Zamów demo
TSL · REGULACJE

NIS2 w transporcie i logistyce 2026 — rejestracja S46 do 3 października i co muszą zrobić polskie firmy TSL

13 czerwca 2026 · 8 min czytania
kwi 2026 3 paź 2026 kwi 2027 kwi 2028 NIS2 w TSL Ustawa o KSC — obowiązki firm transportowych TSL · REGULACJE

Polska branża TSL ma cztery miesiące na zrobienie czegoś, co większość firm jeszcze odkłada na później: rejestrację w systemie S46 prowadzonym przez Ministerstwo Cyfryzacji. Termin mija 3 października 2026 roku. Ustawa o Krajowym Systemie Cyberbezpieczeństwa, która implementuje europejską dyrektywę NIS2 do polskiego porządku prawnego, weszła w życie 3 kwietnia 2026 roku (źródło: CMS Law, 2026-04-03). Transport jest w niej wprost wymieniony jako sektor krytyczny — co oznacza, że setki polskich firm spedycyjnych, przewoźników i operatorów logistycznych podlega nowym wymogom.

Niniejszy artykuł wyjaśnia, kogo dotyczy NIS2 w branży TSL, co konkretnie trzeba wdrożyć i w jakiej kolejności, oraz jakie kary grożą za brak zgodności. Nie ma tu miejsca na owijanie w bawełnę: jeśli Twoja firma zatrudnia co najmniej 50 osób lub generuje ponad 10 milionów euro rocznego obrotu, musisz działać przed 3 października 2026.

Dlaczego transport trafił na listę sektorów krytycznych

Dyrektywa NIS2 klasyfikuje 18 sektorów jako krytyczne lub istotne dla funkcjonowania państw członkowskich UE. Transport — rozumiany szeroko jako drogowy, kolejowy, lotniczy, wodny, ale też logistyka i spedycja — znalazł się w tej grupie nie bez powodu. Branża TSL to sieć naczyń połączonych: atak na jeden duży operator może sparaliżować łańcuchy dostaw obejmujące dziesiątki mniejszych firm.

Dane potwierdzają, że zagrożenie jest realne. Według danych CERT Polska z okresu styczeń–sierpień 2025 roku odnotowano 28 udanych włamań do systemów IT polskich firm transportowych oraz 72 incydenty zakwalifikowane jako próby ataku (źródło: Zdalny Admin, 2026). W skali europejskiej transport odpowiada za około 7,5 procent wszystkich cyberataków i jest sektorem, w którym 12 procent incydentów ma poważne skutki operacyjne. Wśród dominujących wektorów: ataki DDoS (87,6 procent) oraz ransomware (83,9 procent incydentów kwalifikowanych jako cyberprzestępczość w transporcie).

Jedyny przypadek wyłączenia z NIS2 w transporcie dotyczy firm poniżej progu średniego przedsiębiorstwa — czyli mniej niż 50 pracowników i poniżej 10 milionów euro obrotu. Każda firma powyżej tego progu musi się liczyć z nowymi obowiązkami.

Z polskiej perspektywy oznacza to, że NIS2 w branży TSL obejmuje przewoźników drogowych, spedytorów, operatorów magazynowych i centrów dystrybucyjnych, operatorów multimodalnych oraz porty i platformy logistyczne (źródło: Sedivio, 2026). W całej Polsce nowe przepisy obejmują szacunkowo od 38 do 42 tysięcy podmiotów we wszystkich sektorach krytycznych.

Kogo dotyczy NIS2 w TSL — progi wielkości przedsiębiorstwa

Ustawa o KSC wprowadza podział na dwa poziomy podmiotów: podmioty kluczowe i podmioty ważne. Różnią się one zakresem wymagań i wysokością możliwych kar. Dla firm TSL rozróżnienie to wygląda następująco:

PODMIOT KLUCZOWY powyżej 250 pracowników LUB obrót powyżej 50 mln EUR Kara: do 10 mln EUR lub 2% globalnego obrotu ! PODMIOT WAŻNY 50–250 pracowników LUB obrót 10–50 mln EUR Kara: do 7 mln EUR lub 1,4% globalnego obrotu !

