Polska ustawa NIS2 weszła w życie — co dostawcy z UE muszą wiedzieć

Polska podpisała ustawę wdrażającą NIS2 19 lutego 2026 r. Weszła w życie pod koniec marca. To czyni Polskę — czwartą co do wielkości gospodarkę UE — kolejnym dużym państwem członkowskim, które przeniosło NIS2 do prawa krajowego. Jeśli Pana/Pani organizacja dostarcza towary lub usługi polskim firmom z sektorów kluczowych lub ważnych, ma to bezpośredni wpływ na Pana/Pani działalność.

Poniżej przedstawiamy, co się zmieniło, jakie są terminy i co należy zrobić przed październikiem 2026 r.

Harmonogram NIS2 w Polsce: trzy daty, które mają znaczenie

Polska ustawa NIS2 (uchwalona 23 stycznia 2026 r., podpisana 19 lutego) wyznacza jasną ścieżkę do zgodności:

• Koniec marca 2026 r.: Ustawa wchodzi w życie. Polskie podmioty podlegają teraz prawnym wymogom NIS2.
• 3 października 2026 r.: Termin rejestracji. Wszystkie podmioty objęte zakresem ustawy muszą zarejestrować się w CSIRT NASK — polskim krajowym zespole reagowania na incydenty odpowiedzialnym za koordynację ujawniania podatności zgodnie z Artykułem 12 NIS2.
• 3 kwietnia 2027 r.: Termin pełnej zgodności. Wszystkie obowiązki wynikające z NIS2 — środki zarządzania ryzykiem (Artykuł 21), zgłaszanie incydentów (Artykuł 23) oraz bezpieczeństwo łańcucha dostaw (Artykuł 21(2)(d)) — stają się egzekwowalne.

Sześciomiesięczne okno rejestracyjne jest krótsze, niż się wydaje. Termin rejestracji w BSI w Niemczech minął 6 marca 2026 r., a około 18 000 firm go nie dotrzymało. Polskie podmioty stoją przed tym samym ryzykiem, jeśli zwlekają.

Status Wdrożenia NIS2 według Kraju (2025–2026)
✅
W pełni obowiązuje
🇧🇪Belgia
🇭🇷Chorwacja
🇭🇺Węgry
🇱🇹Litwa
🇱🇻Łotwa
🇮🇹Włochy
6 krajów
📋
Przyjęta — koniec 2025
🇩🇪Niemcy
🇨🇿Czechy
🇫🇮Finlandia
3 krajów
⏳
W trakcie — oczekiwane 2026
🇳🇱Holandia
🇫🇷Francja
🇪🇸Hiszpania
🇵🇱Polska
🇦🇹Austria
🇸🇪Szwecja
🇮🇪Irlandia
7 krajów

Dlaczego Polska ma znaczenie dla Pana/Pani łańcucha dostaw

Polska to nie kolejna zwykła transpozycja. To czwarta co do wielkości gospodarka UE pod względem PKB, z ogromnym sektorem usług IT i produkcji, który dostarcza towary i usługi firmom w Europie Zachodniej. Liczby mówią same za siebie:

• Ponad 300 000 specjalistów IT pracuje w Polsce, wielu z nich w firmach świadczących usługi zarządzane (MSP) i spółkach programistycznych obsługujących klientów w Niemczech, Holandii, Francji i krajach nordyckich.
• Polskie firmy produkcyjne są głęboko osadzone w łańcuchach dostaw branży motoryzacyjnej, elektronicznej i przemysłowej rozciągających się przez całą UE.
• Sektor logistyczny kraju łączy bałtyckie szlaki handlowe z rynkami Europy Środkowej i Zachodniej.

Jeśli Pana/Pani organizacja jest podmiotem regulowanym przez NIS2 w jakimkolwiek państwie członkowskim UE, na mocy Artykułu 21(2)(d) jest zobowiązana do zarządzania ryzykiem cyberbezpieczeństwa w łańcuchu dostaw. Oznacza to ocenę poziomu bezpieczeństwa polskich dostawców — a polscy dostawcy będą wkrótce musieli wykazać zgodność.

Odwrotna zależność jest równie prawdziwa. Jeśli jest Pan/Pani polską firmą dostarczającą towary lub usługi podmiotom regulowanym przez NIS2 w Niemczech, Holandii lub Belgii, należy spodziewać się umownych wymogów cyberbezpieczeństwa na długo przed datą egzekwowania w kwietniu 2027 r.

Artykuł 21(2)(d): klauzula łańcucha dostaw, która zmienia wszystko

Artykuł 21(2)(d) NIS2 wymaga od podmiotów objętych zakresem uwzględnienia „bezpieczeństwa łańcucha dostaw, w tym aspektów bezpieczeństwa dotyczących relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami".

