Termin rejestracji w Wykazie KSC: 3 października 2026 — złożenie wniosku S46 jest obowiązkiem ustawowym

Pilne · Nowe przepisy

NIS2 i KSC dla firm produkcyjnych — diagnoza, wdrożenie, spokojny sen zarządu

Od 3 kwietnia 2026 roku w Polsce obowiązuje nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2. Objętych jest nią około 42 tysiące podmiotów. Rejestracja w Wykazie KSC jest już otwarta i trwa do 3 października 2026 roku. Jeśli prowadzisz firmę produkcyjną, jesteś dostawcą dla większego podmiotu albo zarządzasz infrastrukturą lokalną — sprawdź, czy Cię to dotyczy.

Termin rejestracji S46

3 października
2026

Złożenie wniosku w systemie S46
jest obowiązkiem ustawowym

42 000

podmiotów objętych ustawą w Polsce

Kogo dotyczy ustawa

Czy Twoja firma podlega pod KSC 2.0?

Ustawa dzieli organizacje na dwie kategorie według rozmiaru i sektora działalności. Samoidentyfikacja jest obowiązkiem każdej firmy — nikt nie przyśle Ci pisma z informacją, że podlegasz nowym przepisom. To Ty musisz to sprawdzić, najlepiej zanim sprawdzi to za Ciebie organ nadzoru.

Podmiot ważny

Firma 50–249 osób

Sektor
Załącznik nr 1 lub 2 do ustawy
np. produkcja (chemia, żywność, maszyny, elektronika, pojazdy), gospodarka odpadami, usługi pocztowe
Wielkość
Średnie przedsiębiorstwo: 50–249 osób lub 10–50 mln EUR obrotu lub 8–43 mln EUR sumy bilansowej
Nadzór
Następczy — audyt tylko na żądanie organu nadzorczego
Kary
Do 7 mln EUR lub 1,4% rocznego obrotu (wyższa kwota)
Podmiot kluczowy

Firma 250+ osób

Sektor
Załącznik nr 1 do ustawy
np. energia, transport, ochrona zdrowia, woda pitna, infrastruktura cyfrowa, komunikacja elektroniczna
Wielkość
Duże przedsiębiorstwo: 250+ osób lub powyżej 50 mln EUR obrotu lub powyżej 43 mln EUR sumy bilansowej
Nadzór
Stały (aktywny) — obowiązkowy audyt co 3 lata, możliwość wyznaczenia urzędnika monitorującego
Kary
Do 10 mln EUR lub 2% rocznego obrotu (wyższa kwota)

Kryteria wielkości obliczane są zgodnie z rozporządzeniem UE 651/2014 i uwzględniają dane przedsiębiorstw powiązanych oraz partnerskich. Sama liczba pracowników nie zawsze przesądza o statusie — przy grupach kapitałowych liczy się skala całej grupy.

Termin: 3 października 2026 Do tego dnia firmy spełniające kryteria muszą złożyć wniosek o wpis do Wykazu KSC w systemie S46. Wniosek składa się elektronicznie.
Wiem, że niektórzy czekają z decyzją, bo ustawa trafiła równolegle do Trybunału Konstytucyjnego. Obowiązki i terminy z tego tytułu nie są jednak wstrzymane. Bezpieczniej założyć, że ustawa się utrzyma, niż ryzykować zwłokę. — akapit do weryfikacji merytorycznej przez Renatę przed publikacją

Harmonogram obowiązków

3 października 2026

Rejestracja
w Wykazie KSC (S46)

3 kwietnia 2027

Wdrożenie SZBI
i obowiązków operacyjnych

3 kwietnia 2028

Pierwszy audyt
(podmioty kluczowe)

Rejestracja to pierwszy krok — nie koniec. Termin na wdrożenie systemów zarządzania bezpieczeństwem informacji (SZBI) to 12 miesięcy od wejścia ustawy w życie. Firmy mają czas na dostosowanie się, ale prace warto zacząć teraz.

A co jeśli moja firma jest mniejsza?

Nawet jeśli Twoja firma sama nie podlega ustawie, możesz być częścią łańcucha dostaw podmiotu regulowanego. Twój duży klient może wymagać od Ciebie zgodności z KSC w umowie — niezależnie od tego, co mówi ustawa. Dotyczy to zwłaszcza dostawców maszyn, integratorów automatyki i firm obsługujących systemy MES, ERP czy SCADA.

300%

wynagrodzenia kierownika podmiotu

art. 73a ust. 4 ustawy o KSC

Odpowiedzialność zarządu

To nie jest już tylko temat dla działu IT

Nowelizacja KSC wprowadza osobistą odpowiedzialność kierownictwa za wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa. Zarząd musi zatwierdzić politykę cyberbezpieczeństwa, przejść obowiązkowe szkolenie i wziąć odpowiedzialność za zgodność firmy z ustawą.

Od teraz zarząd ponosi konsekwencje osobiście. Czasy gdy to ryzyko było tylko abstrakcją się skończyły. Ustawa przewiduje konkretną sankcję dla kierownika podmiotu, jeśli zaniedba te obowiązki: kara finansowa w wysokości do 300% jego wynagrodzenia.