Warto zwrócić uwagę na dwie kwestie. Po pierwsze, progi dotyczą liczby pracowników LUB obrotu — wystarczy przekroczyć jeden z nich, by podlegać obowiązkom. Po drugie, nawet firmy poniżej tych progów mogą zostać objęte ustawą, jeśli odgrywają krytyczną rolę w łańcuchu dostaw — na przykład jako jedyna firma obsługująca konkretny port lub terminal. Decyzję o objęciu takiej firmy zakresem NIS2 podejmuje minister właściwy ds. transportu (źródło: PITD, 2026).

Rejestracja w systemie S46 — termin i procedura

Pierwszym i najważniejszym obowiązkiem każdej firmy TSL objętej ustawą o KSC jest samodzielne zgłoszenie się do rejestru S46. System ten jest prowadzony przez Ministerstwo Cyfryzacji i dostępny elektronicznie. Termin upływa dokładnie 6 miesięcy po wejściu ustawy w życie, czyli 3 października 2026 roku (źródło: CyberKompas, 2026).

Co należy zgłosić? W formularzu rejestracyjnym firma podaje:

Sam akt rejestracji nie kończy obowiązków — jest jedynie pierwszym krokiem. Po rejestracji firma ma czas do 3 kwietnia 2027 roku na wdrożenie wymaganych środków bezpieczeństwa. Kary finansowe zaczną natomiast obowiązywać od 3 kwietnia 2028 roku, choć organy nadzoru mogą prowadzić kontrole wcześniej.

Harmonogram obowiązków NIS2 dla firm TSL 3 kwi 2026 Ustawa wchodzi w życie 3 paź 2026 Rejestracja S46 TERMIN! 3 kwi 2027 Wdrożenie środków bezpiecz. 3 kwi 2028 Audyt i kary finansowe

Brak rejestracji w terminie nie będzie traktowany łagodnie. Organy nadzoru mogą nałożyć sankcje administracyjne, a niewyrejestrowanie się tworzy domniemanie rażącego zaniedbania ze strony zarządu w przypadku wystąpienia incydentu — co bezpośrednio przekłada się na odpowiedzialność cywilną i karną kierownictwa (źródło: NFLO, 2026).

5 kluczowych obowiązków dla firm transportowych i spedycyjnych

Rejestracja w S46 to formalność, którą można załatwić w jeden dzień roboczy. Trudniejsza część to wdrożenie środków bezpieczeństwa wymaganych przez ustawę o KSC. Dla firm TSL liczy się pięć obszarów:

1. Uwierzytelnianie wieloskładnikowe (MFA)

Każdy system dostępny zdalnie — TMS, systemy zarządzania flotą, poczta firmowa, ERP — musi być chroniony uwierzytelnianiem wieloskładnikowym. Nie wystarczy sama silna hasło. MFA oznacza drugi składnik: aplikacja mobilna, klucz sprzętowy lub SMS. To wymóg minimalny dla wszystkich podmiotów ważnych i kluczowych (źródło: Zdalny Admin, 2026).

2. Raportowanie incydentów w ciągu 24 godzin

Każdy znaczący incydent cyberbezpieczeństwa — atak ransomware, nieautoryzowany dostęp, awaria systemu operacyjnego firmy — musi być zgłoszony do CSIRT NASK w ciągu 24 godzin od wykrycia. W ciągu 72 godzin firma przekazuje wstępny raport, a ostateczny raport końcowy w ciągu miesiąca. Brak zgłoszenia jest sam w sobie naruszeniem.

3. Plan ciągłości działania i backupy izolowane od produkcji

Ustawa wymaga udokumentowanego planu ciągłości działania (Business Continuity Plan) i regularnie testowanych kopii zapasowych. Kluczowe zastrzeżenie: backup musi być fizycznie lub logicznie izolowany od sieci produkcyjnej. Backup na tym samym serwerze, do którego atakujący ma już dostęp, nie spełnia wymogu.

