GrantThornton - regiony
  • en
    • GrantThornton - regiony

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com
      1. Strona główna
      2. Artykuły
      3. NIS2 i UKSC. Jest podpis prezydenta. Terminy, obowiązki i kogo dotyczą zmiany?

      NIS2 i UKSC. Jest podpis prezydenta. Terminy, obowiązki i kogo dotyczą zmiany?

      Usługi

      19.02.2026

      Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa podpisana przez Prezydenta i odesłana do Trybunału Konstytucyjnego. Implementuje ona unijną dyrektywę NIS2 i wprowadza m.in.: nowy zakres podmiotowy oraz przedmiotowy, obejmujący zarówno większą ilość podmiotów, jak i nowe wymagania; wprowadza istotne kary pieniężne a także na nowo definiuje nadzór i odpowiedzialność za bezpieczeństwo.

      Spis treści

      Kluczowe zmiany wynikające z NIS2 i UKSC

      Nowelizacja implementuje unijną dyrektywę NIS2 i wprowadza m.in.: nowy podział na podmioty kluczowe i podmioty ważne, zastępujący operatorów usług kluczowych i dostawców usług cyfrowych, a także rozszerzenie nadzoru i definicji odpowiedzialności, w tym osobistej odpowiedzialności zarządów za środki cyberbezpieczeństwa zgodnie z zasadami NIS2.

      Terminy  wdrożeniowe przewidziane w nowelizacji to:  

      • do 6 miesięcy na wpis do wykazu
      • do 12 miesięcy na wdrożenie środków zarządzania ryzykiem
      • do 12 miesięcy na obowiązkowe korzystanie z systemu S46

      Zakłada również odroczenie kar pieniężnych o 2 lata od dnia wejścia ustawy w życie.

      Kogo dotyczą nowe obowiązki? (NIS2 / UKSC)

      Kryterium wielkościowe 

      Za podmioty kluczowe i ważne uznawane są co do zasady:

      • średnie i duże przedsiębiorstwa (co najmniej 50 pracowników lub obrót ≥ 10 mln EUR / bilans ≥ 10 mln EUR) – z uwzględnieniem powiązań kapitałowych, które mogą „podciągnąć” mniejsze spółki pod regulację.

      Kryterium sektorowe 

      Zakres sektorów jest szeroki i obejmuje m.in.:

      • energetykę,
      • transport (lotniczy, kolejowy, drogowy, wodny),
      • bankowość i infrastrukturę rynków finansowych,
      • ochronę zdrowia,
      • wodociągi i kanalizację,
      • infrastrukturę cyfrową i usługi ICT,
      • pocztę i kurierskie,
      • gospodarkę odpadami,
      • produkcję żywności, chemikaliów, sprzętu elektronicznego,
      • medycznego i pojazdów,
      • badania naukowe (organizacje badawcze).

      W praktyce oznacza to objęcie regulacją znacznie większej liczby firm niż dotychczas.

      Samodzielna identyfikacja podmiotu 

      Każde przedsiębiorstwo jest zobowiązane samodzielnie ustalić, czy spełnia kryteria NIS-2 i dokonać wpisu do odpowiedniego rejestru podmiotów kluczowych lub ważnych.

      NIS-2 – czy moja firma podlega? [ANKIETA]

      Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.

      1

      Informacje o Twoim biznesie

      2

      Kwestionariusz

      3

      Wynik

      Czy Twoja firma operuje w jednym z poniższych sektorów?

