Sieć cyberbezpieczeństwa z węzłami i połączeniami — ilustracja do artykułu o samoidentyfikacji NIS2

3 października 2026 roku to data, która zaskoczy wiele polskich firm i instytucji. Do tego dnia każdy podmiot objęty dyrektywą NIS2 musi sam zidentyfikować się jako essential lub important i zarejestrować się w rejestrze prowadzonym przez Ministerstwo Cyfryzacji. Bez czekania na pismo z urzędu. Bez urzędowej listy podmiotów. Bez osobistego zaproszenia. Wystarczy, że spełniają kryteria — a obowiązek powstaje z mocy prawa.

To zasadnicza zmiana w stosunku do wcześniejszej praktyki nadzorczej, w której to organy państwa identyfikowały podmioty regulowane. Pod NIS2 i polską ustawą o krajowym systemie cyberbezpieczeństwa (UKSC) — odpowiedzialność za samoidentyfikację spoczywa na samym podmiocie. Zaniechanie tego obowiązku to nie tylko sankcja administracyjna, ale osobista odpowiedzialność członków zarządu zgodnie z art. 32 NIS2.

Dlaczego sytuacja w Polsce jest szczególna

Polska ustawa o krajowym systemie cyberbezpieczeństwa po nowelizacji z 23 stycznia 2026 (Dz.U. 2026 poz. 252) wprowadziła trzy kluczowe terminy, których przekroczenie skutkuje kaskadą obowiązków:

  • 2 kwietnia 2026 — w tym dniu wchodzi w życie znowelizowana ustawa UKSC.
  • 13 kwietnia 2026 — w tym dniu Ministerstwo Cyfryzacji uruchamia wykaz podmiotów kluczowych i ważnych.
  • 3 października 2026 — w tym dniu upływa ostateczny termin samoidentyfikacji oraz rejestracji w rejestrze MC.
  • 3 kwietnia 2027 — w tym dniu podmioty muszą osiągnąć pełną zgodność z wymaganiami technicznymi (art. 21 NIS2 — dziesięć obszarów cyberbezpieczeństwa).

Pomiędzy 13 kwietnia a 3 października 2026 podmioty mają niespełna 6 miesięcy na samoocenę i rejestrację. Patrząc na praktykę dotychczasowych wdrożeń regulacyjnych w Polsce — to jest realnie krótki termin, biorąc pod uwagę, że 18 sektorów objętych dyrektywą obejmuje setki tysięcy podmiotów, z czego znaczna część dotąd nie miała obowiązków cyberbezpieczeństwa.

Kogo dotyczy NIS2 — 18 sektorów do sprawdzenia

Lista sektorów jest podzielona na dwa załączniki dyrektywy. Annex I — sektory essential (kluczowe), Annex II — sektory important (ważne). Różnica nie jest jedynie semantyczna — przekłada się na progi sankcji i intensywność nadzoru.

Do sektorów essential (Annex I) należą:

  • energetyka (elektryczność, ropa, gaz, wodór);
  • transport (lotniczy, kolejowy, morski, drogowy);
  • bankowość, w zakresie nieobjętym DORA;
  • infrastruktura rynków finansowych, w zakresie nieobjętym DORA;
  • ochrona zdrowia (szpitale, laboratoria, producenci leków);
  • woda pitna i ścieki;
  • infrastruktura cyfrowa (chmura, IXP, DNS, TLD, CDN);
  • ICT B2B, czyli dostawcy usług zarządzanych;
  • administracja publiczna;
  • przestrzeń kosmiczna.

Do sektorów important (Annex II) należą:

  • usługi pocztowe i kurierskie;
  • gospodarka odpadami;
  • produkcja i dystrybucja chemikaliów;
  • produkcja, przetwórstwo i dystrybucja żywności;
  • produkcja maszyn, pojazdów i innych urządzeń;
  • dostawcy usług cyfrowych, którzy obejmują marketplace, wyszukiwarki oraz sieci społecznościowe;
  • badania naukowe.

Próg wielkości — kluczowy filtr

Obowiązek samoidentyfikacji dotyczy podmiotów spełniających co najmniej jedno z dwóch kryteriów wielkościowych:

  • podmiot zatrudnia co najmniej 50 pracowników;
  • podmiot osiąga roczny obrót lub sumę bilansową powyżej 10 mln EUR.

To oznacza, że NIS2 obejmuje znacznie szerszy krąg niż dotychczasowa ustawa o krajowym systemie cyberbezpieczeństwa. Średnie firmy energetyczne, mniejsze szpitale powiatowe, gminne zakłady wodociągowe, regionalni operatorzy transportu, producenci żywności średniej skali — wszyscy mogą podlegać NIS2 i nie mieć tego świadomości.

Najczęstszy błąd: “czekamy na pismo z urzędu”

Z perspektywy konsultingu prawniczego obserwujemy zaskakująco częstą reakcję: “skoro NIS2 nas dotyczy, to państwo nas zawiadomi i wyznaczy termin”. To błąd, który może kosztować zarząd osobiście.

Pod NIS2 to podmiot ma obowiązek samoidentyfikacji zgodnie z art. 30 dyrektywy oraz polskimi przepisami transponującymi. W praktyce oznacza to:

  1. Podmiot analizuje, czy wpisuje się w którykolwiek z 18 sektorów Annex I lub II.
  2. Podmiot weryfikuje progi wielkości, czyli liczbę pracowników, obrót oraz sumę bilansową.
  3. Podmiot klasyfikuje się jako essential lub important, co wpływa na progi sankcji oraz częstotliwość audytów.
  4. Podmiot rejestruje się w rejestrze prowadzonym przez Ministerstwo Cyfryzacji do 3 października 2026 roku.
  5. Podmiot corocznie aktualizuje dane w rejestrze.