4. Segmentacja sieci i zarządzanie dostępem

Sieć biurowa, systemy operacyjne (TMS, telematyka, EDI) i sieć gości lub partnerów muszą być odseparowane od siebie. Zero Trust Architecture — czyli zasada "nie ufaj, weryfikuj" — staje się de facto standardem. Współdzielone konta użytkowników są niedopuszczalne; każdy pracownik musi mieć indywidualne uprawnienia dostosowane do roli.

5. Szkolenia pracowników i odpowiedzialność zarządu

NIS2 i polska ustawa o KSC przenoszą odpowiedzialność za cyberbezpieczeństwo na najwyższy szczebel zarządzający. Zarząd musi zatwierdzić i rozumieć politykę bezpieczeństwa, a pracownicy regularnie przechodzić szkolenia z zakresu cyberhigieny. Ignorancja "nie wiedziałem o ataku" przestała być wystarczającym argumentem obronnym.

Gotowość polskich firm na NIS2 (badanie Asseco Cloud, 2024) 14% Pełna gotowość 65% W trakcie wdrożenia 21% Brak działań

Kary za brak zgodności — ile to może kosztować

Ustawa o KSC przewiduje kary finansowe, które mają obowiązywać od 3 kwietnia 2028 roku. Ale już teraz organy nadzoru mogą przeprowadzać kontrole i nakazywać wdrożenie środków bezpieczeństwa, co również wiąże się z konsekwencjami finansowymi. Skala sankcji jest zbliżona do RODO i dla wielu firm TSL może być niespodzianką:

Warto porównać te liczby z realnym kosztem ataku ransomware na firmę transportową. Atak z 2025 roku na system zarządzania ruchem w Olsztynie wyłączył infrastrukturę na kilka tygodni — łącząc koszty przestoju, odbudowy systemu i utraty reputacji, straty przekroczyły kilkanaście milionów złotych (źródło: Zdalny Admin, 2026). Prewencja jest tańsza niż reagowanie.

Co zrobić gdy nie masz CISO — praktyczny przewodnik dla mniejszych firm TSL

Większość polskich firm transportowych spełniających progi NIS2 (50–250 pracowników) nie zatrudnia dedykowanego specjalisty ds. cyberbezpieczeństwa. To nie jest argument do odwlekania, ale sygnał, że wdrożenie wymaga zewnętrznej pomocy. Oto jak zaplanować pracę na najbliższe miesiące:

Krok 1: Ocena ryzyka (teraz — lipiec 2026)

Zanim zaczniesz cokolwiek wdrażać, musisz wiedzieć, co chronisz. Zinwentaryzuj krytyczne systemy: TMS, oprogramowanie do zarządzania flotą, systemy EDI do wymiany danych z klientami i dostawcami, firmową pocztę, systemy ERP. Dla każdego systemu oceń: kto ma dostęp, skąd (lokalizacja, urządzenie), czy dostęp jest monitorowany.

Krok 2: Rejestracja w S46 (do 3 października 2026)

Nie czekaj na ostatnią chwilę. Formularz rejestracyjny wymaga informacji, których zebranie może zająć kilka dni. Wyznacz osobę odpowiedzialną za kontakt z organami nadzoru (nie musi to być CISO — może to być prezes lub dyrektor ds. operacyjnych) (źródło: Sedivio, 2026).

Krok 3: Wdrożenie minimalnych zabezpieczeń (do marca 2027)

MFA dla wszystkich systemów zdalnych, izolowane backupy, dokumentacja procedury reagowania na incydenty, podstawowe szkolenie pracowników. Dla wielu firm TSL to realne do wykonania w ciągu 6–9 miesięcy bez zatrudniania pełnoetatowego specjalisty. Wartość rynku usług NIS2 dla polskich MŚP rośnie — doradcy zewnętrzni oferują pakiety wdrożeniowe dopasowane do branży (źródło: PWSK, 2026).