      • Energia
      • Transport
      • Bankowość i infrastruktura rynków finansowych
      • Ochrona zdrowia
      • Zaopatrzenie w wodę pitną i jej dystrybucja
      • Infrastruktura cyfrowa
      • Zarządzanie usługami ICT
      • Przestrzeń kosmiczna
      • Produkcja, wytwarzanie i dystrybucja chemikaliów
      • Produkcja, przetwarzanie i dystrybucja żywności
      • Inna produkcja
      • Usługi pocztowe
      • Gospodarowanie odpadami
      • Dostawcy usług cyfrowych
      • Badania naukowe
      • dostawca usług DNS
      • kwalifikowany albo niekwalifikowany dostawca usług zaufania
      • Podmiot krytyczny
      • Podmiot publiczny
      • Rejestr nazw domen najwyższego poziomu (TLD)
      • przedsiębiorca komunikacji elektronicznej
      • INNE

        W szczególności:

      • Wydobywanie kopalin
      • Energia elektryczna - jako operator systemów dystrybucyjnych, przesyłowych, wytwórca lub uczestnik rynku magazynowania, agregacji, a także jako operator punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności
      • System ciepłowniczy lub chłodniczy - operator systemu ciepłowniczego lub chłodniczego
      • Ropa naftowa - jako operator ropociągu, operator instalacji służącej do produkcji, rafinacji, przetwarzania lub magazynowania i przesyłu ropy naftowej, jak również stanowiący krajową centralę zapasów ropy naftowej
      • Gaz - Jako przedsiębiorca dostarczający gaz lub operator systemu dystrybucyjnego, przesyłowego, magazynowania, LNG, jak również przedsiębiorstwo gazowe lub operator instalacji służących do rafinacji i przetwarzania gazu ziemnego; podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego na podstawie koncesji
      • Energetyka jądrowa - podmiot będący operatorem obiektu energetyki jądrowej, podmiot będący inwestorem obiektu energetyki jądrowej
      • Wodór - jako operator instalacji służących do produkcji, magazynowania i przesyłu wodoru
      • Transport lotniczy - jako przewoźnik lotniczy, Zarządzający portem lotniczym lub jako obsługujący urządzenia pomocnicze w porcie lotniczym; operator zarządzający ruchem lotniczym, który zapewnia służbę kontroli ruchu lotniczego (ATC)
      • Transport kolejowy - zarządcy infrastruktury kolejowej lub przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej
      • Transport wodny - armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, a także organy zarządzające portami, oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach, a także operatorzy systemów ruchu statków
      • Transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

        • W szczególności:

      • Instytucja kredytowa
      • operatorzy systemów obrotu
      • kontrahenci centralni (CCP)
      • SKOK
      • Biura maklerskie

        • W szczególności:

      • Podmiot leczniczy
      • Laboratoria referencyjne UE
      • podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
      • podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub ważnych w sektorze ochrona zdrowi
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne
      • Apteka ogólnodostępna
      • Hurtownia farmaceutyczna
      • dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi
      • Zbiorowe odprowadzanie ścieków Przedsiębiorstwo wodociągowo-kanalizacyjne

        • W szczególności:

      • Dostawca punktu wymiany ruchu internetowego
      • Dostawca chmury obliczeniowej
      • Dostawca usług centrum przetwarzania danych
      • Dostawca sieci dostarczania treści
      • Podmiot świadczący usługę rejestracji nazw domen
      • Dostawca usług zarządzanych
      • Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa
      • operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej
      • W szczególności przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, a także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów
      • Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem
      • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
      • produkcja komputerów, wyrobów elektronicznych i optycznych
      • produkcja urządzeń elektrycznych
      • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
      • produkcja pojazdów samochodowych, przyczep i naczep
      • produkcja pozostałego sprzętu transportowego
      • operatorzy świadczący usługi pocztowe
      • Zbieranie odpadów
      • Transport odpadów
      • Przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
      • Działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
      • Dostawy i usługi dla sektora gospodarowania odpadami
      • Zbieranie odpadów
      • dostawcy internetowych platform handlowych
      • dostawcy wyszukiwarek internetowych
      • dostawcy platform usług sieci społecznościowych
      • organizacje badawcze
      • uczelnie
      • federacje podmiotów systemu szkolnictwa wyższego i nauki
      • instytuty naukowe PAN
      • międzynarodowe instytuty naukowe
      • Centrum Łukasiewicz
      • instytuty działające w ramach Sieci Badawczej Łukasiewicz
      • Polska Akademia Umiejętności

        • W szczególności:

      • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa
      • sądy i trybunały
      • jednostki samorządu terytorialnego oraz ich związki
      • związki metropolitalne
      • jednostki budżetowe
      • samorządowe zakłady budżetowe
      • agencje wykonawcze
      • instytucje gospodarki budżetowej
      • Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego
      • uczelnie publiczne
      • Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne
      • państwowe i samorządowe instytucje kultury
      • Instytuty badawcze
      • Narodowy Bank Polski
      • Bank Gospodarstwa Krajowego
      • Urząd Dozoru Technicznego
      • Polska Agencja Żeglugi Powietrznej
      • Polskie Centrum Akredytacji
      • Urząd Komisji Nadzoru Finansowego
      • Narodowy Fundusz Zdrowia
      • Polska Agencja Prasowa
      • Państwowe Gospodarstwo Wodne Wody Polskie, o którym mowa w ustawie z dnia 20 lipca 2017 r. - Prawo wodne (Dz. U. z 2024 r. poz. 1087 i 1089)
      • Polski Fundusz Rozwoju i inne instytucje rozwoju, o których mowa w art. 2 ust. 1 pkt 1 i 3-6 ustawy z dnia 4 lipca 2019 r. o systemie instytucji rozwoju
      • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
      • Wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
      • Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych
      • Zakład Unieszkodliwiania Odpadów Promieniotwórczych z siedzibą w Otwocku-Świerku
      • Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679)

      Opowiedz nam o swoim biznesie

      • Mniej niż 50
      • Pomiędzy 50 a 250
      • Więcej niż 250
      • Mniej niż 10 mln Euro
      • Pomiędzy 10 a 50 mln Euro
      • Powyżej 50 mln Euro

      Twój wynik:

      Twoje odpowiedzi
      Wielkość firmy 0 - 10 pracowników Zmień

      Adam Woźniak

      Partner

      Skontaktuj się z Adam Woźniak, by skonsultować swój wynik.

      *Zgoda obowiązkowa
      Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej.

      Usługi

      Jakie obowiązki obejmą przedsiębiorców? Zakres przedmiotowy

      Nowelizacja UKSC wymaga wdrożenia kompleksowego systemu cyberbezpieczeństwa obejmującego m.in.:

      A. Środki zarządzania ryzykiem

      Podmioty muszą wprowadzić zestaw środków technicznych i organizacyjnych zgodnych z katalogiem NIS2 (np. kontrola dostępu, zarządzanie podatnościami, bezpieczeństwo łańcucha dostaw).

      B. Raportowanie incydentów cyberbezpieczeństwa

      • Obowiązek zgłaszania incydentów przez system S46,
      • Ścisła współpraca z CSIRT sektorowymi, również w kontekście nadzoru,
      • Stopniowe wejście obowiązku – przesunięte do 12 miesięcy.

      C. Weryfikacje, kontrole i audyty

      Organ nadzoru może stosować:

      • obligatoryjne oceny po 24 miesiącach,
      • kontrole planowane i doraźne,
      • audyty co 3 lata.

      D. Odpowiedzialność Zarządu

      Zarząd zatwierdza i nadzoruje środki zarządzania ryzykiem. Może ponosić osobistą odpowiedzialność za naruszenia obowiązków NIS2.

      E. Kary finansowe

      • Podmioty kluczowe – do 10 mln EUR lub 2% przychodu,
      • Podmioty ważne – do 7 mln EUR lub 1,4% przychodu,
      • Kierownictwo – do 300% wynagrodzenia miesięcznego.

      Google news

      Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

      Kluczowe terminy – od kiedy obowiązują zmiany wynikające z uKSC / NIS-2?

      Ustawa wejdzie w życie 14 dni po ogłoszeniu (po podpisie Prezydenta). Kluczowe terminy:

      • 6 miesięcy – czas na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych.
      • 12 miesięcy – czas na wdrożenie środków zarządzania ryzykiem oraz na rozpoczęcie korzystania z systemu S46.
      • 24 miesiące – najwcześniejszy termin przeprowadzenia pierwszego audytu zgodności.
      • 2 lata od wejścia w życie ustawy – dopiero od tego momentu mogą być nakładane kary pieniężne.
      Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo
      Dowiedz się więcej

      Dlaczego nadzór nad wdrożeniem NIS2 najlepiej powierzyć vCISO?

