Przejdź do treści

NIS2 w 2026: kogo dotyczy i co teraz zrobić

10 min czytaniaŚredni

Polska wdrożyła NIS2 w kwietniu 2026. Tłumaczymy bez straszenia karami: kogo dotyczy, jakie są terminy i co zrobić w pierwsze 30 dni, 6 i 12 miesięcy.

NIS2 na tle osi czasu 2026-2028

Trzy tygodnie pracy na papierze

7 marca 2026 w Wojewódzkim Szpitalu Zespolonym w Szczecinie zaszyfrowano ponad tysiąc stacji roboczych. Personel przez trzy tygodnie pracował długopisem i przepisywał ręcznie wyniki badań. Tydzień później ten sam scenariusz powtórzył się w Bonifraterskim Centrum Medycznym, sieci trzech szpitali w Katowicach, Krakowie i Łodzi, plus osiem powiązanych placówek.

To są tygodnie życia tysięcy pacjentów, którzy nie dostali wyniku histopatologii w terminie. To personel, który nie pamiętał, jaki lek wcześniej podawał. To lekarze, którzy zamiast leczyć przepisywali ręcznie kartoteki. I to nie jest jednorazowy wypadek, tylko codzienny argument za tym, że dyrektywa NIS2 wreszcie trafia do polskiego prawa.

Mniej więcej w tym samym czasie, po 17 miesiącach opóźnienia, Polska wdrożyła unijną dyrektywę NIS2. To nie jest zbieg okoliczności. Ustawodawca wie, że nasza ochrona zdrowia jest pod stałym ogniem. Nowa ustawa nie pomoże szpitalom, które już zostały zaatakowane. Może pomóc tym, którzy nie czekają na swoją kolej.

Ten tekst jest dla osób, które wiedzą, że NIS2 coś zmienia, ale nie są pewne, czy to dotyczy ich firmy, kiedy reagować i co realnie trzeba zrobić.

NIS2 w 60 sekundach

NIS2 to dyrektywa unijna o cyberbezpieczeństwie z grudnia 2022 roku (oficjalnie: dyrektywa 2022/2555). Zastąpiła starszą NIS z 2016 roku, która okazała się za wąska. Stara dyrektywa obejmowała siedem sektorów, nowa obejmuje osiemnaście. Stara dotyczyła garstki operatorów usług kluczowych, nowa obejmie w samej Polsce około 38 tysięcy podmiotów.

Trzy rzeczy są naprawdę nowe:

  • Samoidentyfikacja. To Ty masz ustalić, czy podlegasz, i wpisać się do oficjalnego wykazu. Państwo nie przyjdzie z listą.
  • Bezpieczeństwo łańcucha dostaw. Twoja firma musi mieć udokumentowaną kontrolę nad bezpieczeństwem dostawców. To znaczy też, że Twoi klienci będą tego samego wymagać od Ciebie.
  • Osobista odpowiedzialność zarządu. Cyberbezpieczeństwo nie jest już problemem działu IT. Prezes, dyrektor i członek zarządu odpowiadają osobiście za nadzór nad wdrożeniem.

Karę, w odróżnieniu od RODO, można dostać nie tylko za wyciek danych. Można dostać za samo niewdrożenie wymaganych środków. Nawet jeśli nigdy nie miałeś incydentu.

NIS2 vs NIS vs RODO: czego nie myl

Trzy regulacje, które brzmią podobnie i zwykle są mylone w rozmowach z zarządem. Krótkie rozróżnienie.

RODO (2018)

Chroni dane osobowe. Organem nadzoru jest UODO. Karze za wyciek danych lub niezgodne przetwarzanie. Stosuje się do każdej firmy w UE, która przetwarza dane osobowe.

Stara NIS (2016)

Pierwsza unijna dyrektywa o cyberbezpieczeństwie infrastruktury krytycznej. W Polsce wdrożona w 2018 r. Objęła około 400 podmiotów. Zastąpiona przez NIS2.

NIS2 (2022)

Następczyni NIS. Szerszy zakres: 18 sektorów, około 38 tys. podmiotów w Polsce. Wymóg ochrony łańcucha dostaw i osobistej odpowiedzialności zarządu. Polskim organem nadzoru są sektorowe CSIRT-y i minister cyfryzacji.

