Od 3 kwietnia 2026 roku w Polsce obowiązuje znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2. Dla tysięcy organizacji w Polsce oznacza to nowe obowiązki w zakresie cyberbezpieczeństwa — niezależnie od tego czy już stosują RODO. Bo RODO i NIS2 to dwa odrębne akty prawne, które działają równolegle i obejmują częściowo te same obszary: zarządzanie ryzykiem, bezpieczeństwo danych i zgłaszanie incydentów.
Czym jest NIS2 i ustawa KSC
NIS2 (dyrektywa 2022/2555) to unijna regulacja nakładająca obowiązki w zakresie cyberbezpieczeństwa na podmioty działające w kluczowych sektorach gospodarki. W Polsce została wdrożona przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, opublikowaną 2 marca 2026 roku, która weszła w życie 3 kwietnia 2026 roku.
NIS2 zastępuje poprzednią dyrektywę NIS z 2016 roku i znacząco rozszerza katalog podmiotów objętych regulacją — obejmując nie tylko operatorów infrastruktury krytycznej, ale też organizacje z 18 sektorów gospodarki, w tym branżę spożywczą, chemiczną, usługi pocztowe i gospodarkę ściekową.
Kogo dotyczy ustawa KSC — podmioty kluczowe i ważne
Ustawa KSC wprowadza podział na dwie kategorie podmiotów:
Podmioty kluczowe (Essential Entities) — sektory o najwyższym stopniu krytyczności: energia, transport, bankowość i infrastruktura rynku finansowego, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna. Podlegają surowszym obowiązkom i częstszym audytom.
Podmioty ważne (Important Entities) — usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja wyrobów medycznych, maszyn i urządzeń, pojazdów silnikowych, sprzętu elektronicznego, usługi cyfrowe, badania naukowe.
Próg wielkości: co do zasady regulacja obejmuje średnie i duże przedsiębiorstwa — minimum 50 pracowników oraz odpowiednie progi finansowe (10 mln EUR obrotu lub bilansu). Jednak część podmiotów jest objęta niezależnie od wielkości — jeżeli pełnią szczególną funkcję w ekosystemie cyfrowym lub infrastrukturalnym.
Samoidentyfikacja: obowiązuje model samoidentyfikacji — organizacja musi samodzielnie ocenić czy spełnia kryteria uznania za podmiot kluczowy lub ważny. Jeśli tak — ma 6 miesięcy od wejścia w życie ustawy (do 3 października 2026 roku) na złożenie wniosku o wpis do wykazu prowadzonego przez Ministerstwo Cyfryzacji.
Kluczowe terminy
3 kwietnia 2026 — wejście w życie ustawy KSC, obowiązki dotyczące zgłaszania incydentów działają od tego dnia
3 października 2026 — termin złożenia wniosku o wpis do wykazu podmiotów kluczowych i ważnych (6 miesięcy od wejścia w życie)
3 kwietnia 2027 — termin wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) i procedur zarządzania ryzykiem (12 miesięcy od wejścia w życie)
~kwiecień 2028 — termin przeprowadzenia pierwszego audytu zgodności dla podmiotów kluczowych (24 miesiące od wejścia w życie)
Okres bezkarności: ustawa przewiduje że administracyjne kary pieniężne będą mogły być nakładane po raz pierwszy dopiero po upływie 2 lat od daty wejścia w życie — czyli od około kwietnia 2028. To celowy zabieg ustawodawcy, dający czas na naukę nowych procedur.
Gdzie NIS2 i RODO się pokrywają
Obie regulacje działają równolegle — NIS2 nie zastępuje RODO i odwrotnie. Ale obejmują te same obszary, nakładając podobne — choć nie identyczne — wymagania. Organizacje objęte obiema regulacjami muszą spełniać wymagania obu jednocześnie.
