowy System Cyberbezpieczeństwa (art. 8 UKSC + NSC)

5 obszarów art. 8 ust. 1 pkt 1-5 UKSC (zarządzanie ryzykiem; środki techniczne i organizacyjne; informacje o cyberzagrożeniach; zarządzanie incydentami; zapobieganie i ograniczanie wpływu incydentów). Szczegółowe wymagania doprecyzuje rozporządzenie wykonawcze.

Sanctions
  • podmiot kluczowy : jusqu'à 10 M€ ou 2 % du CA mondial
  • podmiot ważny : jusqu'à 7 M€ ou 1.4 % du CA mondial

Qui est concerné ?

podmiot kluczowy

Duże podmioty w sektorach o wysokiej krytyczności. Nadzór bardziej proaktywny; wyższy pułap kar.

podmiot ważny

Podmioty średniej wielkości oraz podmioty z pozostałych objętych sektorów. Nadzór zasadniczo reaktywny (po incydencie lub przesłance).

Régime antérieur : UKSC z 2018 r. (Dz.U. 2018 poz. 1560). Nowelizacja rozszerza zakres podmiotowy względem ustawy z 2018 r.; nie publikuje się stałej liczby podmiotów objętych (wykaz jest dynamiczny, prowadzony w systemie S46).

Échéances clés

2026-03-02

Ogłoszenie nowelizacji UKSC w Dzienniku Ustaw (Dz.U. 2026 poz. 252).

2026-04-03

Wejście w życie nowelizacji UKSC (miesiąc po ogłoszeniu).

2026-10-03

Termin złożenia wniosku o wpis do wykazu (system S46) przez podmioty kluczowe i ważne; 6 miesięcy na samoidentyfikację statusu.

~2027-04

Wdrożenie środków zarządzania ryzykiem (art. 8 UKSC) — okres 12 miesięcy od wejścia w życie.

~2028-04

Kary pieniężne mogą być nakładane nie wcześniej niż 2 lata po wejściu nowelizacji w życie.

Notification d'incident : 24 h (pré-alerte) / 72 h (notification) / 1 miesiąc (rapport final), auprès de właściwy CSIRT (CSIRT NASK / GOV / MON; dla sektora ogólnego i prywatnego: CSIRT NASK, incydent.cert.pl).

Secteurs prioritaires

Administracja publiczna i samorząd

Podmioty publiczne i samorządowe świadczące usługi obywatelom często mieszczą się w zakresie KSC. Zgłoszenia incydentów dla administracji rządowej obsługuje CSIRT GOV, a dla pozostałych podmiotów publicznych właściwy jest zwykle CSIRT NASK.

Energetyka, woda, transport i ochrona zdrowia

Sektory o wysokiej krytyczności (energia, woda, transport, ochrona zdrowia, bankowość) zaliczają duże podmioty do kategorii kluczowych, z bardziej proaktywnym nadzorem i wyższym pułapem kar.

Dostawcy usług ICT i łańcuch dostaw

Dostawcy usług zarządzanych (MSP), dostawcy chmury, centra danych i operatorzy ICT są objęci ustawą, a coraz częściej także pośrednio, przez wymagania due diligence dużych klientów (bezpieczeństwo łańcucha dostaw, art. 8 ust. 1 pkt 2 lit. e UKSC).

Questions fréquentes

Jaka ustawa wdraża w Polsce wymogi cyberbezpieczeństwa KSC?
Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), w brzmieniu nadanym nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252), ogłoszoną 2 marca 2026 r. i obowiązującą od 3 kwietnia 2026 r. Organem właściwym jest Minister Cyfryzacji.
Od kiedy obowiązują nowe obowiązki w Polsce?
Nowelizacja obowiązuje od 3 kwietnia 2026 r. Podmioty kluczowe i ważne mają czas na wpis do wykazu (system S46) do 3 października 2026 r., a na wdrożenie środków zarządzania ryzykiem okres 12 miesięcy. Kary pieniężne mogą być nakładane nie wcześniej niż 2 lata po wejściu w życie.
Jakie są kary w Polsce?
Dla podmiotów kluczowych do 10 mln euro lub 2% rocznego obrotu (minimum 20 000 zł), dla podmiotów ważnych do 7 mln euro lub 1,4% (minimum 15 000 zł). W szczególnych przypadkach zagrażających obronności, bezpieczeństwu państwa, życiu lub zdrowiu kara może sięgnąć 100 mln zł.
Komu i jak zgłasza się incydent?
Poważny incydent zgłasza się do właściwego CSIRT przez portal incydent.cert.pl: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin, sprawozdanie końcowe w ciągu 1 miesiąca. Dla sektora ogólnego i prywatnego właściwy jest CSIRT NASK.

Prêt à vous mettre en conformité NIS 2 en Polska ?

Reglyze utilise l'IA pour vous rendre conforme simplement et rapidement — cadrage, évaluation des écarts et génération de politiques alignées sur le Krajowy System Cyberbezpieczeństwa (art. 8 UKSC + NSC).