Kancelaria Kozłowski — Law & Compliance
Członek
KIRP Krajowa Izba Radców Prawnych
Dyrektywa NIS2 — ustawa o KSC

Cyberbezpieczeństwo to już nie kwestia wyboru.
To obowiązek prawny z osobistą odpowiedzialnością.

Łączymy prawo, compliance i wiedzę technologiczną w jednym zespole — dlatego wdrażamy NIS2 tak, by system bezpieczeństwa informacji współdziałał z RODO i AI Act od pierwszego dnia. Nie sprzedajemy gotowych produktów. Projektujemy rozwiązania, które utrzymują zgodność bez powtarzania kosztów wdrożenia co rok.

Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w życie 3 kwietnia 2026. Podmioty kluczowe i ważne — od gmin i szpitali, przez spółki komunalne, po przedsiębiorstwa prywatne w sektorach krytycznych — muszą wdrożyć System Zarządzania Bezpieczeństwem Informacji w określonych terminach. Kary sięgają 10 mln EUR.

TERMINY NIS2
03.04.2026 — Ustawa o KSC — obowiązuje 03.10.2026 — Obowiązkowa samoidentyfikacja w wykazie KSC 03.04.2027 — Wdrożenie SZBI — koniec okresu przejściowego 03.04.2028 — Pierwszy obowiązkowy audyt bezpieczeństwa 03.04.2026 — Ustawa o KSC — obowiązuje 03.10.2026 — Obowiązkowa samoidentyfikacja w wykazie KSC 03.04.2027 — Wdrożenie SZBI — koniec okresu przejściowego 03.04.2028 — Pierwszy obowiązkowy audyt bezpieczeństwa

NIS2 to za mało!

Wdrożenie NIS2 w oderwaniu od pozostałych reżimów regulacyjnych — RODO i AI Act — nie jest wdrożeniem. To generowanie kosztów, które w ciągu 12 miesięcy trzeba będzie ponieść ponownie.

3 w 1 — trzy reżimy w jednym wdrożeniu 3 w 1 — Trzy reżimy w jednym wdrożeniu

NIS2, RODO i AI Act mają wspólne obszary — zarządzanie ryzykiem, procedury incydentowe, dokumentacja. Wdrażamy je razem, w ramach jednego projektu, bez mnożenia kosztów. Jeden audyt zamiast trzech.

-60% kosztów — konsolidacja CUW −60% kosztów — Mechanizmy prawne obniżające koszty

Ustawodawca przewidział możliwość konsolidacji wdrożeń — np. poprzez Centra Usług Wspólnych (CUW). Wykorzystujemy te mechanizmy, by optymalizować koszty wdrożenia nawet o 60% — szczególnie dla samorządów obsługujących wiele jednostek organizacyjnych.

Technologia dopasowana do budżetu Technologia dopasowana do budżetu

Nie sprzedajemy konkretnych produktów IT. Dobieramy rozwiązania technologiczne dopasowane do wielkości organizacji i realnego budżetu — od małej gminy po dużą spółkę komunalną. Bezstronnie, bez konfliktu interesów.

Shadow AI — zagrożenie Shadow AI — cicha bomba w Twojej organizacji

Wdrożysz NIS2, opracujesz procedury, przeszkolisz zespół — a pracownik wklei dane osobowe do ChatGPT, żeby „szybciej napisać pismo". Bez wdrożenia AI Act i polityki korzystania z AI, jedno narzędzie w rękach nieświadomego urzędnika może naruszyć jednocześnie NIS2, RODO i AI Act. To nie teoria — to codzienność polskich urzędów.

Tylko zespół łączący wiedzę prawną, kompetencje technologiczne i doświadczenie w doradztwie regulacyjnym — zarówno dla sektora prywatnego, jak i administracji publicznej — jest w stanie zaprojektować wdrożenie, które uwzględnia wszystkie reżimy jednocześnie i nie wymaga powtarzania za rok.

01

Osobista odpowiedzialność kierownika jednostki

Znowelizowana ustawa o KSC nakłada bezpośrednią, osobistą odpowiedzialność za stan cyberbezpieczeństwa na wójta, burmistrza i prezydenta miasta. To nie jest odpowiedzialność delegowalna na informatyka urzędu ani na zewnętrzną firmę IT.

