Nowe obowiązki, realne sankcje – ustawa o krajowym systemie cyberbezpieczeństwa podpisana

20 lutego 2026 r. Prezydent RP podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającą do polskiego porządku prawnego dyrektywę NIS - 2. To jedna z najważniejszych regulacji ostatnich lat w obszarze bezpieczeństwa IT, zarządzania ryzykiem oraz odpowiedzialności kadry zarządzającej.

Nowe przepisy oznaczają istotne zmiany dla tysięcy podmiotów z sektora publicznego i prywatnego.

Kogo obejmą nowe regulacje?

Ustawa znacząco rozszerza katalog podmiotów objętych obowiązkami. Obejmie ona m.in.:

• sektor energetyczny,
• transport,
• ochronę zdrowia,
• cyfrowych dostawców usług,
• przemysł i produkcję krytyczną,
• gospodarkę odpadami,
• wybrane podmioty z sektora finansowego i infrastrukturalnego.

Wprowadzony zostaje podział na podmioty kluczowe i podmioty ważne, co ma znaczenie dla zakresu obowiązków oraz poziomu nadzoru.

Najważniejsze obowiązki

Nowa ustawa nakłada na przedsiębiorców m.in.:

• obowiązek wdrożenia systemowego zarządzania ryzykiem w obszarze cyberbezpieczeństwa,
• wdrożenie adekwatnych środków technicznych i organizacyjnych,
• zaostrzone obowiązki raportowania incydentów w ściśle określonych terminach,
• obowiązek zapewnienia ciągłości działania i zarządzania kryzysowego,
• nadzór kadry zarządzającej nad obszarem cyberbezpieczeństwa.

Szczególnie istotna jest realna odpowiedzialność członków zarządów i rad nadzorczych za brak właściwego nadzoru nad systemem cyberbezpieczeństwa w organizacji.

Sankcje – ryzyko, którego nie można lekceważyć

Ustawa przewiduje wysokie administracyjne kary pieniężne, uzależnione od kategorii podmiotu oraz skali naruszenia. Oprócz sankcji finansowych możliwe są:

• środki nadzorcze,
• nakazy wdrożenia określonych działań,
• odpowiedzialność osobista kadry zarządzającej.

W praktyce oznacza to konieczność traktowania cyberbezpieczeństwa jako elementu strategicznego zarządzania, a nie wyłącznie zagadnienia technicznego.

Dlaczego warto działać już teraz?

Okresy dostosowawcze będą krótkie, a zakres zmian szeroki. W wielu organizacjach niezbędne będą:

• przeprowadzenie audytu zgodności,
• aktualizacja procedur wewnętrznych i umów (w tym z dostawcami IT),
• wdrożenie nowych polityk bezpieczeństwa,
• przeszkolenie kadry zarządzającej,
• opracowanie i przetestowanie procedur raportowania incydentów.

Im szybciej organizacja rozpocznie proces dostosowania, tym mniejsze ryzyko sankcji oraz zakłóceń operacyjnych.

Jak możemy Państwa wesprzeć?

Wdrożenie nowych obowiązków wymaga połączenia wiedzy prawnej, regulacyjnej oraz praktycznego rozumienia procesów organizacyjnych i IT. Kluczowe jest nie tylko formalne spełnienie wymogów ustawy, ale realne zbudowanie systemu zarządzania cyberbezpieczeństwem, który będzie działał w praktyce.

W ramach wsparcia oferujemy m.in.:

• analizę, czy i w jakim zakresie organizacja podlega nowym przepisom,
• ocenę poziomu zgodności oraz identyfikację obszarów ryzyka,
• przygotowanie planu działań dostosowawczych,
• opracowanie i aktualizację dokumentacji regulacyjnej,
• wsparcie zarządów i rad nadzorczych w zakresie nowych obowiązków nadzorczych,
• pomoc w kontaktach z organami nadzoru.

Naszym celem jest zapewnienie Państwu bezpieczeństwa regulacyjnego oraz ograniczenie ryzyka sankcji i odpowiedzialności osobistej kadry zarządzającej.

W obliczu nowych regulacji warto działać z wyprzedzeniem – w sposób uporządkowany i strategiczny.