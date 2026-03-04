Ustawa o KSC podpisana. Firmy mają tylko miesiąc na przygotowanie do NIS2
Termin wdrożenia przepisów wynikających z dyrektywy NIS2 minął 17 października 2024 roku. Regulacja zmieniła standardy w zakresie cyberbezpieczeństwa w całej Unii Europejskiej, rozszerzając obowiązki przedsiębiorstw m.in. w obszarze zarządzania ryzykiem, ochrony łańcuchów dostaw oraz raportowania incydentów. Niespełnienie nowych zasad będzie grozić karami sięgającymi nawet 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa.
Polska przyjęła nowelizację ustawy o KSC po niemal 18 miesiącach od upływu unijnego terminu, choć opóźnienia we wdrażaniu dyrektywy dotyczyły również innych państw członkowskich. Nowy akt prawny wejdzie w życie po miesiącu od ogłoszenia w Dzienniku Ustaw. Jednocześnie prezydent skierował podpisaną ustawę do Trybunału Konstytucyjnego, który przyjrzy się wybranym zapisom i oceni ich poprawność.
Koniec okresu niejasności
Przedłużający się proces legislacyjny i kolejne wersje projektów ustawy powodowały, że przedsiębiorstwa przez wiele miesięcy funkcjonowały w warunkach niepewności. Potwierdza to badanie Fortinet przeprowadzone w 2024 r.: 3 na 4 polskie przedsiębiorstwa słyszały wtedy o dyrektywie NIS2, ale ponad połowa nie wiedziała, czy zostanie objęta nowymi wymaganiami. Największe wyzwania dotyczyły wdrożenia polityki zarządzania ryzykiem i bezpieczeństwa systemów IT (38%) oraz zapewnienia ciągłości działania biznesu (33%). Niemal połowa badanych przyznawała, że nie wie, jakie rozwiązania powinna wdrożyć, aby przygotować się na nowe regulacje.
Świadomość cyberzagrożeń wśród przedsiębiorców cały czas rośnie, ale bez ostatecznego kształtu przepisów trudno się dziwić, że wiele firm wstrzymywało się z decyzjami inwestycyjnymi. W praktyce przedsiębiorstwa analizowały scenariusze, nie mając pewności, które obowiązki będą je dotyczyć i w jakim zakresie. Teraz ten etap się kończy, a podpisana ustawa oznacza konieczność przejścia od analiz do konkretnych działań – wskazuje Joanna Chmielak, Enterprise Sales Manager w firmie Fortinet.
Choć status legislacyjny ustawy jest dziś jednoznaczny, zakres nowych przepisów wciąż rodzi wątpliwości. Nowelizacja obejmuje 18 sektorów gospodarki, zgodnie z dyrektywą NIS2 oraz wprowadza podział na podmioty kluczowe i ważne, objęte zróżnicowanym poziomem nadzoru regulacyjnego. Przedsiębiorstwa będą musiały samodzielnie ocenić, czy podlegają ustawie o KSC i do której kategorii powinny zostać przypisane, a także dokonać rejestracji we właściwym organie. To na nich spoczywa odpowiedzialność za prawidłową interpretację przepisów, a ewentualne błędy mogą skutkować sankcjami administracyjnymi oraz ryzykiem finansowym i wizerunkowym.
Klimat regulacyjny dla firm w UE
Firmy funkcjonują dziś w środowisku, w którym liczba regulacji dotyczących cyberbezpieczeństwa systematycznie rośnie, a wymagania stają się coraz bardziej szczegółowe. Z jednej strony zwiększa się skala i zaawansowanie cyberataków, z drugiej – przedsiębiorstwa muszą równolegle odpowiadać na nowe obowiązki prawne.
W takich warunkach wiele podmiotów szuka stabilnego punktu odniesienia, pozwalającego stworzyć trwały model odporności, który wykracza poza jedną konkretną regulację. Badanie Fortinet z 2024 roku wskazało, że ponad 30% polskich firm wspiera się międzynarodowymi standardami, najczęściej normą ISO 27001 określającą zasady zarządzania bezpieczeństwem informacji. W ten sposób organizacje próbują porządkować i trzymać kontrolę nad procesami zarządzania cyberochroną, niezależnie od zmieniających się przepisów. A tych będzie coraz więcej.
Dyrektywa NIS2 nie jest jedyną regulacją, która w najbliższych latach wpłynie na funkcjonowanie przedsiębiorstw w Polsce. Równolegle państwa członkowskie wdrażają dyrektywę Critical Entities Resilience (CER) dotyczącą odporności podmiotów krytycznych, a na terenie UE zaczynają być stosowane rozporządzenia, takie jak Cyber Resilience Act (CRA) oraz AI Act. Każdy z tych aktów wymaga uporządkowania procesów, dokumentowania dojrzałości organizacyjnej oraz jasnego podziału odpowiedzialności. Opóźnienie we wdrażaniu NIS2 pokazało, jak wymagający dla podmiotów nimi objętych jest proces dostosowywania się do regulacji z zakresu cyberbezpieczeństwa. Bez systemowego podejścia w firmach ryzyko kumulacji obowiązków przy wprowadzaniu kolejnych wymogów rośnie.
Największym wyzwaniem nie jest dziś pojedyncza regulacja, lecz zdolność przedsiębiorstwa do budowy trwałego modelu zarządzania cyberbezpieczeństwem. Wiele firm wciąż traktuje cyfrową ochronę projektowo, kończąc na dostawie sprzętu i „odhaczeniu” wymagań formalnych. Jednak bez utrzymania systemów i ich aktualizacji takie inwestycje są krótkoterminowe i w praktyce niewiele zmieniają.
Poza kupowanym sprzętem potrzebne jest również inwestowanie w wiedzę i długofalowe wsparcie ekspertów. Bezpieczeństwo wymaga bowiem nie tylko rozwiązań technicznych, ale też dojrzałych procesów i kompetencji, których w wielu przedsiębiorstwach wciąż brakuje – podkreśla Joanna Chmielak z Fortinet.
W najbliższych latach regulacje w obszarze cyberbezpieczeństwa zaczną być egzekwowane w praktyce – poprzez kontrole, audyty i wymóg przedstawienia konkretnych dowodów spełniania obowiązków. Zgodność z przepisami przestanie być deklaracją w polityce bezpieczeństwa, a stanie się elementem codziennego funkcjonowania organizacji. Przedsiębiorstwa, które już dziś budują spójny model zarządzania bezpieczeństwem, będą lepiej przygotowane na rosnącą presję regulacyjną.
