Co to jest UKSC i czego dotyczy?

UKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa, Dz.U. 2026 poz. 252) to polska ustawa o cyberbezpieczeństwie wdrażająca dyrektywę NIS2. Nakłada obowiązki na podmioty kluczowe i ważne z 18 sektorów: analizę ryzyka, obsługę incydentów w 24h/72h, szkolenia pracowników, kryptografię i ocenę dostawców IT. UKSC 2 to potoczna nazwa tej nowelizacji (poprzednią UKSC z 2018 r. zastąpiono w 2026 r.).

Czym jest dyrektywa NIS2 i jak różni się od NIS?

Dyrektywa NIS2 (UE 2022/2555) to unijne prawo o cyberbezpieczeństwie zastępujące NIS z 2016 r. Rozszerza zakres podmiotów z 7 do 18 sektorów, obejmuje średnie firmy (50+ pracowników lub 10 mln EUR obrotu), wprowadza odpowiedzialność osobistą zarządu oraz kary do 10 mln EUR lub 2% obrotu globalnego. W Polsce NIS2 wdrożono ustawą UKSC (Dz.U. 2026 poz. 252).

Kto podlega ustawie UKSC i NIS2 w Polsce?

Ustawie UKSC podlegają: (1) Podmioty kluczowe — energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, przestrzeń kosmiczna, administracja publiczna. (2) Podmioty ważne — usługi pocztowe, gospodarka odpadami, produkcja wyrobów krytycznych, chemia, żywność, usługi cyfrowe (marketplace, wyszukiwarki, chmura). Próg: firma zatrudniająca 50+ osób lub obrót 10 mln EUR w regulowanym sektorze.

Jak sprawdzić czy moja firma podlega UKSC/NIS2?

Na stronie uksc.secure2me.com dostępny jest bezpłatny kalkulator UKSC — wpisz NIP firmy i narzędzie sprawdzi czy Twoja firma figuruje w rejestrze MF oraz czy działa w sektorze objętym ustawą KSC. Wynik zawiera analizę AI z uzasadnieniem prawnym i listą zalecanych kroków. Możesz też wypełnić darmowy test samooceny NIS2 na /test.

Czym różni się podmiot kluczowy od podmiotu ważnego w UKSC?

Podmiot kluczowy to firma z sektora o najwyższym znaczeniu (energia, transport, banki, zdrowie, infrastruktura cyfrowa). Podlega surowszym kontrolom i karom do 10 mln EUR. Podmiot ważny działa w sektorze o niższym priorytecie (produkcja, poczta, chemia, żywność). Kary do 7 mln EUR. Oba typy muszą spełnić te same wymagania techniczne z art. 8-15 UKSC, różni je intensywność nadzoru i wysokość sankcji.

Jakie obowiązki nakłada UKSC na firmy?

UKSC nakłada na objęte firmy 10 obowiązków: (1) analiza ryzyka cyberbezpieczeństwa, (2) wdrożenie środków technicznych i organizacyjnych, (3) zgłaszanie incydentów do CSIRT w 24h (alert) i 72h (raport), (4) ciągłość działania i plany odtwarzania, (5) bezpieczeństwo łańcucha dostaw (ocena dostawców IT), (6) szkolenia pracowników i kadry zarządzającej, (7) stosowanie kryptografii, (8) wieloskładnikowe uwierzytelnianie (MFA), (9) zarządzanie podatnościami, (10) polityki bezpieczeństwa i kontrola dostępu.

Jakie kary grożą za brak zgodności z UKSC i NIS2?

Za naruszenie ustawy UKSC grożą: kary finansowe do 10 mln EUR lub 2% rocznego obrotu globalnego dla podmiotów kluczowych; do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych; osobista odpowiedzialność zarządu i możliwość zawieszenia w pełnieniu funkcji; kontrole CSIRT NASK, KNF i UKE. Sankcje są nakładane przez właściwy organ sektorowy po stwierdzeniu naruszenia.

Co to jest CSIRT i kiedy trzeba zgłaszać incydenty?

CSIRT (Computer Security Incident Response Team) to krajowy zespół reagowania na incydenty. W Polsce działają: CSIRT GOV (administracja, sektor publiczny), CSIRT NASK (firmy, obywatele) i CSIRT MON (wojsko). Zgodnie z UKSC incydent poważny należy zgłosić: wstępny alert — w 24 godziny, pełny raport — w 72 godziny. Zgłoszenia składane są przez S46 Cyber Hub (pa.s46.gov.pl) — po uprzednim wpisie do Wykazu KSC (wykaz-ksc.gov.pl).

Kiedy wchodzi w życie UKSC i do kiedy trzeba wdrożyć NIS2?

Ustawa UKSC (Dz.U. 2026 poz. 252) weszła w życie 3 kwietnia 2026 r. Podmioty objęte ustawą mają 6 miesięcy na złożenie wniosku o wpis do Wykazu KSC (termin: 3 października 2026 r.) i 12 miesięcy na podłączenie do systemu S46 Cyber Hub. Firmy, które jeszcze nie przeszły samooceny, powinny ją przeprowadzić niezwłocznie — Secure2Me umożliwia to bezpłatnie w 20 minut.