Rozporządzenie wykonawcze UE 2024/2690 idzie dalej. Artykuł 5.1.4 precyzuje, że umowy z dostawcami muszą zawierać wymogi cyberbezpieczeństwa — i że wymogi te muszą obejmować podwykonawców. Łańcuch sięga co najmniej dwa poziomy w głąb.

W praktyce oznacza to:

1. Podmioty regulowane przez NIS2 muszą zawierać konkretne klauzule cyberbezpieczeństwa w umowach z dostawcami.
2. Bezpośredni dostawcy (nawet jeśli sami nie podlegają NIS2) muszą spełniać te wymogi umowne.
3. Podwykonawcy tych dostawców stoją przed tymi samymi obowiązkami, kaskadowo w dół łańcucha.

Średniej wielkości firma IT w Warszawie świadcząca usługi hostingu w chmurze dla niemieckiej firmy energetycznej? Otrzyma umowne wymagania dotyczące cyberbezpieczeństwa. Polski dostawca logistyczny obsługujący holenderską sieć szpitalną? Ta sama sytuacja.

Jest to już egzekwowalne w krajach, które zakończyły transpozycję — w Niemczech, Belgii, Włoszech, na Węgrzech i teraz w Polsce. Jeśli Pan/Pani nie przejrzał/a jeszcze umów z dostawcami pod kątem klauzul zgodności z NIS2, jest już Pan/Pani w tyle.

Efekt Kaskadowy w Łańcuchu Dostaw — Jak Rozprzestrzenia się Naruszenie
!
Źródło naruszenia
Dostawca Warstwy 1 Zaatakowany
Krytyczny dostawca usług IT lub producent oprogramowania pada ofiarą cyberataku
Kaskada do bezpośrednich klientów
▼
Bezpośredni Wpływ (Warstwa 2)
1
Podmiot kluczowy A traci dostęp do krytycznych usług
2
Podmiot kluczowy B traci poufność wrażliwych danych
3
Podmiot ważny C boryka się z zakłóceniami operacyjnymi
Dalsze rozprzestrzenianie się
▼
Pośredni Wpływ (Warstwa 3)
1
Klienci podmiotu A zostają dotknięci skutkami ataku
2
Wszczęte zostaje dochodzenie regulacyjne obejmujące cały łańcuch
3
Kaskada zgłoszeń incydentów NIS2 dla wszystkich dotkniętych podmiotów
4
Straty reputacyjne i finansowe rozprzestrzeniają się na cały sektor
Źródło
Bezpośredni wpływ
Pośredni wpływ

Co polskie podmioty muszą zrobić przed październikiem 2026 r.

Jeśli Pana/Pani organizacja ma siedzibę w Polsce i należy do zakresu NIS2 (podmiot kluczowy lub ważny), oto plan działania na najbliższy czas:

1. Określ swoją klasyfikację

NIS2 rozróżnia podmioty kluczowe (energia, transport, ochrona zdrowia, infrastruktura cyfrowa, woda, przestrzeń kosmiczna, administracja publiczna) i podmioty ważne (usługi pocztowe, gospodarka odpadami, chemia, żywność, produkcja, dostawcy cyfrowi). Podmioty kluczowe podlegają nadzorowi proaktywnemu; podmioty ważne — nadzorowi reaktywnemu.

2. Zarejestruj się w CSIRT NASK do 3 października 2026 r.

CSIRT NASK jest wyznaczonym krajowym zespołem CSIRT w Polsce. Rejestracja nie jest opcjonalna — to wymóg prawny. Niedopełnienie obowiązku rejestracji wiąże się z karami, co doświadczenia Niemiec z egzekwowaniem przez BSI już wyraźnie pokazały. Nie czekaj do września.

3. Rozpocznij analizę luk już teraz

Pełna zgodność jest wymagana do 3 kwietnia 2027 r. To daje około 12 miesięcy na wdrożenie wszystkich środków z Artykułu 21: polityk zarządzania ryzykiem, procedur obsługi incydentów, planowania ciągłości działania, ocen bezpieczeństwa łańcucha dostaw, procesów ujawniania podatności i innych. Sama właściwa analiza luk NIS2 trwa 4–8 tygodni — a usuwanie niezgodności zajmuje miesiące.

4. Przygotuj zdolność do zgłaszania incydentów

Artykuł 23 wymaga zgłaszania poważnych incydentów w ciągu 24 godzin (wczesne ostrzeżenie) i 72 godzin (pełne powiadomienie). Przed datą egzekwowania tego obowiązku potrzebne są udokumentowane procedury, przeszkolony personel i przetestowane kanały komunikacji z CSIRT NASK.