Najczęstsza pułapka w rozmowach z zarządem: mam wdrożone RODO, więc spełniam NIS2. To nieprawda. RODO chroni dane osobowe, NIS2 chroni ciągłość usługi. Działają w tym samym kierunku, ale nie zastępują się nawzajem. Możesz dostać kary z obu reżimów za różne aspekty tego samego incydentu (z ograniczeniem ne bis in idem, o którym piszemy niżej).

NIS2 w Polsce: terminy 2026-2028

Polska ratyfikowała dyrektywę przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (uKSC).

  • 23 stycznia 2026. Sejm uchwala nowelizację.
  • 19 lutego 2026. Prezydent Karol Nawrocki podpisuje ustawę. Jednocześnie kieruje ją do następczej kontroli Trybunału Konstytucyjnego (sporne są zwłaszcza przepisy o dostawcy wysokiego ryzyka).
  • 2 marca 2026. Publikacja w Dzienniku Ustaw (Dz.U. 2026 poz. 252).
  • 3 kwietnia 2026. Ustawa wchodzi w życie. Od tego dnia obowiązuje obowiązek zgłaszania incydentów (24h / 72h / 1 miesiąc) i samoidentyfikacja.
  • 3 października 2026. Termin wpisu do wykazu (samorejestracja w systemie S46 prowadzonym przez NASK) dla podmiotów objętych od pierwszego dnia.
  • 3 kwietnia 2027. Koniec okresu dostosowawczego. Pełne wdrożenie systemu zarządzania bezpieczeństwem.
  • 3 kwietnia 2028. Pierwszy obowiązkowy audyt dla podmiotów kluczowych. Od tej daty można nakładać kary administracyjne.

Trzy daty zapisz w kalendarzu: październik 2026, kwiecień 2027, kwiecień 2028.

Trybunał Konstytucyjny może w międzyczasie uchylić jakąś część ustawy. Do dnia ewentualnego wyroku terminy biegną normalnie. Warto monitorować, nie warto czekać.

Czy NIS2 dotyczy mojej firmy

To pytanie pada w naszych rozmowach częściej niż jakiekolwiek inne. Odpowiedź zależy od dwóch rzeczy: sektora i wielkości. Niżej cztery najczęstsze przypadki.

Klinika, szpital, NZOZ

Sektor ochrony zdrowia jest w załączniku pierwszym (najwyższa krytyczność). Praktyczne reguły:

  • Szpital lub klinika z 250+ osobami albo obrotem powyżej 50 mln EUR to podmiot kluczowy.
  • Klinika z 50 do 249 osobami albo obrotem 10 do 50 mln EUR to podmiot ważny.
  • SPZOZ podlega zawsze, niezależnie od wielkości.
  • Każdy podmiot z SOR-em lub centrum urazowym jest kluczowy z urzędu.

Mała prywatna przychodnia poniżej 50 osób formalnie zwykle nie podlega. Ale jeżeli jest podwykonawcą podmiotu kluczowego (kontrakt NFZ, sieć z dużym szpitalem) albo świadczy usługę krytyczną w gminie, sytuacja się komplikuje. Praktycznie każdy szpital powiatowy, wojewódzki i kliniczny przekracza próg.

Kancelaria prawna

Generalnie nie. Sektor usług prawnych nie figuruje w załącznikach do NIS2. Niezależnie od liczby prawników.

Z dwoma zastrzeżeniami. Po pierwsze, kancelarie i tak podlegają RODO i tajemnicy zawodowej, więc cyberbezpieczeństwo jest tematem niezależnie od NIS2. Po drugie, jeżeli obsługujesz klienta kluczowego (szpital, bank, energetykę), prędzej czy później ten klient zażąda od Ciebie kontraktowych klauzul bezpieczeństwa. O łańcuchu dostaw piszemy niżej.

NGO i fundacja

Zależy od działalności, nie formy prawnej. Fundacja prowadząca hospicjum lub przychodnię działa w sektorze zdrowia i może podlegać. Typowa fundacja kulturalna, edukacyjna czy charytatywna nie ma sektora w załącznikach.

