Terminy NIS2 i UKSC
3 kwietnia 2026 roku nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa weszła w życie. Dla ok. 42 tysięcy polskich organizacji oznacza to jedno: zegar zaczął tykać. Pierwsze twarde terminy są bliżej, niż większości firm się wydaje. Do obowiązku rejestracji zostało mniej niż 6 miesięcy. Do wdrożenia środków bezpieczeństwa – niecały rok. A budowa Systemu Zarządzania Bezpieczeństwem Informacji trwa zwykle od 6 do 12 miesięcy.
Kluczowe terminy NIS2 i UKSC – harmonogram 2026–2028
Poniżej znajdziesz wszystkie istotne daty wynikające z nowelizacji ustawy o KSC.
03.04.2026 | Wejście w życie nowelizacji UKSC Przepisy obowiązują. Od tego dnia możliwe jest już raportowanie incydentów i formalna komunikacja z organami nadzorczymi. |
06.05.2026 | Wpis z urzędu dla dotychczasowych OUK Podmioty, które przed 2 kwietnia 2026 r. miały status operatora usług kluczowych (OUK), zostają wpisane do nowego wykazu KSC z urzędu. Nie wymagają złożenia wniosku. |
12.06.2026 | Pełne uruchomienie systemu S46 System S46 staje się jedynym oficjalnym kanałem raportowania incydentów i komunikacji z organami nadzorczymi. Od tej daty organizacje powinny być zarejestrowane w systemie i zdolne do jego obsługi. |
03.10.2026 | TERMIN REJESTRACJI – samoidentyfikacja i wpis do wykazu KSC Podmioty kluczowe i ważne muszą złożyć wniosek o wpis do Wykazu KSC (wykaz-ksc.gov.pl). To pierwszy twardy termin ustawowy. Brak rejestracji = naruszenie przepisów. |
03.04.2027 | TERMIN WDROŻENIA – pełna zgodność operacyjna Do tej daty należy wdrożyć SZBI, procedury reagowania na incydenty, zarządzanie ryzykiem i ciągłość działania. Organizacje muszą w pełni operować w systemie S46. |
03.04.2028 | TERMIN AUDYTU – pierwszy obowiązkowy audyt podmiotów kluczowych + pełne egzekwowanie kar Podmioty kluczowe muszą przeprowadzić i udokumentować pierwszy obowiązkowy audyt bezpieczeństwa. Od tej daty organy nadzorcze mogą nakładać kary finansowe i egzekwować odpowiedzialność zarządu. |
Terminy NIS2 i UKSC. Co zrobić przed każdym terminem?
Do 3 października 2026 r. – rejestracja
To punkt, od którego organ nadzorczy formalnie wie o istnieniu twojej organizacji w reżimie UKSC.
- Samoidentyfikacja: sprawdź załączniki nr 1 i 2 do ustawy – czy twoja organizacja spełnia kryteria podmiotu kluczowego lub ważnego (branża, liczba pracowników, obrót).
- Wniosek rejestracyjny: złóż go przez stronę wykaz-ksc.gov.pl. Nie czekaj do końca września – system może być przeciążony.
- Rejestracja w S46: zarejestruj organizację w systemie teleinformatycznym S46, który służy do raportowania incydentów.
- Wstępna analiza luk: nawet uproszczony gap analysis pozwoli oszacować zakres prac przed terminem wdrożenia.
Do 3 kwietnia 2027 r. – wdrożenie środków bezpieczeństwa
To najważniejszy termin operacyjny całego harmonogramu. Budowa SZBI od zera zajmuje 6–12 miesięcy, więc organizacje, które jeszcze nie zaczęły, są już w opóźnieniu.
- System Zarządzania Bezpieczeństwem Informacji (SZBI): polityki, procedury, przypisanie odpowiedzialności, model raportowania do zarządu.
- Zarządzanie ryzykiem: systematyczna identyfikacja zagrożeń, ocena wpływu, wdrożenie środków mitygujących.
- Procedury reagowania na incydenty: harmonogram zegarowy – wstępne zgłoszenie do CSIRT w ciągu 24h, pełne zgłoszenie w 72h, raport końcowy w ciągu miesiąca.
- Ciągłość działania: plany BCP/DRP dla procesów krytycznych.
- Zarządzanie dostawcami: weryfikacja łańcucha dostaw, umowy SLA z wymaganiami bezpieczeństwa.
- Obsługa systemu S46: pełna gotowość operacyjna do raportowania i komunikacji z organami nadzorczymi.
Do 3 kwietnia 2028 r. – audyt i pełne egzekwowanie
Podmioty kluczowe mają 24 miesiące od wdrożenia na przeprowadzenie pierwszego obowiązkowego audytu. Warto zaplanować go z wyprzedzeniem – audyt nie jest formalnością, a organ nadzorczy może żądać dokumentacji z całego okresu wdrożenia.
- Audyt bezpieczeństwa u niezależnego podmiotu.
- Dokumentacja operacyjna z okresu wdrożenia (logi, zapisy decyzji, dowody testów).
- Przygotowanie na możliwe postępowania nadzorcze i kontrole.
Sprawdź, czy podlegasz pod UKSC (NIS2)
Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!
Podmioty kluczowe a ważne – czy terminy NIS2 i UKSC się różnią?