Co muszą zrobić firmy z UE posiadające polskich dostawców

Jeśli prowadzisz działalność w którymkolwiek państwie członkowskim UE i korzystasz z polskich dostawców, wejście w życie polskiej ustawy NIS2 tworzy nowe obowiązki:

Oceń swoich polskich dostawców. Na mocy Artykułu 21(2)(d) musisz ocenić poziom cyberbezpieczeństwa każdego bezpośredniego dostawcy. Obejmuje to polskich dostawców usług IT, dostawców chmury, partnerów logistycznych i producentów komponentów.

Zaktualizuj swoje umowy. Rozporządzenie wykonawcze KE 2024/2690, Artykuł 5.1.4 wymaga, aby umowy zawierały konkretne wymogi cyberbezpieczeństwa. Wymogi te muszą obejmować podwykonawców kaskadowo. Jeśli aktualne umowy z dostawcami nie zawierają klauzul bezpieczeństwa zgodnych z NIS2, zaktualizuj je teraz.

Monitoruj termin rejestracji w październiku 2026 r. Jeśli Pana/Pani polski dostawca nie zarejestruje się w CSIRT NASK do października, stanowi to ryzyko zgodności dla Pana/Pani własnej organizacji. Uwzględnij status rejestracji dostawcy w procesie zarządzania ryzykiem podmiotów trzecich.

Dokumentuj wszystko. Organy nadzorcze będą oczekiwać dowodów należytej staranności w łańcuchu dostaw. Prowadź ewidencję ocen dostawców, klauzul umownych i podjętych działań naprawczych.

Szerszy obraz: transpozycja NIS2 w UE przyspiesza

Polska dołącza do rosnącej liczby państw członkowskich z operacyjnymi przepisami NIS2. Belgia osiągnęła pełną dojrzałość operacyjną. Niemcy uchwaliły NIS2UmsuCG w grudniu 2025 r. Włochy, Węgry, Grecja, Czechy i kilka innych krajów zakończyło transpozycję. Austriacka ustawa NISG 2026 wchodzi w pełni w życie 1 października 2026 r.

Maruderzy też nadrabiają zaległości. Holandia przygotowuje się do głosowania nad Cyberbeveiligingswet (Cbw) po debacie parlamentarnej 23 marca 2026 r. Francja oczekuje rozpatrzenia ustawy przez parlament na nadzwyczajnej sesji w lipcu 2026 r. Hiszpańska ustawa wciąż jest w toku prac parlamentarnych.

Każda nowa transpozycja zwiększa presję na transgraniczne łańcuchy dostaw. Każdy kraj, który wprowadza przepisy w życie, tworzy nowe obowiązki dotyczące zgodności dla dostawców w całej UE. Organizacje, które przygotowały się wcześniej — przeprowadzając analizę luk i aktualizując umowy z dostawcami — to te, które nie będą się spieszyć, gdy nadejdą pisma o egzekwowaniu.

Chcesz wiedzieć, jak stoi Pana/Pani organizacja? Skorzystaj z bezpłatnego NIS2 Quick Scan i dowiedz się w pięć minut, jakie luki należy zamknąć.

Kluczowe wnioski

• Polska ustawa NIS2 obowiązuje od końca marca 2026 r. Termin rejestracji: 3 października 2026 r. Pełna zgodność: 3 kwietnia 2027 r.
• Wpływ na łańcuch dostaw jest natychmiastowy. Firmy z UE posiadające polskich dostawców muszą ocenić ich poziom cyberbezpieczeństwa i zaktualizować umowy na mocy Artykułu 21(2)(d).
• Okno rejestracyjne jest krótsze, niż myślisz. Wyciągnij wnioski z nieudotrzymanego terminu w Niemczech — 18 000 firm nie zarejestrowało się na czas.
• Rozpocznij analizę luk już dziś. Dwanaście miesięcy do pełnej zgodności to nie tak dużo czasu, gdy wdrożenie zazwyczaj zajmuje 6–9 miesięcy.
• Kary mogą sięgać 10 milionów euro lub 2% globalnego rocznego obrotu dla podmiotów kluczowych. Członkowie zarządu mogą ponosić osobistą odpowiedzialność na mocy Artykułu 20. Przeczytaj więcej o tym, co zarząd musi wiedzieć o karach NIS2.

---

Źródła: Addleshaw Goddard — NIS2 Directive Finally Implemented in Poland, Mondaq — NIS2 Implementation Enacted: Complete Guide, Rozporządzenie Wykonawcze UE 2024/2690, Dyrektywa NIS2 2022/2555.