Pamiętaj jednak: korzystanie z funduszy europejskich (FE, KPO) coraz częściej wymaga już wdrożonych polityk bezpieczeństwa informacji. NIS2 czy nie, recenzent grantowy chętnie zajrzy do regulaminu.

Software house, firma IT

To miejsce, w którym najczęściej widzimy nieporozumienie.

Sektor zarządzania usługami ICT jest w załączniku pierwszym i obejmuje MSP i MSSP, czyli firmy świadczące zarządzane usługi IT i zarządzane usługi bezpieczeństwa. Polska ustawa idzie tu dalej niż minimum unijne: MSSP podlega już od progu małego przedsiębiorcy (10 osób, 2 mln EUR obrotu).

W praktyce:

  • Software house, który pisze kod na zamówienie i oddaje klientowi: nie podlega, dopóki nie spełnia ogólnych progów wielkości.
  • Software house, który hostuje, monitoruje, utrzymuje klienckie środowiska: może podlegać już od 10 osób.
  • Firma od chmury, hostingu, data center, DNS, kwalifikowanych usług zaufania: podlega niezależnie od wielkości (specjalne wyjątki).

Druga rzecz, o której rzadko się mówi: nawet jeśli formalnie nie podlegasz, Twoi klienci-podmioty kluczowe będą żądać od Ciebie zgodności z NIS2 kontraktowo. To nie jest fantazja sprzedawców MSSP. To wymóg art. 21 ust. 2 lit. d dyrektywy, który mówi o bezpieczeństwie łańcucha dostaw.

Łańcuch dostaw w NIS2: czego zażądają klienci

Większość czytelników tego tekstu nie podlega NIS2 bezpośrednio. To dobra wiadomość: nie musisz iść z oświadczeniami pod rygorem karnym do urzędu, nie musisz zatrudniać DPO-bisa.

Zła wiadomość: Twoi klienci, którzy podlegają, będą wymagać od Ciebie kontraktowych klauzul bezpieczeństwa. Już to widać w przetargach publicznych i w korporacyjnych zaproszeniach do współpracy. Pojawiają się ankiety bezpieczeństwa, klauzule o prawie do audytu, wymogi co do MFA, kopii zapasowych i czasu odpowiedzi na incydent.

W EPKO siedzimy po obu stronach tego stołu. Sami jesteśmy dostawcą IT dla klientów, którzy podlegają regulacjom UE (zdrowie, finanse, kancelarie obsługujące banki). I sami stosujemy te same wymagania wobec naszych dostawców (hosting, monitoring, zewnętrzne API).

Jeśli prowadzisz małą lub średnią firmę i jeden z Twoich największych kontraktów wymaga zgodności z NIS2, w praktyce chodzi o cztery rzeczy:

  • Udokumentowana polityka bezpieczeństwa informacji.
  • MFA na wszystkich kontach z dostępem do danych klienta.
  • Działający proces zgłaszania incydentów do klienta w czasie zgodnym z jego wewnętrzną procedurą (zwykle krótszy niż 24 godziny).
  • Coroczne, udokumentowane szkolenie zespołu z cyberhigieny.

To minimum dla firmy 5 do 15 osobowej można wdrożyć w 2 do 3 miesięcy bez dramatów. Większy problem zaczyna się tam, gdzie klient chce widzieć certyfikat ISO 27001 albo równoważny. To temat na osobny artykuł.

Wdrożenie NIS2 krok po kroku

Cztery fazy. Trzymaj się tej kolejności, niezależnie od rozmiaru firmy.

Pierwsze 30 dni od ustalenia statusu

  • Krótka nota dla zarządu: jesteśmy kluczowi czy ważni, na podstawie jakiego progu.
  • Wyznacz dwie osoby kontaktowe do KSC (jedną główną, jedną zastępczą).
  • Wyznacz członka zarządu jako sponsora programu.
  • Zrób inwentaryzację krytycznych systemów (na jednej kartce, nie w Excelu z 200 kolumnami).