Co do zasady terminy rejestracji (3.10.2026) i wdrożenia (3.04.2027) dotyczą zarówno podmiotów kluczowych, jak i ważnych. Różnice pojawiają się na etapie audytu i nadzoru:
Termin | Podmiot kluczowy | Podmiot ważny |
Rejestracja | 03.10.2026 | 03.10.2026 |
Wdrożenie SZBI i procedur | 03.04.2027 | 03.04.2027 |
Pierwszy audyt | 03.04.2028 (obowiązkowy) | Brak twardego terminu ustawowego* |
Nadzór organów | Proaktywny (ex ante) | Reaktywny (ex post) |
Max. kara finansowa | Do 10 mln EUR lub 2% obrotu | Do 7 mln EUR lub 1,4% obrotu |
* Podmioty ważne mogą być objęte audytem na żądanie organu nadzorczego. Dobra praktyka to przeprowadzenie go jednocześnie z podmiotami kluczowymi.
Najczęstsze błędy w planowaniu harmonogramu NIS2
Na podstawie doświadczeń z wdrożeń w różnych sektorach wyróżniamy pięć błędów, które najczęściej przesuwają organizacje w stronę niezgodności:
1. Zaczniemy po wakacjach
Budowa SZBI, wdrożenie procedur, szkolenia pracowników i rejestracja to procesy, które łącznie zajmują 6–12 miesięcy. Organizacja, która startuje w sierpniu 2026 r., nie zdąży do terminu wdrożenia w kwietniu 2027 r.
2. Mamy ISO 27001, więc jesteśmy bezpieczni
ISO 27001 to solidna podstawa, ale nie gwarantuje automatycznej zgodności z UKSC/NIS2. Ustawa nakłada dodatkowe obowiązki: rejestrację, obsługę systemu S46, raportowanie incydentów w określonych ramach czasowych i odpowiedzialność zarządu. Pisaliśmy o tym szczegółowo w artykule ISO 27001 a NIS2 i UKSC.
3. Czekamy na rozporządzenia wykonawcze
Część wymagań technicznych zostanie doprecyzowana w aktach wykonawczych. Nie oznacza to jednak, że nie wiadomo, co wdrażać. Obowiązek SZBI, zarządzania ryzykiem i ciągłości działania jest jasno określony w ustawie. Czekanie na rozporządzenia jako pretekst do niedziałania to strategia wysokiego ryzyka.
4. Traktowanie wdrożenia jako projektu IT
NIS2 to projekt organizacyjny, nie tylko techniczny. Zarząd ponosi osobistą odpowiedzialność za zgodność i musi aktywnie uczestniczyć w procesie wdrożenia. Delegowanie całości do działu IT lub zewnętrznego konsultanta bez zaangażowania kadry zarządczej to błąd, który ujawnia się dopiero podczas kontroli.
5. Brak planu na pierwsze 24 godziny od incydentu
NIS2 wymaga wstępnego zgłoszenia poważnego incydentu do CSIRT w ciągu 24 godzin. Organizacje bez gotowych procedur i monitoringu 24/7 fizycznie nie będą w stanie spełnić tego wymogu. Wdrożenie systemu raportowania to nie projekt na koniec – to jeden z pierwszych kroków.
Ile masz czasu na wdrożenie NIS2?
Czas na działanie (stan na kwiecień 2026)
Do rejestracji (03.10.2026): ok. 5,5 miesiąca
Do wdrożenia (03.04.2027): ok. 11,5 miesiąca
Typowy czas budowy SZBI od zera: 6–12 miesięcy
Wniosek: organizacje, które jeszcze nie zaczęły, mają mało buforu. Każdy miesiąc opóźnienia zwiększa ryzyko niezgodności
Najczęściej zadawane pytania o terminy NIS2
Termin to 2 października 2026 roku. Wniosek składa się przez stronę wykaz-ksc.gov.pl. Organizacje, które przed 2 kwietnia 2026 r. miały status operatora usług kluczowych (OUK), zostają wpisane do nowego wykazu z urzędu do 6 maja 2026 r. – nie muszą składać wniosku
O statusie decydują trzy kryteria łącznie: sektor działalności (załączniki 1 i 2 do ustawy), liczba pracowników i roczny obrót. Możesz sprawdzić to samodzielnie lub skorzystać z naszego narzędzia samoidentyfikacji NIS2.
Podmioty kluczowe mogą być ukarane karą finansową do 10 mln EUR lub 2% rocznego obrotu (wyższa kwota jest podstawą wymiaru). Zarząd ponosi osobistą odpowiedzialność. Podmioty ważne – do 7 mln EUR lub 1,4% obrotu. Kary te stają się jednak realnym narzędziem egzekwowania dopiero od 2028 roku, gdy wchodzi pełny nadzór i audyt.
Nie – ISO 27001 znacznie ułatwia wdrożenie, ale nie zastępuje obowiązków wynikających z UKSC (m.in. rejestracji, obsługi S46, raportowania incydentów). Szczegółowo omawiamy to w artykule ISO 27001 a NIS2 i UKSC.
Nie wiesz, od czego zacząć?
NIS2 to jednocześnie projekt techniczny i prawny. Błędem jest rozdzielanie ich na dwa oddzielne zlecenia. SEDIVIO wdraża środki bezpieczeństwa i współpracuje z kancelariami prawnymi — po to, żeby twoja organizacja była zgodna z przepisami.
Skontaktuj się z nami — bez zobowiązań.
