Le référentiel national qui rend NIS 2 mesurable en Polska, c'est le Krajowy System Cyberbezpieczeństwa (art. 8 UKSC + NSC). Art. 8 ust. 1 UKSC nakłada obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji w pięciu obszarach środków technicznych i organizacyjnych, proporcjonalnych do oszacowanego ryzyka. Warstwą metodyczną są Narodowe Standardy Cyberbezpieczeństwa (NSC, KPRM), oparte na standardach NIST.
Statut du référentiel : w mocy — wdrażanie środków w okresie 12 miesięcy
Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw
En vigueur : 2026-04-03
Minister Cyfryzacji (Ministerstwo Cyfryzacji) (MC)
https://www.gov.pl/web/cyfryzacjaKrajowy System Cyberbezpieczeństwa (art. 8 UKSC + NSC)
5 obszarów art. 8 ust. 1 pkt 1-5 UKSC (zarządzanie ryzykiem; środki techniczne i organizacyjne; informacje o cyberzagrożeniach; zarządzanie incydentami; zapobieganie i ograniczanie wpływu incydentów). Szczegółowe wymagania doprecyzuje rozporządzenie wykonawcze.
Duże podmioty w sektorach o wysokiej krytyczności. Nadzór bardziej proaktywny; wyższy pułap kar.
Podmioty średniej wielkości oraz podmioty z pozostałych objętych sektorów. Nadzór zasadniczo reaktywny (po incydencie lub przesłance).
Régime antérieur : UKSC z 2018 r. (Dz.U. 2018 poz. 1560). Nowelizacja rozszerza zakres podmiotowy względem ustawy z 2018 r.; nie publikuje się stałej liczby podmiotów objętych (wykaz jest dynamiczny, prowadzony w systemie S46).
2026-03-02
Ogłoszenie nowelizacji UKSC w Dzienniku Ustaw (Dz.U. 2026 poz. 252).
2026-04-03
Wejście w życie nowelizacji UKSC (miesiąc po ogłoszeniu).
2026-10-03
Termin złożenia wniosku o wpis do wykazu (system S46) przez podmioty kluczowe i ważne; 6 miesięcy na samoidentyfikację statusu.
~2027-04
Wdrożenie środków zarządzania ryzykiem (art. 8 UKSC) — okres 12 miesięcy od wejścia w życie.
~2028-04
Kary pieniężne mogą być nakładane nie wcześniej niż 2 lata po wejściu nowelizacji w życie.
Notification d'incident : 24 h (pré-alerte) / 72 h (notification) / 1 miesiąc (rapport final), auprès de właściwy CSIRT (CSIRT NASK / GOV / MON; dla sektora ogólnego i prywatnego: CSIRT NASK, incydent.cert.pl).
Podmioty publiczne i samorządowe świadczące usługi obywatelom często mieszczą się w zakresie KSC. Zgłoszenia incydentów dla administracji rządowej obsługuje CSIRT GOV, a dla pozostałych podmiotów publicznych właściwy jest zwykle CSIRT NASK.
Sektory o wysokiej krytyczności (energia, woda, transport, ochrona zdrowia, bankowość) zaliczają duże podmioty do kategorii kluczowych, z bardziej proaktywnym nadzorem i wyższym pułapem kar.
Dostawcy usług zarządzanych (MSP), dostawcy chmury, centra danych i operatorzy ICT są objęci ustawą, a coraz częściej także pośrednio, przez wymagania due diligence dużych klientów (bezpieczeństwo łańcucha dostaw, art. 8 ust. 1 pkt 2 lit. e UKSC).
Dernière vérification : 2026-06-29 · prochaine re-vérification prévue après 2026-09-29.