Co to jest platforma UKSC compliance i po co jej używać?

Platforma UKSC compliance to oprogramowanie ułatwiające wdrożenie i utrzymanie zgodności z ustawą KSC. Secure2Me to platforma NIS2/UKSC w języku polskim z 10 modułami: rejestr wymagań prawnych, plan działań, repozytorium dowodów, rejestr ryzyk 5×5, moduł incydentów z integracją S46, szkolenia pracowników, asystent AI, baza wiedzy RAG i ocena dostawców. Zastępuje zewnętrzne konsultacje i arkusze Excel.

Czy małe firmy (MŚP) podlegają UKSC i NIS2?

NIS2 i UKSC obejmują co do zasady średnie i duże firmy (50+ pracowników lub 10 mln EUR obrotu). Mikro i małe firmy są wyłączone, chyba że działają w infrastrukturze krytycznej lub dostarczają usługi cyfrowe. Wyjątki: dostawcy DNS, rejestry TLD, operatorzy chmury publicznej, dostawcy usług zaufania i niektórzy operatorzy telekomunikacyjni podlegają niezależnie od rozmiaru. Sprawdź za pomocą kalkulatora UKSC na secure2me.com.

Jak wdrożyć NIS2/UKSC krok po kroku?

Wdrożenie UKSC/NIS2 w 6 krokach: (1) Samoocena — sprawdź czy i jako co podlegasz (kalkulator UKSC lub test samooceny); (2) Analiza luk — porównaj obecne zabezpieczenia z wymaganiami art. 8-15 UKSC; (3) Plan działań — przydziel zadania, terminy, budżet; (4) Wdrożenie techniczne — MFA, szyfrowanie, zarządzanie podatnościami, backup; (5) Dokumentacja — polityki, procedury, rejestry (dowody); (6) Testy i szkolenia — testy penetracyjne, szkolenia pracowników, symulacje incydentów. Platforma Secure2Me prowadzi przez wszystkie etapy.

Ile kosztuje wdrożenie UKSC/NIS2 i czy Secure2Me pomaga obniżyć koszty?

Zewnętrzne wdrożenie NIS2 przez firmę doradczą kosztuje od 30 000 do 200 000 zł w zależności od skali. Secure2Me zastępuje kosztownych konsultantów: plan Free (0 zł) — darmowy test samooceny; Starter (497 zł netto/mies.) — podstawowe moduły compliance; Professional (997 zł netto/mies.) — pełna platforma z asystentem AI; Enterprise (1 997 zł netto/mies.) — bez limitów, dedykowany opiekun. Platforma skraca czas wdrożenia z 12 do 3 miesięcy.

Co to jest ocena dostawców NIS2 i dlaczego jest wymagana?

Art. 11 UKSC (bezpieczeństwo łańcucha dostaw) wymaga, aby podmioty kluczowe i ważne oceniały ryzyko cyberbezpieczeństwa stwarzane przez dostawców IT i usług cyfrowych. Ocena dostawców NIS2 obejmuje: kwestionariusz bezpieczeństwa, weryfikację certyfikatów (ISO 27001), analizę klauzul umownych i plan wyjścia. Secure2Me posiada moduł oceny dostawców z szablonami zgodnymi z wytycznymi ENISA.

Ile kosztuje Secure2Me i czy jest darmowa wersja?

Secure2Me oferuje darmową wersję Free (0 zł/miesiąc) z testem samooceny NIS2, dashboardem zgodności i podstawowymi wymaganiami. Plan Starter to 497 zł netto/mies., Professional — 997 zł netto/mies., Enterprise — 1 997 zł netto/mies. Płatność miesięczna lub roczna (20% rabatu). Rejestracja i darmowy test dostępne na uksc.secure2me.com bez karty kredytowej.

Cennik audytu UKSC i NIS2 compliance — plany Secure2Me

Wybierz plan audytu UKSC dopasowany do potrzeb Twojej organizacji. Wszystkie plany zawierają darmowy test samooceny NIS2.

Plan Free — 0 zł/miesiąc

Darmowy test samooceny NIS2/UKSC, raport PDF z rekomendacjami i analizą ryzyka.

Plan Starter — 799 zł netto/miesiąc

Podstawowe moduły compliance: rejestr wymagań UKSC, plan działań Kanban, repozytorium dowodów.

Plan Professional — 1 899 zł netto/miesiąc

Pełna platforma audytu UKSC z asystentem AI, szkoleniami pracowników, generatorem dokumentacji compliance.

Plan Enterprise — od 4 999 zł netto/miesiąc

Wszystkie 9 modułów cyberbezpieczeństwa bez limitów, baza wiedzy RAG, priorytetowe wsparcie, dedykowany vCISO.