Krok 4: Audyt wewnętrzny przed 2028 rokiem

Ustawa o KSC wymaga, by podmioty kluczowe przechodziły regularne audyty bezpieczeństwa systemów informacyjnych. Pierwszy obowiązkowy audyt musi się odbyć do 3 kwietnia 2028. Firmy, które zaczną wcześniej, będą miały czas na usunięcie luk bez presji terminu.

Ile polskich firm TSL jest naprawdę gotowych

Badanie przeprowadzone przez Asseco Cloud jeszcze w październiku 2024 roku — a więc zanim polska ustawa weszła w życie — pokazało dobitnie: tylko 14 procent polskich firm deklaruje pełną gotowość na NIS2, 65 procent jest w trakcie przygotowań, a 21 procent nie podjęło żadnych działań (źródło: Zdalny Admin, 2026). Biorąc pod uwagę, że ustawa o KSC obowiązuje od 3 kwietnia, wskaźnik nieprzygotowania jest alarmujący.

W branży TSL gotowość jest prawdopodobnie jeszcze niższa niż w sektorach IT czy finansowym — historycznie transport traktował cyberbezpieczeństwo jako domenę działu IT, nie jako kwestię zarządczą. Tymczasem NIS2 i polska ustawa o KSC expressis verbis przenoszą odpowiedzialność na poziom zarządu i tworzą osobistą odpowiedzialność kierownictwa.

Branżowe stowarzyszenie PITD (Polska Izba Transportu Drogowego) opublikowało analizę potwierdzającą, że zarówno przewoźnicy drogowi, operatorzy logistyczni, jak i spedytorzy spełniający progi wielkości podlegają obowiązkowi rejestracji — nie ma żadnego wyjątku specyficznego dla sektora TSL (źródło: PITD, 2026).

Podsumowanie — cztery rzeczy do zrobienia przed 3 października 2026

NIS2 w polskim transporcie to nie jest regulacja, którą można zignorować czekając aż ktoś inny sprawdzi, jak organy nadzoru reagują w praktyce. Termin rejestracji S46 mija za cztery miesiące. Oto konkretna lista działań:

  1. Sprawdź, czy Twoja firma podlega ustawie — 50 lub więcej pracowników LUB obrót powyżej 10 milionów EUR rocznie? Podlegasz.
  2. Wyznacz osobę odpowiedzialną za cyberbezpieczeństwo i kontakt z organami nadzoru — niekoniecznie specjalisty, ale kogoś z decyzyjnością.
  3. Zarejestruj firmę w systemie S46 przed 3 października 2026 roku.
  4. Zlecij zewnętrzny audyt lub ocenę luk przed wdrożeniem środków technicznych — to zaoszczędzi czas i pieniądze przy doborze właściwych rozwiązań.

Prawo nie czeka. Dla polskich firm TSL, które codziennie koordynują setki zleceń przez dziesiątki kanałów komunikacyjnych — poczta, telefon, WhatsApp, systemy EDI — centralizacja i dokumentowanie operacji staje się nie tylko wymogiem operacyjnym, ale też kwestią zgodności z regulacjami. Szukasz wsparcia przy porządkowaniu procesów komunikacyjnych i operacyjnych w swojej firmie? Sprawdź rozwiązania dla spedycji i logistyki, które pomagają budować przejrzysty audit trail we wszystkich kanałach komunikacji.

Powiązane artykuły

Bezpieczeństwo Cyberataki na firmy transportowe 2026 — jak się bronić Regulacje eFTI 2027 — cyfrowe dokumenty frachtowe: co firmy muszą przygotować Regulacje eCMR 2027 — co polskie firmy TSL muszą zrobić?

Chcesz zobaczyć jak Cord OS może pomóc Twojej firmie? Umów bezpłatne demo.

Umów demo