Zarządzanie ryzykiem — zarówno RODO (art. 32) jak i NIS2 wymagają analizy ryzyka i wdrożenia odpowiednich środków technicznych i organizacyjnych. RODO koncentruje się na ryzyku dla praw i wolności osób fizycznych, NIS2 na ryzyku dla ciągłości działania usług i bezpieczeństwa systemów. W praktyce organizacja która ma wdrożoną ocenę ryzyka DPIA pod RODO — ma solidną podstawę pod wymagania NIS2, ale musi ją rozszerzyć o perspektywę cyberbezpieczeństwa.
Zgłaszanie incydentów — RODO wymaga zgłoszenia naruszenia ochrony danych do UODO w ciągu 72 godzin. NIS2 wprowadza jeszcze surowsze terminy: wstępne zgłoszenie poważnego incydentu do właściwego CSIRT w ciągu 24 godzin, pełne zgłoszenie w ciągu 72 godzin, sprawozdanie końcowe po miesiącu. Incydent NIS2 może — ale nie musi — być jednocześnie naruszeniem danych osobowych w rozumieniu RODO. Jeżeli jest, może wymagać równoległego zgłoszenia do UODO.
Bezpieczeństwo techniczne i organizacyjne — art. 32 RODO i NIS2 nakładają podobne wymagania: szyfrowanie, kontrola dostępu, zarządzanie podatnościami, ciągłość działania. Organizacje które wdrożyły środki bezpieczeństwa pod RODO mają dobry punkt startowy dla NIS2 — ale wymagania NIS2 są bardziej szczegółowe technicznie.
Odpowiedzialność kierownictwa — zarówno RODO jak i NIS2 kładą nacisk na odpowiedzialność zarządu. W NIS2 jest to wyrażone wprost: kierownicy podmiotów kluczowych i ważnych są bezpośrednio odpowiedzialni za realizację obowiązków cyberbezpieczeństwa i mogą ponosić osobistą odpowiedzialność za naruszenia.
Dokumentacja i rozliczalność — RODO wymaga prowadzenia rejestru czynności przetwarzania i dokumentowania polityk. NIS2 wymaga prowadzenia rejestru incydentów, dokumentacji środków bezpieczeństwa i polityk zarządzania ryzykiem. W wielu przypadkach dokumentacja RODO jest podstawą do rozbudowania pod wymagania NIS2.
Co NIS2 dodaje ponad RODO
NIS2 wykracza poza RODO w kilku istotnych obszarach:
Bezpieczeństwo łańcucha dostaw — NIS2 wymaga oceny i zarządzania ryzykiem cyberbezpieczeństwa u dostawców i podwykonawców. RODO reguluje umowy powierzenia przetwarzania — NIS2 idzie dalej, wymagając aktywnej oceny poziomu bezpieczeństwa całego łańcucha dostaw.
Ciągłość działania i zarządzanie kryzysowe — NIS2 wymaga planów ciągłości działania (BCP) i planów przywracania działalności po incydencie (DRP). RODO nie ma takich wymagań wprost — choć wymaga środków zapewniających „zdolność do szybkiego przywrócenia dostępności danych”.
Szkolenia zarządu — NIS2 explicite wymaga szkoleń kadry zarządzającej z zakresu cyberbezpieczeństwa. To novum w stosunku do RODO.
Audyt zgodności — podmioty kluczowe mają obowiązek przeprowadzenia audytu zgodności z przepisami KSC w ciągu 24 miesięcy od wejścia w życie ustawy.
Rola IOD w kontekście NIS2
Inspektor Ochrony Danych wyznaczony na podstawie RODO nie zastępuje wymagań NIS2 dotyczących specjalistów cyberbezpieczeństwa. To dwie odrębne funkcje. IOD koncentruje się na ochronie danych osobowych i zgodności z RODO — NIS2 wymaga kompetencji z zakresu cyberbezpieczeństwa technicznego i zarządzania incydentami.
Jednak IOD może — i powinien — współpracować z osobami odpowiedzialnymi za NIS2 w zakresie: incydentów które jednocześnie są naruszeniami danych osobowych, dokumentowania środków bezpieczeństwa wymaganych przez obie regulacje, oceny ryzyka obejmującej zarówno perspektywę RODO jak i NIS2.
