Pilne · Nowe przepisy
Od 3 kwietnia 2026 roku w Polsce obowiązuje nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2. Objętych jest nią około 42 tysiące podmiotów. Rejestracja w Wykazie KSC jest już otwarta i trwa do 3 października 2026 roku. Jeśli prowadzisz firmę produkcyjną, jesteś dostawcą dla większego podmiotu albo zarządzasz infrastrukturą lokalną — sprawdź, czy Cię to dotyczy.
Termin rejestracji S46
3 października
2026
Złożenie wniosku w systemie S46
jest obowiązkiem ustawowym
podmiotów objętych ustawą w Polsce
Kogo dotyczy ustawa
Ustawa dzieli organizacje na dwie kategorie według rozmiaru i sektora działalności. Samoidentyfikacja jest obowiązkiem każdej firmy — nikt nie przyśle Ci pisma z informacją, że podlegasz nowym przepisom. To Ty musisz to sprawdzić, najlepiej zanim sprawdzi to za Ciebie organ nadzoru.
Kryteria wielkości obliczane są zgodnie z rozporządzeniem UE 651/2014 i uwzględniają dane przedsiębiorstw powiązanych oraz partnerskich. Sama liczba pracowników nie zawsze przesądza o statusie — przy grupach kapitałowych liczy się skala całej grupy.
Harmonogram obowiązków
3 października 2026
Rejestracja
w Wykazie KSC (S46)
3 kwietnia 2027
Wdrożenie SZBI
i obowiązków operacyjnych
3 kwietnia 2028
Pierwszy audyt
(podmioty kluczowe)
Rejestracja to pierwszy krok — nie koniec. Termin na wdrożenie systemów zarządzania bezpieczeństwem informacji (SZBI) to 12 miesięcy od wejścia ustawy w życie. Firmy mają czas na dostosowanie się, ale prace warto zacząć teraz.
Nawet jeśli Twoja firma sama nie podlega ustawie, możesz być częścią łańcucha dostaw podmiotu regulowanego. Twój duży klient może wymagać od Ciebie zgodności z KSC w umowie — niezależnie od tego, co mówi ustawa. Dotyczy to zwłaszcza dostawców maszyn, integratorów automatyki i firm obsługujących systemy MES, ERP czy SCADA.
wynagrodzenia kierownika podmiotu
art. 73a ust. 4 ustawy o KSC
Odpowiedzialność zarządu
Nowelizacja KSC wprowadza osobistą odpowiedzialność kierownictwa za wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa. Zarząd musi zatwierdzić politykę cyberbezpieczeństwa, przejść obowiązkowe szkolenie i wziąć odpowiedzialność za zgodność firmy z ustawą.
Od teraz zarząd ponosi konsekwencje osobiście. Czasy gdy to ryzyko było tylko abstrakcją się skończyły. Ustawa przewiduje konkretną sankcję dla kierownika podmiotu, jeśli zaniedba te obowiązki: kara finansowa w wysokości do 300% jego wynagrodzenia.
Przez ponad jedenaście lat wspierałam poszczególne zarządy w nadzorze nad obszarem bezpieczeństwa i ciągłości działania w dużej spółce sektora energetycznego. Wiem, jakich informacji potrzebuje zarząd, żeby podejmować świadome decyzje, jak je udokumentować i jak weryfikować ich realne wdrożenie w organizacji. Większość prawników oferuje tylko suche procedury — w moim przypadku wiem, jak sprawić, by one realnie funkcjonowały i były zrozumiałe dla pracowników.
Pakiety i ceny
Cena za konkretny rezultat jest ustalona z góry i nie ma miejsca na zaskoczenia na zakończenie projektu. Każdy pakiet możesz kupić osobno albo zacząć od Diagnozy i dokupić kolejne kroki, gdy będziesz gotowy. Ceny dotyczą podmiotów do 250 osób. Powyżej 250 osób — wycena indywidualna.
Sprawdzam, czy Twoja firma podlega ustawie, w jakiej kategorii i co to dla Ciebie oznacza. Dostajesz pisemną ocenę sytuacji firmy oraz komplet danych i dokumentów potrzebnych do złożenia wniosku w systemie S46.
Procedury, polityki i dokumentacja zgodna z KSC — dla zarządu i jako wytyczne dla działu IT. Obejmuje politykę zarządzania ryzykiem, zasady zgłaszania incydentów i dokumentację wymaganą przez ustawę.
Symulacja kryzysowa z zespołem — konkretny scenariusz (cyberatak, utrata dostawcy, awaria OT), realna reakcja zarządu i działu IT, pisemne wnioski po zakończeniu. Sprawdzamy, czy plan zadziała zanim zadziała naprawdę.
Warsztat dla kadry kierowniczej: osobista odpowiedzialność zarządu, obowiązek szkoleniowy z ustawy, decyzje i ich dokumentowanie. Uchwała zarządu oraz potwierdzenia szkolenia gotowe do akt.
Weryfikacja, czy Twój dostawca IT lub dział IT faktycznie robi to, co deklaruje. Żądam dowodów na testowanie backupów, zarządzanie dostępem i procedury reagowania. Dostajesz pisemną ocenę z listą luk.
Dostałeś aneks od kluczowego klienta z klauzulą NIS2? Sprawdzam, co dokładnie wynika z Twojej umowy, jaki minimalny zestaw dokumentów spełni wymogi kontraktowe i co grozi przy braku zgodności. Węższy zakres niż pełna Diagnoza — inna sytuacja, inne potrzeby.
netto · do 250 osób
netto / mies.
Jak zarezerwować termin
Z racji krótkich terminów i dużego zapotrzebowania na wdrożenie NIS2, kładę teraz największy nacisk na ten obszar, żeby najlepiej wspierać firmy, które potrzebują pomocy najpilniej. Pracuję z ograniczoną liczbą klientów jednocześnie — jeśli w danym momencie nie mam wolnego miejsca, powiem Ci o tym wprost wraz z orientacyjnym terminem. Decyzja o tym, czy poczekasz, czy poszukasz innego rozwiązania, należy wyłącznie do Ciebie.
Napisz do mnie i opisz krótko, czym zajmuje się firma i ile osób zatrudnia. Wesprę Cię w analizie obowiązków wynikających z NIS2 i powiem, na czym się skupić na początku.
Napisz do mnie Zobacz pakiety