Do końca 6 miesięcy

  • Wpis do wykazu w aplikacji Wykaz KSC i systemie S46 (podpis elektroniczny, oświadczenie pod rygorem karnym, więc czytaj).
  • Gap analysis względem 10 punktów art. 21 dyrektywy: analiza ryzyka, obsługa incydentów, ciągłość działania, łańcuch dostaw, MFA, szyfrowanie, szkolenia, kontrola dostępu i tak dalej.
  • Przećwicz procedurę zgłoszenia incydentu 24/72/1 miesiąc. Realnie, na sucho, ze stoperem.

Do końca 12 miesięcy

  • Pełny system zarządzania bezpieczeństwem informacji (najprościej mapowany na ISO 27001:2022).
  • Polityki: ciągłości działania, kontroli dostępu, MFA, kryptografii.
  • Klauzule bezpieczeństwa w umowach z dostawcami.
  • Udokumentowane szkolenia.
  • Backup w regule 3-2-1-1-0 (trzy kopie, na dwóch nośnikach, jedna offsite, jedna offline, zero błędów przy przywracaniu).

Do końca 24 miesięcy (tylko podmioty kluczowe)

Pierwszy zewnętrzny audyt zgodności. Od tej daty można nakładać kary.

Jeśli zaczynasz dzisiaj (maj 2026), masz jeszcze pełen okres przewidziany ustawą. Jeśli zaczniesz w grudniu, drugą fazę będziesz robić pod presją czasu. Trzecia faza pod presją czasu po prostu się nie udaje.

Kary za brak zgodności z NIS2

Kary, o których słyszysz w mailach od sprzedawców MSSP, są realne, ale dopiero od kwietnia 2028 roku. Polska ustawa wprowadziła moratorium karne (art. 35 nowelizacji).

Maksymalne wymiary kar:

  • Podmiot kluczowy: do 10 mln EUR lub 2% rocznego światowego obrotu (która z wartości jest wyższa). Polskie minimum 20 000 zł.
  • Podmiot ważny: do 7 mln EUR lub 1,4% obrotu. Polskie minimum 15 000 zł.
  • Kierownik firmy prywatnej: do 300% rocznego wynagrodzenia.
  • Kierownik firmy publicznej: do 100% wynagrodzenia.

Plus zakaz pełnienia funkcji kierowniczych. Plus obowiązek publicznego oświadczenia o naruszeniu. Plus wiążące zalecenia naprawcze.

Ważna ulga: jeśli za ten sam czyn już zostałeś prawomocnie ukarany przez UODO za naruszenie RODO, postępowania KSC się nie wszczyna (klauzula ne bis in idem, art. 76c uKSC).

I uczciwa rzecz: dla większości czytelników tego tekstu realne ryzyko to nie kara administracyjna. Realne ryzyko to:

  1. Utrata kontraktu z dużym klientem, który zażąda klauzul.
  2. Incydent, który zatrzyma działalność na trzy tygodnie.
  3. Dla firm z zarządem kolegialnym: osobista odpowiedzialność każdego członka zarządu, nawet jeśli nie wskazano osoby właściwej.

Każde z tych trzech ryzyk jest bliższe niż kwiecień 2028.

Glosariusz NIS2: skróty, których używamy

Dla osób, które trafiły tu z Google bez bagażu skrótów.

  • MSP (managed service provider): dostawca usług zarządzanych IT (hosting, monitoring, administracja środowisk klienta).
  • MSSP (managed security service provider): dostawca zarządzanych usług bezpieczeństwa (SOC, SIEM, EDR, monitoring zagrożeń).
  • SPZOZ: Samodzielny Publiczny Zakład Opieki Zdrowotnej. Każdy SPZOZ podlega NIS2 niezależnie od wielkości.
  • NZOZ: Niepubliczny Zakład Opieki Zdrowotnej. Historyczna nazwa, dziś formalnie 'podmiot leczniczy niebędący przedsiębiorcą'.
  • SOR: Szpitalny Oddział Ratunkowy. Posiadanie SOR-u czyni szpital podmiotem kluczowym z urzędu.
  • MFA (multi-factor authentication): uwierzytelnianie wieloskładnikowe. Twardy wymóg art. 21 NIS2.
  • KSC: Krajowy System Cyberbezpieczeństwa. Polska ustawa transponująca NIS2.
  • CSIRT (Computer Security Incident Response Team): zespoły reagowania na incydenty. Sektorowe CSIRT-y przyjmują zgłoszenia.
  • S46: system zgłaszania incydentów i samorejestracji w wykazie, prowadzony przez NASK.

