NIS 2: terminy związane z samooceną po nowelizacji ustawy o KSC

24 lutego 2026 |

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS 2, została podpisana przez Prezydenta – ale jednocześnie skierowana do Trybunału Konstytucyjnego w trybie kontroli następczej. To ważny komunikat dla biznesu: to nie jest już „projekt, który kiedyś wejdzie, tylko akt, którego wejście w życie – co do zasady – jest kwestią publikacji w Dzienniku Ustaw i upływu vacatio legis.

Z perspektywy terminów najważniejsze jest jedno zdanie: ustawa ma wejść w życie po upływie miesiąca od dnia ogłoszenia. Dopóki nie ma ogłoszenia – „zegary” ustawowe jeszcze nie startują. Ale przygotowania warto zacząć wcześniej, bo w wielu organizacjach sama kwalifikacja („czy my w ogóle podlegamy?”) i budowa systemu zarządzania bezpieczeństwem informacji to proces, a nie jednorazowa czynność.

„Samoocena” – NIS 2 zaczyna się od pytania: „czy ja jestem podmiotem kluczowym albo ważnym?”

W potocznym obiegu funkcjonuje hasło „obowiązek samooceny”. W praktyce chodzi o to, że nowy model KSC opiera się na samoidentyfikacji: organizacja ma sama ustalić, czy spełnia przesłanki uznania jej za podmiot kluczowy albo podmiot ważny, a następnie złożyć wniosek o wpis do wykazu.

To nie jest wyłącznie „dobra praktyka” – wprost wynika z konstrukcji obowiązku wpisu: podmiot kluczowy lub ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania go za podmiot kluczowy lub ważny.

W tym miejscu „samoocena” ma dwa poziomy:

  1. Samoocena kwalifikacji (statusu) – czy działamy w sektorze/podsektorze objętym ustawą, czy spełniamy kryteria (w tym typowo: skala działalności), czy wchodzimy w katalog podmiotów objętych regulacją.
  2. Samoocena gotowości (compliance readiness) – skoro podlegamy, to jaki mamy dystans do wymagań rozdziału 3 (środki zarządzania ryzykiem, procedury, role, nadzór kierownictwa, zdolność obsługi incydentów itd.). Ten drugi element nie zawsze jest nazwany „samooceną” wprost, ale jest de facto konieczny, żeby sensownie zaplanować wdrożenie w czasie, który ustawodawca daje.

Co oznacza, że „podmiot spełnia przesłanki w dniu wejścia w życie ustawy”?

To sformułowanie jest kluczowe, bo uruchamia szczególne reguły przejściowe (inne niż standardowe „6 miesięcy od spełnienia przesłanek”).

Mówiąc prosto: jeżeli w dniu, w którym ustawa zacznie obowiązywać (dzień wejścia w życie), Twoja organizacja już „łapie się” na definicję podmiotu kluczowego albo ważnego – to jesteś w grupie „startowej”, objętej przepisami przejściowymi (art. 33 ust . 3 ustawy nowelizującej).

Przykład (najczęstszy scenariusz)

Załóżmy, że firma już dziś prowadzi działalność w jednym z sektorów objętych NIS 2/KSC, a jej skala (np. zatrudnienie/obrót) powoduje, że kwalifikuje się jako podmiot ważny. Ustawa zostaje ogłoszona w Dzienniku Ustaw, mija miesiąc i wchodzi w życie. W tym konkretnym dniu firma nie zaczyna dopiero działalności, nie „rośnie ponad próg” – ona już spełnia przesłanki. Wtedy:

  • nie stosujesz wyłącznie logiki „6 miesięcy od spełnienia przesłanek”, bo przesłanki spełniałeś już wcześniej,
  • wchodzisz w reżim przepisów przejściowych: m.in. termin na wdrożenie obowiązków liczony jest od dnia wejścia w życie (o tym za chwilę).

Kontrprzykład (podleganie powstaje później)

Jeżeli natomiast po wejściu w życie ustawy firma np. rozszerzy działalność na objęty sektor albo urośnie w sposób powodujący przekroczenie progu kwalifikacyjnego – to dopiero wtedy „spełni przesłanki”. W takim układzie kluczowy staje się termin 6 miesięcy od dnia spełnienia przesłanek na złożenie wniosku o wpis.