Organ nadzoru nie pyta „czy ktoś się tym zajmuje". Pyta: czy kierownik podmiotu zapewnił wdrożenie systemu zarządzania bezpieczeństwem informacji, czy przeprowadzono analizę ryzyka, czy istnieją procedury reagowania na incydenty, czy kadra przeszła szkolenia.

Konsekwencje: kary finansowe nakładane bezpośrednio na osobę pełniącą funkcję kierowniczą — niezależnie od budżetu gminy.

02

Kogo obejmuje ustawa w samorządzie

Jednostki samorządu terytorialnego podlegają niezależnie od wielkości — progi 50 pracowników / 10 mln EUR obrotu nie obowiązują dla sektora publicznego. Gmina licząca 5 000 mieszkańców podlega tym samym obowiązkom co metropolia.

Podmioty kluczowe (Załącznik I)

  • Urząd gminy / miasta
  • Spółki wodociągowo-kanalizacyjne (ZWiK)
  • Ciepłownie i zakłady energetyczne (MPEC, ZEC)
  • Publiczne zakłady opieki zdrowotnej (SPZOZ)

Podmioty ważne (Załącznik II)

  • Szkoły i przedszkola
  • Gminne Ośrodki Pomocy Społecznej
  • Domy Pomocy Społecznej
  • Biblioteki, muzea, domy kultury

Każda z tych jednostek podlega obowiązkowi rejestracji w wykazie KSC, wdrożenia SZBI i raportowania incydentów. Pytanie brzmi: czy wdrażać to osobno dla każdej — czy istnieją rozwiązania pozwalające na konsolidację?

03

Konsekwencje fragmentarycznego wdrożenia

Większość dostępnych na rynku ofert obejmuje wyłącznie jeden wycinek problemu: szkolenie z cyberbezpieczeństwa, audyt SZBI albo dostawę sprzętu IT. Żadna z tych usług nie stanowi wdrożenia w rozumieniu ustawy.

Firma IT wdroży technologię — ale nie zaktualizuje rejestru czynności przetwarzania, nie zintegruje procedur incydentowych z obowiązkiem 72-godzinnego zgłoszenia naruszenia RODO i nie uwzględni systemów AI w analizie ryzyka.
Audytor SZBI wyda certyfikat — ale nie powie, że chatbot na stronie urzędu lub system automatycznej obsługi wniosków wymaga oceny wpływu na prawa podstawowe pod AI Act.
Szkoleniowiec przeprowadzi warsztaty — ale nie przygotuje dokumentacji, nie zaktualizuje polityk bezpieczeństwa i nie wdroży mechanizmów monitorowania zgodności w czasie.

Efekt: organizacja wydaje budżet na trzy osobne usługi, z których żadna nie zapewnia kompleksowej zgodności — a odpowiedzialność za luki nadal spoczywa na kierowniku jednostki.

04

Nasze podejście — prawo, technologia, bezstronność

Kancelaria Kozłowski łączy trzy kompetencje, które na rynku usług dla samorządów nie występują razem:

Prawo regulacyjne

Zespół prawników specjalizujących się w NIS2, RODO i AI Act — z doświadczeniem zarówno w sektorze prywatnym, jak i administracji publicznej. Każdy dokument podpisany przez radcę prawnego z OC 10 mln PLN.

Kompetencje technologiczne

Znamy architekturę systemów SIEM, EDR, SOC, MFA i segmentacji sieci — na tyle głęboko, by zaprojektować wymagania techniczne, przygotować specyfikację i ocenić oferty dostawców. Nie sprzedajemy sprzętu — doradzamy, co kupić i od kogo.

Bezstronność

Nie jesteśmy dystrybutorem żadnego producenta. Nie mamy umów partnerskich z dostawcami sprzętu ani oprogramowania. Rekomendujemy rozwiązania wyłącznie na podstawie potrzeb organizacji — i negocjujemy warunki u dostawców w interesie klienta.

Projektujemy kompletne wdrożenia — od dokumentacji SZBI zintegrowanej z RODO i AI Act, przez dobór i negocjację rozwiązań technologicznych, po szkolenie kadry zarządzającej i przygotowanie do pierwszego audytu. Jedna kancelaria, jeden odpowiedzialny zespół, jedno spójne wdrożenie — zamiast trzech niepowiązanych faktur od trzech niepowiązanych dostawców.