Konsekwencje zaniechania

Sankcje pod NIS2 i UKSC są wielowarstwowe i mogą być dużo bardziej dotkliwe niż w innych regulacjach:

  • Organ nakłada sankcje administracyjne, które dla podmiotów essential sięgają 10 mln EUR lub 2% globalnego obrotu rocznego, a dla podmiotów important — 7 mln EUR lub 1,4% obrotu.
  • Organ stosuje sankcje osobiste wobec członków zarządu (art. 32 NIS2), które w skrajnych przypadkach obejmują zakaz pełnienia funkcji kierowniczych.
  • Organ pociąga do odpowiedzialności karnej w określonych przypadkach, na przykład gdy podmiot zaniecha zgłoszenia incydentu.
  • Organ stosuje sankcje reputacyjne, które polegają na publikacji decyzji administracyjnych.

Procedura incydentów — trzy progi raportowania

Gdy podmiot zostanie już zidentyfikowany i zarejestrowany, kluczową obowiązkową procedurą jest raportowanie incydentów cyberbezpieczeństwa zgodnie z art. 23 NIS2 i polską ustawą UKSC. Obowiązują trzy progi czasowe:

TerminCo należy zgłosićKomu
24 godzinyNotyfikacja wstępna o incydencieWłaściwy CSIRT (NASK / GOV / MON)
72 godzinyRaport pośredni z oceną wpływuWłaściwy CSIRT
1 miesiącSprawozdanie końcowe z analizą i działaniami naprawczymiWłaściwy CSIRT

W Polsce zgłoszenia odbywają się przez system S46 prowadzony przez Ministerstwo Cyfryzacji. Trzy CSIRT-y krajowe (CSIRT NASK, CSIRT GOV przy ABW, CSIRT MON) odbierają zgłoszenia w zależności od sektora. Brak terminowego zgłoszenia = automatyczna sankcja.

10 obszarów cyberbezpieczeństwa z art. 21 NIS2

Pełna zgodność wymagana do 3 kwietnia 2027 obejmuje politykę cyberbezpieczeństwa pokrywającą wszystkie 10 obszarów wymienionych w art. 21 dyrektywy:

  1. Podmiot wdraża polityki analizy ryzyka oraz bezpieczeństwa systemów informacyjnych.
  2. Podmiot prowadzi obsługę incydentów.
  3. Podmiot zapewnia ciągłość działania, która obejmuje zarządzanie kryzysowe, kopie zapasowe oraz plany odzyskiwania.
  4. Podmiot zarządza bezpieczeństwem łańcucha dostaw, w tym bezpieczeństwem dostawców i ICT B2B.
  5. Podmiot dba o bezpieczeństwo nabywania, rozwoju oraz utrzymania systemów informatycznych.
  6. Podmiot wdraża polityki i procedury oceny skuteczności środków zarządzania ryzykiem.
  7. Podmiot stosuje podstawowe praktyki cyberhigieny i prowadzi szkolenia.
  8. Podmiot wdraża polityki oraz procedury kryptografii i szyfrowania.
  9. Podmiot zarządza bezpieczeństwem zasobów ludzkich, politykami kontroli dostępu i aktywami.
  10. Podmiot stosuje uwierzytelnianie wieloskładnikowe (MFA) oraz bezpieczną komunikację głosową i tekstową.

Każdy z tych obszarów to osobny dokument operacyjny, nie deklaracja. Generyczne polityki bez tej granulacji nie spełniają wymogów dyrektywy.

Jak wygląda pełen pakiet NIS2 w Kancelarii Kozłowski

Pakiet 17 dokumentów obejmuje wszystkie obszary art. 21 NIS2 oraz pełną integrację z polskim systemem zgłoszeń S46 i trzema CSIRT-ami. Wdrażamy w trzech etapach:

Etap 1 — samoidentyfikacja (do 03.10.2026): analiza essential/important, rejestracja w rejestrze MC, dokumentacja klasyfikacji Etap 2 — pełna polityka cyber (do 03.04.2027): 10 obszarów art. 21, BCP, DRP, supply chain security, polityka kryptografii Etap 3 — operacjonalizacja (ongoing): procedury incydentów S46, plan szkoleń cyber, audyty wewnętrzne, raporty zarządu

Przygotowanie obejmuje strukturalną analizę działalności klienta z biblioteki 230+ ankiet branżowych — energetyka, ochrona zdrowia, JST, telekomunikacja, ICT, dostawcy chmury, marketplace mają zupełnie różne profile ryzyka cybernetycznego. Dokumentacja jest dostosowana do każdej branży osobno.

Sześć poziomów weryfikacji + podpis radcy prawnego z OC 10 mln PLN. 12 miesięcy aktualizacji w cenie — gdy ukażą się dalsze RTS / wytyczne MC, klient otrzymuje zaktualizowane dokumenty automatycznie.

Zapraszamy do kontaktu — wykonujemy bezpłatny wstępny audyt zgodności, który w 7 dni roboczych odpowiada na trzy kluczowe pytania: (1) czy Państwa podmiot podlega NIS2, (2) jako essential czy important, (3) co należy zrobić w ciągu najbliższych 5 miesięcy do samoidentyfikacji.

Tagi: NIS2UKSCsamoidentyfikacjacyberbezpieczeństwoCSIRTKSC
← Powrót do listy artykułów