Czy Prosta Spółka Akcyjna podlega pod nowe przepisy o cyberbezpieczeństwie?

W marcu 2026 roku cyberbezpieczeństwo przestało być domeną wyłącznie wielkich korporacji i sektora bankowego. Zaledwie tydzień temu, 2 marca, w Dzienniku Ustaw opublikowano nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC). Oznacza to, że już 3 kwietnia 2026 r. setki podmiotów działających jako Prosta Spółka Akcyjna (P.S.A.) wejdą pod rygorystyczny nadzór cyfrowy.

Dla nowoczesnych spółek technologicznych, które z założenia operują w modelu cyfrowym, nowe przepisy to nie tylko kwestia techniczna, ale przede wszystkim strategiczna odpowiedzialność zarządu.

Kiedy P.S.A. wpada w ramy przepisów NIS2?

Kluczowym kryterium objęcia nowymi wymogami jest rodzaj prowadzonej działalności oraz skala podmiotu. Nowa ustawa dzieli firmy na podmioty kluczowe oraz podmioty ważne. Większość startupów i spółek technologicznych w formie P.S.A. zostanie zakwalifikowana jako podmioty ważne.

Twoja Prosta Spółka Akcyjna prawdopodobnie podlega nowym przepisom, jeśli:

1. Działa w sektorze ICT: jako dostawca usług zarządzanych (Managed Services) lub usług bezpieczeństwa.
2. Dostarcza rozwiązania cyfrowe: cloud computing, centra danych lub internetowe platformy handlowe.
3. Świadczy usługi zaufania: lub jest dostawcą sieci łączności elektronicznej.
4. Wspiera sektory krytyczne: energetykę, transport, ochronę zdrowia czy bankowość jako istotny dostawca.

Ważne: Choć przepisy celują głównie w średnie i duże przedsiębiorstwa, w sektorze usług cyfrowych i infrastruktury krytycznej nawet małe P.S.A. mogą zostać objęte nadzorem, jeśli ich rola w łańcuchu dostaw jest strategiczna.

Obowiązki Zarządu i Rady Dyrektorów w 2026 roku

Nowe przepisy wprowadzają osobistą odpowiedzialność członków organów zarządzających za zaniedbania. Od kwietnia 2026 r. zarząd P.S.A. musi:

• Zatwierdzać środki zarządzania ryzykiem: To zarząd, a nie tylko dział IT, odpowiada za identyfikację zagrożeń i wybór metod ich mitygacji.
• Przejść obowiązkowe szkolenia: Członkowie zarządu i rady dyrektorów mają ustawowy obowiązek regularnego podnoszenia wiedzy w zakresie cyberbezpieczeństwa.
• Raportować incydenty w modelu wieloetapowym:
  • W ciągu 24h: wczesne ostrzeżenie o poważnym incydencie.
  • W ciągu 72h: pełne zgłoszenie incydentu z opisem jego skutków.
  • W ciągu 1 miesiąca: sprawozdanie końcowe.
• Nadzorować łańcuch dostaw: P.S.A. musi weryfikować standardy bezpieczeństwa swoich kontrahentów. W dobie obowiązkowego KSeF (który dla MŚP rusza już 1 kwietnia 2026 r.) integralność danych wymienianych cyfrowo staje się absolutnym priorytetem.

Sankcje za brak zgodności – realne ryzyko finansowe

Brak wdrożenia procedur do kwietnia 2026 r. wiąże się z dotkliwymi karami pieniężnymi:

• Dla podmiotów ważnych (częstsze w P.S.A.): do 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu.
• Dla podmiotów kluczowych: do 10 mln EUR lub 2% obrotu.

Co więcej, organy nadzorcze zyskały uprawnienie do nakładania czasowych zakazów pełnienia funkcji kierowniczych na osoby odpowiedzialne za rażące zaniedbania.

Dobra wiadomość: Ustawodawca przewidział mechanizm, zgodnie z którym przez pierwsze 2 lata organy będą kłaść większy nacisk na edukację i zalecenia pokontrolne niż na natychmiastowe nakładanie maksymalnych kar finansowych.

Podsumowanie – co musi zrobić Zarząd P.S.A. przed 2 kwietnia?

1. Przeprowadź audyt klasyfikacyjny: sprawdź, czy Twoja działalność mieści się w załącznikach do nowej ustawy UKSC.
2. Wdróż politykę zarządzania ryzykiem: opracuj procedury reagowania na incydenty i ciągłości działania (BCP).
3. Zaktualizuj kontrakty B2B: upewnij się, że Twoi podwykonawcy IT również spełniają wymogi bezpieczeństwa.

Chcesz wiedzieć, czy Twoja P.S.A. spełnia wymogi „podmiotu ważnego”? Skontaktuj się z naszym zespołem – pomożemy Ci przygotować dokumentację i przeszkolić zarząd przed wejściem przepisów w życie.