Pierwszy krok we wdrożeniu NIS2

Jeśli prowadzisz klinikę, hospicjum, SPZOZ albo średnią firmę w jednym z 18 sektorów: NIS2 dotyczy Ciebie i przyda się plan. Pierwszy krok jest tani: nota statusowa, dwie osoby kontaktowe, członek zarządu jako sponsor.

Jeśli prowadzisz małą firmę IT, kancelarię albo fundację bez działalności medycznej: NIS2 nie dotyczy Ciebie bezpośrednio. Ale zerknij, kto jest Twoim największym klientem. Jeśli to szpital, bank albo dystrybutor energii, w ciągu roku Twoja umowa się zmieni.

Jeśli nie wiesz, w której z tych grup jesteś, napisz do nas. Zrobimy uczciwą ocenę statusu, nie audyt za 50 tysięcy.

Najczęściej zadawane pytania

Jak szybko muszę zareagować, jeśli okaże się, że podlegam NIS2?
W ciągu 30 dni przygotuj notę dla zarządu, wyznacz 2 osoby kontaktowe do KSC, sponsora w zarządzie i zrób prostą inwentaryzację krytycznych systemów. Do 6 miesięcy złóż wpis do wykazu i wykonaj gap analysis względem art. 21 NIS2.
Czy mała firma IT bez usług zarządzanych podlega NIS2?
Typowy software house, który tylko tworzy oprogramowanie i nie utrzymuje środowisk klienta, zwykle nie podlega NIS2. Sytuacja zmienia się, gdy świadczysz usługi MSP/MSSP lub hostujesz, monitorujesz i administrujesz systemami klienta – wtedy możesz podlegać już od 10 osób.
Jakie są realne kary za brak zgodności z NIS2?
Dla podmiotów kluczowych do 10 mln EUR lub 2% światowego obrotu, dla ważnych do 7 mln EUR lub 1,4% obrotu, plus osobiste kary dla kierownictwa i zakaz pełnienia funkcji. Kary będą stosowane po pierwszych audytach, od kwietnia 2028 r.
Co jeśli nie podlegam NIS2, ale mój klient tak?
Twój klient prawdopodobnie wprowadzi do umowy wymagania bezpieczeństwa: politykę bezpieczeństwa informacji, MFA, procedury zgłaszania incydentów i szkolenia zespołu. Brak spełnienia tych wymogów może oznaczać utratę kontraktu, nawet bez formalnego podlegania NIS2.

Powiązane wpisy

Co RODO faktycznie wymaga od strony kliniki w 2026 (i co audytor sprawdza najpierw)

Formularz rezerwacji, opinie pacjentów, czat z recepcją, pixele marketingowe. Każde z tych miejsc to przetwarzanie danych pacjenta. Co RODO naprawdę wymaga od strony kliniki, co audytor sprawdza pierwsze i jak to zrobić tak, żeby strona dalej sprzedawała.

16.06.20269 min czytania

ZnanyLekarz, Booksy, własna strona, własny system rezerwacji: ekonomika i kontrola

Co miesiąc patrzysz na trzy faktury i pytasz, czy nie czas na własny system rezerwacji. Realna ekonomika prowizji, ukryte koszty kontroli i próg, w którym własne rozwiązanie zwraca się szybciej niż dalsza opłata za portal.

19.05.202610 min czytania

Ile kosztuje strona kliniki w 2026: cztery progi i co naprawdę kupujesz

Porównanie realnych kosztów strony kliniki w Polsce w 2026 roku: od wizytówki za 5 000 zł po platformę z rezerwacją online, SMS-ami i integracją z EDM.

15.05.202615 min czytania
Zobacz wszystkie wpisy