PL
Skontaktuj się z nami
Skontaktuj się z nami

Najnowsza edycja Raportu RetailTech! Odkryj, ile i w co inwestuje retail. Pobierz już dziś

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (NIS2) – najważniejsze zmiany i terminy.

Zuzanna Łochowska

Czytaj dalej
Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (NIS2) – najważniejsze zmiany i terminy.
Blog

W ostatnich tygodniach obserwujemy wyraźne przyspieszenie prac legislacyjnych nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), będącej krajową implementacją dyrektywy NIS2.

W styczniu 2026 roku prace legislacyjne gwałtownie przyspieszyły:

  • 23 stycznia: Sejm przegłosował projekt nowelizacji.
  • 28 stycznia: Ustawa przeszła przez Senat i trafiła do podpisu Prezydenta.

Dla przedsiębiorstw oznacza że nowe przepisy w najbliższym czasie zaczną obowiązywać wiele organizacji. Poniżej przedstawiamy kluczowe aspekty, które musi znać każda organizacja dbająca o cyberbezpieczeństwo.

Kogo dotyczy UKSC? Podmiot kluczowy vs podmiot ważny

Priorytetową kwestią jest możliwość uznania organizacji za podmiot kluczowy lub podmiot ważny. Aktualnie istnieją trzy ścieżki znalezienia się w wykazie takich podmiotów:

  1. Decyzja „z urzędu” – przekazana przez właściwego ministra, jednoznacznie wskazująca organizację jako podlegającą przepisom ustawy.
  2. Ocena własna i zgłoszenie – organizacja samodzielnie ocenia spełnienie kryteriów i dokonuje zgłoszenia (w ciągu 6 miesięcy od ich wystąpienia).
  3. Decyzja uznaniowa organu właściwego (art. 8L) – nawet jeśli kryteria ustawowe nie wskazują tego wprost.

Terminarz wdrożenia UKSC – ile masz czasu?

Ustawodawca przewidział konkretne ramy czasowe na dostosowanie systemów i procedur:

  • Organizacje mają 12 miesięcy na wdrożenie wymagań ustawy od momentu wpisu do wykazu.
  • Część obowiązków pojawia się jednak wcześniej, np. zgodnie z art. 46 przygotowanie systemów IT do współpracy z systemem S46 musi nastąpić w ciągu 6 miesięcy
  • Pierwsza kontrola może zostać przeprowadzona dopiero po 24 miesiącach, co daje pewien bufor czasowy na uporządkowanie działań.

Kary finansowe i odpowiedzialność zarządu

Brak zgodności z UKSC niesie za sobą bezprecedensowe sankcje finansowe:

  • podmiot kluczowy – do 10 mln euro lub 2% rocznego przychodu,
  • podmiot ważny – do 7 mln euro lub 1,4% rocznego przychodu.

Ważne! Karze pieniężnej może podlegać również kierownik podmiotu. Sankcja może wynieść do 300% jego miesięcznego wynagrodzenia.

Jak przebiega weryfikacja zgodności?

Organ właściwy może korzystać z kilku narzędzi, m.in.:

  • obowiązkowej oceny po 24 miesiącach od wpisu do wykazu,
  • audytów cyklicznych (co 3 lata),
  • kontroli planowanych i doraźnych,
  • żądań udzielenia informacji,
  • raportowania incydentów.

Jak Exorigo-Upos wspiera wdrożenie NIS2/UKSC?

Wspieramy organizacje na każdym etapie cyklu życia zgodności z UKSC:

  • weryfikację, czy organizacja podlega przepisom ustawy oraz czy istnieje
  • obowiązek zgłoszenia do wykazu,
  • przeprowadzenie audytu wstępnego, który jednoznacznie wskazuje zakres
  • obowiązków oraz priorytety działań,
  • identyfikację i zaplanowanie wymaganych działań organizacyjnych i technicznych, · wdrożenie narzędzi i usług (np. SOC, zarządzanie podatnościami),
  • przygotowanie polityk, procedur i instrukcji,
  • transfer wiedzy do zespołów organizacji.

Zapraszamy do rozmowy, podczas której omówimy, jakie konsekwencje nowelizacja UKSC może mieć dla Państwa organizacji oraz jak najlepiej się do nich przygotować.

Potrzebujesz sprawdzonych
dostawców usług IT?

Rocznie realizujemy około 1000 projektów.
Zaufaj naszej wiedzy i profesjonalizmowi.

Skontaktuj się z nami!

Zapewniamy wygodniejsze i bezpieczniejsze ZAKUPY
KLIENTOM naszych KLIENTÓW.