NIS2 w Polsce: długa droga od Brukseli do biurka Prezydenta
8 lut 2026
Jeszcze w 2024 roku wielu przedsiębiorców miało nadzieję, że NIS2 „znowu się przesunie”. Że jak zwykle — będzie czas, będą wytyczne, będą vacatio legis, a praktyka ułoży się później. Dziś ta narracja definitywnie się kończy. Ustawa wdrażająca dyrektywę NIS2 została przyjęta przez Parlament i od tygodnia czeka na podpis Prezydenta. To dobry moment, żeby spojrzeć wstecz i zrozumieć, dlaczego ta droga była tak długa — i co tak naprawdę się po niej zmieniło.
2024: dyrektywa jest, ustawy nie ma
Październik 2024 r. był formalnym deadlinem na wdrożenie NIS2 w państwach członkowskich UE. Polska — podobnie jak wiele innych krajów — nie zdążyła. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) krążył między resortami, komisjami i konsultacjami, a rynek żył w stanie zawieszenia.
Firmy wiedziały już jedno: zakres NIS2 jest znacznie szerszy niż NIS1. Nowe sektory, nowe podmioty, odpowiedzialność zarządów, realne kary finansowe. Nie było jednak jasne:
kto dokładnie będzie „podmiotem kluczowym”,
kto „podmiotem ważnym”,
od kiedy liczyć terminy,
i jak bardzo państwo zamierza egzekwować przepisy.
2025: rok poprawek, komisji i „doprecyzowań”
Rok 2025 upłynął pod znakiem intensywnych prac legislacyjnych. Projekt ustawy był wielokrotnie analizowany przez komisje sejmowe i senackie, a zmiany miały charakter merytoryczny, nie kosmetyczny. Doprecyzowano m.in.:
definicje podmiotów kluczowych i podmiotów ważnych,
zasady prowadzenia centralnego wykazu podmiotów objętych ustawą,
relacje NIS2 z innymi regulacjami, w tym DORA,
zakres odpowiedzialności kierowników podmiotów (zarządów),
oraz harmonogram wdrażania obowiązków.
To właśnie na tym etapie wyraźnie przesądzono, że cyberbezpieczeństwo nie jest już wyłącznie domeną IT, lecz elementem zarządzania ryzykiem całej organizacji.
Styczeń 2026: kluczowe poprawki i polityczny konsensus
Wbrew pozorom styczeń 2026 r. nie był formalnością. To wtedy odbyły się ostatnie, kluczowe prace komisji, które realnie wpłynęły na kształt ustawy. Jedną z najważniejszych zmian było wydłużenie terminu przeprowadzenia pierwszego audytu — z pierwotnie krótszego okresu do 24 miesięcy, co wprost odpowiadało postulatom rynku i administracji publicznej.
To sygnał istotny: ustawodawca z jednej strony nie rezygnuje z wysokich wymagań, ale z drugiej daje organizacjom czas na realne wdrożenie systemów, a nie działania pozorne.
Kulminacyjnym momentem był finał prac w Sejmie. Ustawa została przyjęta zdecydowaną większością – aż 407 głosów „za”, ponad politycznymi podziałami. W praktyce oznacza to jedno: NIS2 przestał być projektem jednej opcji politycznej, a stał się państwowym standardem bezpieczeństwa.
23 stycznia 2026 r. Senat przyjął ustawę bez poprawek. Dziś dokument od tygodnia czeka na podpis Prezydenta — a to oznacza, że proces legislacyjny jest w istocie zakończony.
Dlaczego ta droga była tak długa?
Bo NIS2 to nie jest zwykła nowelizacja. To zmiana filozofii podejścia do cyberbezpieczeństwa w Polsce. Państwo po raz pierwszy tak wyraźnie mówi:
cyberbezpieczeństwo to element bezpieczeństwa państwa i ciągłości gospodarki, a nie wewnętrzna sprawa działu IT.
Stąd rozbudowane obowiązki, centralny wykaz podmiotów, audyty, szkolenia dla kadry zarządzającej i osobista odpowiedzialność kierowników podmiotów.
Co to oznacza teraz — w praktyce?
Wejście ustawy w życie nie będzie symboliczne. Dla tysięcy organizacji oznacza uruchomienie konkretnych terminów:
identyfikację statusu podmiotu,
wdrożenie systemu zarządzania bezpieczeństwem informacji,
przygotowanie się do audytów,
oraz włączenie cyberbezpieczeństwa do odpowiedzialności zarządczej.
NIS2 przestaje być tematem „na przyszłość”. Od tej chwili to projekt strategiczny, który trzeba zaplanować, osadzić w strukturze organizacji i finansować.
Oczywiście jeśli Prezydent ją podpisze… :)
Dowiedz się więcej jak przygotować swoją firmę ze Spiree. Odpowiemy na wszelkie pytania.