Praktyczny plan — co zrobić teraz
Krok 1 — Sprawdź czy podlegasz pod NIS2 (do 3 października 2026) Oceń czy Twoja organizacja działa w jednym z 18 sektorów objętych ustawą KSC i czy spełnia kryterium wielkości (≥50 pracowników i ≥10 mln EUR obrotu). Jeśli tak — złóż wniosek o wpis do wykazu podmiotów kluczowych i ważnych.
Krok 2 — Zmapuj luki względem NIS2 Porównaj istniejące dokumenty i procedury RODO z wymaganiami NIS2. Wiele elementów — ocena ryzyka, polityki bezpieczeństwa, procedury reagowania na incydenty — można rozbudować zamiast tworzyć od zera.
Krok 3 — Wdróż system zarządzania bezpieczeństwem informacji (do 3 kwietnia 2027) SZBI powinien obejmować procedury zarządzania ryzykiem, zarządzania incydentami, ciągłości działania i bezpieczeństwa łańcucha dostaw.
Krok 4 — Przygotuj procedury zgłaszania incydentów Procedury muszą działać od 3 kwietnia 2026 roku — incydent może zdarzyć się w każdej chwili. Termin 24-godzinny na wstępne zgłoszenie do CSIRT jest surowszy niż 72-godzinny termin RODO.
Krok 5 — Przeprowadź audyt zgodności (do ~kwietnia 2028, dla podmiotów kluczowych) Audyt potwierdza spełnienie obowiązków i jest wymagany przez ustawę KSC dla podmiotów kluczowych.
Podsumowanie
NIS2 i RODO to dwie regulacje które nakładają się na siebie w obszarze zarządzania ryzykiem, bezpieczeństwa danych i reagowania na incydenty — ale mają różny zakres i cele. RODO chroni prawa osób fizycznych. NIS2 chroni ciągłość działania usług kluczowych i bezpieczeństwo systemów informacyjnych. Organizacje objęte obiema regulacjami muszą spełniać wymagania obu — jednocześnie mając szansę wykorzystać istniejącą dokumentację RODO jako punkt wyjścia. Kluczowy termin najbliższy: 3 października 2026 roku — wpis do wykazu podmiotów kluczowych i ważnych.
FAQ
Nie — regulacja obejmuje co do zasady średnie i duże przedsiębiorstwa (≥50 pracowników) działające w 18 określonych sektorach. Część podmiotów jest objęta niezależnie od wielkości ze względu na szczególną funkcję w infrastrukturze.
Częściowo. Wiele elementów się pokrywa — ocena ryzyka, polityki bezpieczeństwa, reagowanie na incydenty. Ale NIS2 dodaje wymagania których RODO nie ma: bezpieczeństwo łańcucha dostaw, plany ciągłości działania, szkolenia zarządu, audyt zgodności.
Ustawa przewiduje okres bezkarności — administracyjne kary pieniężne mogą być nakładane najwcześniej po 2 latach od wejścia w życie ustawy, czyli od około kwietnia 2028. Maksymalna kara dla podmiotów kluczowych to 10 mln EUR lub 2% rocznego obrotu.
CSIRT (Computer Security Incident Response Team) to zespół reagowania na incydenty cyberbezpieczeństwa. W Polsce funkcjonują CSIRT NASK, CSIRT GOV i CSIRT MON. Zgłoszeń dokonuje się przez system S46. Termin wstępnego zgłoszenia poważnego incydentu to 24 godziny od jego wykrycia.
IOD i specjalista ds. cyberbezpieczeństwa NIS2 to dwie odrębne funkcje z różnymi kompetencjami. Jedna osoba może pełnić obie role — ale musi posiadać kompetencje z obu obszarów i nie może zachodzić konflikt interesów.
RODO i NIS2 mają więcej wspólnego niż myślisz
Jeśli rozumiesz ocenę ryzyka w RODO i wiesz jak dokumentować incydenty — masz solidną podstawę do zrozumienia procesów wymaganych przez NIS2. iGDPR pomaga utrzymać porządek w RODO na co dzień.
Testuj teraz — 21 dni bezpłatnie