Przez ponad jedenaście lat wspierałam poszczególne zarządy w nadzorze nad obszarem bezpieczeństwa i ciągłości działania w dużej spółce sektora energetycznego. Wiem, jakich informacji potrzebuje zarząd, żeby podejmować świadome decyzje, jak je udokumentować i jak weryfikować ich realne wdrożenie w organizacji. Większość prawników oferuje tylko suche procedury — w moim przypadku wiem, jak sprawić, by one realnie funkcjonowały i były zrozumiałe dla pracowników.

Pakiety i ceny

Jak mogę pomóc

Cena za konkretny rezultat jest ustalona z góry i nie ma miejsca na zaskoczenia na zakończenie projektu. Każdy pakiet możesz kupić osobno albo zacząć od Diagnozy i dokupić kolejne kroki, gdy będziesz gotowy. Ceny dotyczą podmiotów do 250 osób. Powyżej 250 osób — wycena indywidualna.

Krok 1

Diagnoza NIS2

Sprawdzam, czy Twoja firma podlega ustawie, w jakiej kategorii i co to dla Ciebie oznacza. Dostajesz pisemną ocenę sytuacji firmy oraz komplet danych i dokumentów potrzebnych do złożenia wniosku w systemie S46.

6 500 zł netto
Krok 2

Pakiet dokumentacyjny NIS2

Procedury, polityki i dokumentacja zgodna z KSC — dla zarządu i jako wytyczne dla działu IT. Obejmuje politykę zarządzania ryzykiem, zasady zgłaszania incydentów i dokumentację wymaganą przez ustawę.

21 500 zł netto
Krok 3

Próba Ogniowa

Symulacja kryzysowa z zespołem — konkretny scenariusz (cyberatak, utrata dostawcy, awaria OT), realna reakcja zarządu i działu IT, pisemne wnioski po zakończeniu. Sprawdzamy, czy plan zadziała zanim zadziała naprawdę.

5 500 zł netto
Moduł dodatkowy

Warsztat zarządu NIS2

Warsztat dla kadry kierowniczej: osobista odpowiedzialność zarządu, obowiązek szkoleniowy z ustawy, decyzje i ich dokumentowanie. Uchwała zarządu oraz potwierdzenia szkolenia gotowe do akt.

4 500 zł netto
Moduł dodatkowy

Analiza Odporności

Weryfikacja, czy Twój dostawca IT lub dział IT faktycznie robi to, co deklaruje. Żądam dowodów na testowanie backupów, zarządzanie dostępem i procedury reagowania. Dostajesz pisemną ocenę z listą luk.

5 500 zł netto
Dla dostawców

Diagnoza NIS2 — dostawca w łańcuchu dostaw

Dostałeś aneks od kluczowego klienta z klauzulą NIS2? Sprawdzam, co dokładnie wynika z Twojej umowy, jaki minimalny zestaw dokumentów spełni wymogi kontraktowe i co grozi przy braku zgodności. Węższy zakres niż pełna Diagnoza — inna sytuacja, inne potrzeby.

4 000 zł netto
Pakiet łączony

Kompleksowe NIS2

Diagnoza NIS2 Pakiet dokumentacyjny Próba Ogniowa
Pakiet Operacyjny RCS — Teczka Incydentowa · nie do kupienia osobno
Zasady współpracy i szczegóły
31 000 zł

netto · do 250 osób

Opieka Compliance — stała opieka post-wdrożeniowa

  • monitoring zmian prawnych, aktualizacja dokumentacji
  • konsultacje dla zarządu i działu IT
  • priorytetowy kontakt przy incydencie lub kontroli
  • Próba Ogniowa raz w roku bez dopłaty
  • maks. 5 firm równolegle
3 500–5 000 zł

netto / mies.

Gdzie kończy się moja rola Odpowiadam za warstwę prawną i dokumentacyjną: ocenę statusu firmy, procedury, polityki, szkolenia i przygotowanie zarządu do podejmowania decyzji. Nie świadczę usług IT. Za konfigurację systemów, wdrożenie technicznych środków bezpieczeństwa i zakup sprzętu odpowiada dział IT klienta lub jego zewnętrzny integrator.

Jak zarezerwować termin

Pracuję z ograniczoną liczbą klientów równolegle

Z racji krótkich terminów i dużego zapotrzebowania na wdrożenie NIS2, kładę teraz największy nacisk na ten obszar, żeby najlepiej wspierać firmy, które potrzebują pomocy najpilniej. Pracuję z ograniczoną liczbą klientów jednocześnie — jeśli w danym momencie nie mam wolnego miejsca, powiem Ci o tym wprost wraz z orientacyjnym terminem. Decyzja o tym, czy poczekasz, czy poszukasz innego rozwiązania, należy wyłącznie do Ciebie.

Sprawdź teraz — zanim zrobi to za Ciebie organ nadzoru

Napisz do mnie i opisz krótko, czym zajmuje się firma i ile osób zatrudnia. Wesprę Cię w analizie obowiązków wynikających z NIS2 i powiem, na czym się skupić na początku.

Napisz do mnie Zobacz pakiety