Terminy w praktyce: rejestracja, „harmonogram wniosków” i wdrożenie organizacyjne

1) Kiedy startuje system? (ogłoszenie → miesiąc → wejście w życie)

Najpierw musi być ogłoszenie w Dzienniku Ustaw, a potem upływ miesiąca vacatio legis – dopiero wtedy ustawa wchodzi w życie.

2) Wpis do wykazu i harmonogram składania wniosków

Co do zasady obowiązuje reguła: 6 miesięcy od spełnienia przesłanek na złożenie wniosku o wpis do wykazu.

Ale dla tych, którzy spełniają przesłanki już w dniu wejścia w życie, ustawodawca wprost przewidział „rozładowanie kolejki”:

  • takie podmioty mają złożyć wniosek zgodnie z harmonogramem, a harmonogram ma zostać ogłoszony komunikatem ministra właściwego ds. informatyzacji.
  • ten sam komunikat ma określać także harmonogram rozpoczęcia korzystania z systemu teleinformatycznego, w którym te wnioski i obsługa procesu mają funkcjonować.
  • ustawodawca wprost dopuszcza zmianę harmonogramu, jeżeli przeszkody techniczne lub organizacyjne uniemożliwiają realizację w wyznaczonych terminach.

Dodatkowo minister ma utworzyć sam wykaz w terminie miesiąca od wejścia w życie ustawy.

Jak to się „spina”? Harmonogram ma znaczenie przede wszystkim dla „dużej grupy startowej” – podmiotów, które już w dniu wejścia w życie spełniają przesłanki. Dla podmiotów, które dopiero później zaczną spełniać przesłanki, logika „6 miesięcy” pozostaje wiodąca.

3)Wdrożenie organizacyjne (roz. 3) – ile czasu mają podmioty „startowe”?

Dla podmiotów, które w dniu wejścia w życie spełniają przesłanki uznania ich za podmiot kluczowy albo ważny, przepisy przejściowe przewidują: realizację obowiązków z rozdziału 3 w terminie 12 miesięcy od dnia wejścia w życie ustawy.

To jest w praktyce „główny” termin wdrożeniowy – obejmujący m.in. ułożenie ładu organizacyjnego, procedur, odpowiedzialności, systemu zarządzania bezpieczeństwem informacji i zdolności reagowania.

4) Audyt – pierwszy raz po 24 miesiącach (dla podmiotów kluczowych „startowych”)

Podmioty, które w dniu wejścia w życie spełniają przesłanki uznania za podmiot kluczowy, mają przeprowadzić pierwszy audyt w terminie 24 miesięcy od dnia wejścia w życie ustawy.

5) Administracyjne kary pieniężne – dopiero po 2 latach

Warto odnotować jeszcze jedną „poduszkę czasową”: wskazane kary pieniężne mają być możliwe do nałożenia po raz pierwszy po upływie 2 lat od dnia wejścia w życie ustawy.
To nie znaczy, że wcześniej „nic nie obowiązuje”, ale w warstwie ryzyka sankcyjnego ustawodawca wprowadza wyraźne odroczenie.

Podpis Prezydenta i skierowanie do TK: co to może zmienić w praktyce?

Komunikat Kancelarii Prezydenta wskazuje wprost: ustawa została podpisana, ale jednocześnie skierowana do Trybunału Konstytucyjnego do kontroli następczej.

Praktyczne konsekwencje są takie:

  • skierowanie do TK nie jest równoznaczne z „zamrożeniem” ustawy – co do zasady, po ogłoszeniu i upływie miesiąca ma ona wejść w życie (a terminy zaczną biec);
  • kontrola następcza może jednak doprowadzić do tego, że TK zakwestionuje część przepisów (albo w skrajnym przypadku szerszy zakres), co przełoży się na konieczność korekt legislacyjnych lub zmianę obowiązków w trakcie wdrożenia; sam komunikat prezydencki sygnalizuje wątpliwości konstytucyjne m.in. co do zakresu objęcia regulacją branż i mechanizmów ingerujących w działalność przedsiębiorców.

Z perspektywy zarządzania ryzykiem najrozsądniejsze podejście jest takie: planować wdrożenie według obowiązującego tekstu i terminów, ale zostawić w projekcie wdrożeniowym „bufor” na potencjalne korekty po rozstrzygnięciu TK.


Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