Ustawa wdrażająca NIS2 podpisana przez prezydenta i skierowana do kontroli następczej Trybunału Konstytucyjnego
19 lutego 2026 r. prezydent podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażającą dyrektywę NIS2 do polskiego porządku prawnego. To formalne zakończenie prac trwających od kwietnia 2024 r., które dla przedsiębiorców oznacza wejście w decydującą fazę wdrożenia nowych obowiązków wynikających z NIS2. Jaką rolę w całym procesie odegra kontrola następcza Trybunału Konstytucyjnego, o którą zawnioskował prezydent? Tłumaczymy i przedstawiamy kluczowe terminy dla przedsiębiorców.
Dlaczego skierowano ustawę do kontroli następczej?
Po podpisaniu ustawy prezydent skierował do Trybunału Konstytucyjnego wniosek o kontrolę następczą, powołując się na poważne wątpliwości dotyczące[1]:
- zbyt szerokiego zakresu podmiotowego ustawy – objęcie aż 18 branż jako podmiotów kluczowych i ważnych;
- zasad uznawania podmiotów za dostawców wysokiego ryzyka;
- podstaw wydawania tzw. poleceń zabezpieczających;
- systemu podejmowania decyzji przez organy ds. cyberbezpieczeństwa – z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej;
- wysokości kar administracyjnych [2].
W konsekwencji Trybunał Konstytucyjny może uznać poszczególne przepisy za niezgodne z Konstytucją.
Kontrola następcza nie wstrzymuje publikacji w Dzienniku Ustaw ani wejścia w życie ustawy, a przedsiębiorcy powinni wdrażać jej wymagania niezależnie od przebiegu postępowania przed TK.
Kiedy UKSC wejdzie w życie? Krótkie vacatio legis
Ustawa o krajowym systemie cyberbezpieczeństwa wejdzie w życie po upływie miesiąca od dnia jej ogłoszenia w Dzienniku Ustaw. W praktyce oznacza to, że UKSC najprawdopodobniej zacznie obowiązywać już w I kwartale 2026 r. (w zależności od daty publikacji, która powinna nastąpić do 3 marca 2026 r.).
Dlatego konieczne jest natychmiastowe rozpoczęcie prac dostosowawczych w organizacjach, które zostaną objęte zmianami.
Kluczowe terminy dla przedsiębiorców
Od momentu wejścia ustawy w życie ruszają konkretne, ustawowo wyznaczone terminy, które wyznaczają harmonogram wdrożenia nowych obowiązków.
Najważniejsze z nich to:
- 6 miesięcy na dokonanie samoidentyfikacji oraz złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych,
- 12 miesięcy na wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie,
- 12 miesięcy na rozpoczęcie korzystania z systemu S46, służącego do zgłaszania i obsługi incydentów.
[1] Informacja o ustawie z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie
[2] https://www.prezydent.pl/storage/file/core_files/2026/2/19/3b1ddd0f22b60925dd172554d20bfda3/Informacja%20ws.%20nowelizacji%20ustawy%20o%20krajowym%20systemie%20cyberbezpiecze%C5%84stwa.pdf