Dla samorządów obsługujących wiele jednostek organizacyjnych projektujemy rozwiązania uwzględniające możliwości konsolidacji przewidziane przez ustawodawcę — pozwalające na znaczącą optymalizację kosztów bez obniżania poziomu zabezpieczeń.

Bezpłatna konsultacja dla jednostek samorządu terytorialnego

30-minutowa rozmowa z prawnikiem specjalizującym się w cyberbezpieczeństwie sektora publicznego. Ustalamy: które jednostki organizacyjne podlegają ustawie, jakie obowiązki są najpilniejsze i jakie podejście wdrożeniowe będzie najefektywniejsze w Państwa przypadku.

Umów konsultację
01

Kogo obejmuje ustawa w sektorze prywatnym

Przedsiębiorstwa prywatne podlegają NIS2, jeśli spełniają dwa warunki jednocześnie: prowadzą działalność w sektorze wymienionym w Załączniku I lub II oraz przekraczają progi wielkościowe (50+ pracowników lub 10+ mln EUR obrotu rocznego).

Sektory kluczowe (Załącznik I)

  • Energetyka (elektryczność, ciepłownictwo, gaz, ropa, wodór)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynku finansowego
  • Ochrona zdrowia
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa i usługi ICT
  • Przestrzeń kosmiczna

Sektory ważne (Załącznik II)

  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja chemiczna i spożywcza
  • Produkcja wyrobów medycznych
  • Dostawcy usług cyfrowych
  • Badania naukowe
02

Konsekwencje braku zgodności

Kary finansowe: do 10 mln EUR lub 2% globalnego obrotu rocznego dla podmiotów kluczowych; do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych.
Odpowiedzialność zarządu: członkowie organów zarządzających odpowiadają osobiście za zapewnienie zgodności ze środkami zarządzania ryzykiem (art. 32 dyrektywy).
Obowiązek zgłaszania incydentów: 24 godziny na wstępne powiadomienie, 72 godziny na pełny raport, 1 miesiąc na sprawozdanie końcowe. Brak zgłoszenia = osobna podstawa kary.
Ryzyko reputacyjne: organ nadzoru może nakazać publiczne ujawnienie naruszenia — informacja o braku zgodności staje się publicznie dostępna.
03

Zakres wymaganej dokumentacji

Art. 21 dyrektywy NIS2 wymaga wdrożenia środków zarządzania ryzykiem obejmujących co najmniej 10 obszarów — od analizy ryzyka, przez obsługę incydentów i ciągłość działania, po bezpieczeństwo łańcucha dostaw i kryptografię. Nasza dokumentacja pokrywa każdy z tych obszarów.

Kluczowe: dokumentacja NIS2 nie funkcjonuje w próżni. Procedura reagowania na incydent musi uwzględniać 72-godzinne okno RODO. Analiza ryzyka musi obejmować systemy AI. Polityka łańcucha dostaw musi adresować wymogi DORA, jeśli organizacja operuje w sektorze finansowym.

Przygotowujemy 17 dokumentów NIS2 zintegrowanych z istniejącą dokumentacją regulacyjną klienta — lub projektujemy pakiet łączony (NIS2 + RODO + AI Act) od podstaw, eliminując duplikację i sprzeczności.

Szczegółowa lista dokumentów pakietu NIS2 →
04

Dlaczego Kancelaria Kozłowski

Zintegrowane podejście regulacyjne

Nie wdrażamy „samego NIS2". Każdy pakiet jest projektowany z uwzględnieniem RODO, AI Act i — w przypadku sektora finansowego — DORA i PSD2. Jedno wdrożenie zamiast wielu nakładających się projektów.

Kompetencje technologiczne bez konfliktu interesów

Rozumiemy systemy SIEM, EDR, NGFW, segmentację sieci i backup immutable — ale nie sprzedajemy żadnego z nich. Dobieramy rozwiązania obiektywnie i wspieramy negocjacje z dostawcami.

Doświadczenie branżowe

Ponad 50 branż w portfolio. Biblioteka 230+ ankiet diagnostycznych dopasowanych do specyfiki sektorowej. Każde wdrożenie poprzedza analiza modelu biznesowego — nie stosujemy szablonów.

Sprawdź, czy Twoja firma podlega NIS2

Bezpłatna 30-minutowa konsultacja: weryfikujemy sektor, wielkość i zakres obowiązków Twojej organizacji. Ustalamy priorytety wdrożeniowe i optymalny pakiet regulacyjny.

Umów konsultację