      Wdrożenie wymogów NIS2 oraz znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa wymaga połączenia kompetencji technicznych, prawnych, organizacyjnych i strategicznych. Dla wielu przedsiębiorstw najbardziej efektywnym rozwiązaniem może być vCISO (virtual Chief Information Security Officer), czyli wirtualny szef bezpieczeństwa informacji. W szczególności dlatego, że ustawa definiuje osobę odpowiedzialną za nadzór nad bezpieczeństwem.

      vCISO to model współpracy, w którym doświadczony ekspert ds. bezpieczeństwa pełni funkcję strategicznego lidera cyberbezpieczeństwa w formule usługowej, bez konieczności tworzenia etatu na poziomie Clevel. Taki model niesie dla firm kilka kluczowych korzyści:

      • Pełna odpowiedzialność za zgodność z NIS2 i UKSC – vCISO nadzoruje budowę systemu zarządzania ryzykiem, polityk, procedur, klasyfikację podmiotu (kluczowy/ważny), przygotowanie do audytów i raportowania incydentów.
      • Dostęp do wiedzy i doświadczenia eksperckiego, które w modelu etatowym byłyby bardzo kosztowne lub trudno dostępne szczególnie dla firm średnich i szybko rosnących.
      • Stały nadzór nad wdrażaniem wymagań, w tym technologicznych, organizacyjnych, łańcucha dostaw i środków minimalnych wymaganych przez NIS2.
      • Oszczędność kosztów – zamiast zatrudniać pełnoetatowego CISO, firma korzysta z usług specjalisty „na żądanie” w wymiarze dostosowanym do swoich potrzeb.
      • Zapewnienie ciągłości działań – vCISO pełni funkcję spójną i niezależną, eliminując ryzyka kadrowe i rotację, które często występują na rynku ekspertów ds. bezpieczeństwa.
      • Przygotowanie zarządu do nowego reżimu odpowiedzialności osobistej – ekspert nadzoruje procesy, dokumentację i mechanizmy decyzyjne, które chronią kierownictwo przed ryzykiem sankcji przewidzianych w NIS2.

      W efekcie vCISO pozwala firmie spełnić wymagania NIS2 szybciej, bezpieczniej i taniej, jednocześnie zapewniając, że wdrożenie nie ograniczy się do formalności, lecz realnie wzmocni odporność organizacji na cyberzagrożenia.

      Podsumowanie

      Nowelizacja UKSC wdrażająca dyrektywę NIS2 znacząco podniosła wymagania wobec firm w Polsce. Przedsiębiorcy muszą przygotować się na nowe obowiązki raportowe, wzmocnienie zabezpieczeń, konieczność przeprowadzania audytów i kontroli, osobistą odpowiedzialność kierownictwa oraz obowiązek samodzielnej identyfikacji statusu podmiotu. Wysokie kary za brak zgodności będą jednak mogły być nakładane dopiero po 24 miesiącach od wejścia w życie ustawy. Jest to największa od lat zmiana regulacyjna w obszarze cyberbezpieczeństwa, która obejmie tysiące polskich firm.

      Porozmawiajmy o Twoich wyzwaniach

      Świadczymy usługi w zakresie Cyberbezpieczeństwo

      Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

      Pole zawiera niedozwolone znaki

      Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Skontaktuj się Poproś o kontakt

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Poproś o kontakt

      Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

      Artykuły z kategorii: Cyberbezpieczeństwo i outsourcing IT

      Zobacz wszystkie

      Newsletter

      Subskrybuj specjalny newsletter, aby otrzymywać informacje o wszystkich najnowszych wpisach na blogu Grant Thornton!

      Najczęściej czytane

      Zobacz wszystkie
      Powered by  Zgodności ciasteczek z RODO
      Informacja o ciasteczkach

      1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

      2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

      3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

      4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

      3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

      Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.