TL;DR
- NIS2 = dyrektywa (UE) 2022/2555 z 14 grudnia 2022 r. zastępująca pierwszą dyrektywę NIS z 2016 r. Termin transpozycji: 17 października 2024 r.
- Polska transpozycja: nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), procedowana w 2024-2025 r. W okresie luki czasowej organy stosują dyrektywę bezpośrednio wobec podmiotów publicznych.
- Dwie kategorie podmiotów: kluczowe (essential) i ważne (important). Klasyfikacja zależy od sektora i wielkości (zwykle 250+ pracowników lub 50 mln EUR obrotu = kluczowy; 50+ pracowników lub 10 mln EUR = ważny).
- 18 sektorów objętych regulacją — energetyka, transport, bankowość, infrastruktura cyfrowa, ICT, administracja publiczna, sektor kosmiczny, produkcja krytyczna, żywność, gospodarka odpadami i wiele innych.
- Obowiązki: wdrożenie środków zarządzania ryzykiem (10 obszarów), raportowanie istotnych incydentów w 24 godziny (wstępne) i 72 godziny (pełne), polityka łańcucha dostaw, szkolenia, odpowiedzialność zarządu.
- Kary: dla podmiotów kluczowych — do 10 mln EUR lub 2% globalnego obrotu; dla ważnych — do 7 mln EUR lub 1,4% globalnego obrotu. Dodatkowo — odpowiedzialność osobista członków zarządu, możliwość zawieszenia w pełnieniu funkcji kierowniczej.
Od NIS do NIS2 — co się zmieniło
Pierwsza dyrektywa NIS (2016/1148) obejmowała wąską listę "operatorów usług kluczowych" (OUK) oraz "dostawców usług cyfrowych" — w Polsce niespełna 400 podmiotów. NIS2 dziesiątkrotnie poszerza zakres i wprowadza:
- nową klasyfikację: podmioty kluczowe i podmioty ważne (zamiast OUK/DUC);
- 18 sektorów zamiast 7;
- automatyczną kwalifikację po rozmiarze (250+/50+ pracowników) zamiast indywidualnej decyzji organu;
- twarde terminy raportowania (24/72 godziny);
- osobistą odpowiedzialność członków zarządu;
- znacznie wyższe kary.
W praktyce NIS2 wciąga do regulacji kilka tysięcy polskich firm, które dotąd nie miały żadnych obowiązków w zakresie cyberbezpieczeństwa — w tym duża część branży produkcyjnej, logistyki, sektora żywnościowego i ICT.
Sektory objęte NIS2
Sektory wysokiej krytyczności (Załącznik I — co do zasady podmioty kluczowe)
- Energetyka — energia elektryczna, system ciepłowniczy, ropa naftowa, gaz, wodór.
- Transport — lotniczy, kolejowy, wodny, drogowy.
- Bankowość i rynki finansowe (uzupełnia DORA).
- Ochrona zdrowia — szpitale, laboratoria referencyjne, produkcja wyrobów medycznych, badania nad farmaceutykami.
- Woda pitna i ścieki.
- Infrastruktura cyfrowa — IXP, DNS, TLD, chmury obliczeniowe, data center, CDN, dostawcy usług zaufania, sieci komunikacji elektronicznej.
- ICT B2B — dostawcy usług zarządzanych (MSP), dostawcy usług zarządzanych w zakresie bezpieczeństwa (MSSP).
- Administracja publiczna — szczebla centralnego i (opcjonalnie) regionalnego.
- Przestrzeń kosmiczna — operatorzy infrastruktury naziemnej.
Sektory pozostałe (Załącznik II — co do zasady podmioty ważne)
- Usługi pocztowe i kurierskie.
- Gospodarka odpadami.
- Produkcja, wytwarzanie i dystrybucja chemikaliów.
- Produkcja, przetwarzanie i dystrybucja żywności.
- Produkcja: wyrobów medycznych, komputerów i elektroniki, maszyn, pojazdów silnikowych, innego sprzętu transportowego.
- Dostawcy usług cyfrowych — platformy handlu elektronicznego, wyszukiwarki, platformy społecznościowe.
- Badania naukowe — instytuty i ośrodki prowadzące badania o istotnym znaczeniu dla bezpieczeństwa, zdrowia publicznego.
Klasyfikacja: kluczowy vs ważny
| Kryterium | Podmiot kluczowy | Podmiot ważny |
|---|---|---|
| Sektor (Załącznik I) i wielkość | 250+ pracowników lub 50 mln EUR obrotu | 50-249 pracowników lub 10-50 mln EUR obrotu |
| Sektor (Załącznik II) | 250+ pracowników lub 50 mln EUR obrotu | 50-249 pracowników lub 10-50 mln EUR obrotu |
| Szczególne podmioty | Dostawcy DNS, TLD, IXP, dostawcy usług zaufania, zarządzający chmurą, podmioty z domeny krytycznej (energetyka, woda, transport) — niezależnie od rozmiaru | — |
Mikrofirmy i małe firmy (poniżej 50 pracowników i poniżej 10 mln EUR obrotu) są zasadniczo wyłączone — z wyjątkiem podmiotów krytycznej infrastruktury (np. dostawca DNS rejestrujący domeny krajowe, niezależnie od rozmiaru).
Jak sprawdzić swój status
- Sprawdź, czy twój kod PKD (Polska Klasyfikacja Działalności) wpada w jeden z 18 sektorów.
- Sprawdź liczbę pracowników (etaty + B2B + zlecenia) i roczny obrót za poprzedni rok finansowy.
- Wpisz się do Rejestru Podmiotów KSC prowadzonego przez ministra ds. informatyzacji (od 2025 r.).
- Otrzymasz klasyfikację (kluczowy/ważny) i wskazanie organu sektorowego (CSIRT NASK, CSIRT MON, CSIRT GOV, organy sektorowe — w zależności od branży).
Brak rejestracji = grzywna do 100 tys. zł dla podmiotu i do 50 tys. zł osobiście dla kierownictwa.
Dziesięć obszarów środków zarządzania ryzykiem
Art. 21 dyrektywy NIS2 wymienia 10 minimalnych obszarów, w których podmioty muszą wdrożyć środki techniczne i organizacyjne:
- Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych.
- Obsługa incydentów — wykrywanie, reagowanie, eskalacja, dokumentacja.
- Ciągłość działania — backupy, zarządzanie kryzysowe, plan odtworzenia po awarii (DRP).
- Bezpieczeństwo łańcucha dostaw — w tym ocena dostawców ICT.
- Bezpieczeństwo w cyklu rozwoju oprogramowania (secure SDLC).
- Polityki i procedury oceny skuteczności środków zarządzania ryzykiem.
- Praktyki w zakresie cyber-higieny (np. zarządzanie hasłami, łatkami, prawami dostępu) i szkolenia.
- Polityki dotyczące kryptografii i szyfrowania.
- Bezpieczeństwo zasobów ludzkich, kontrola dostępu, zarządzanie aktywami.
- Uwierzytelnianie wieloskładnikowe (MFA), bezpieczna komunikacja, bezpieczne kanały ratunkowe.
Dla MŚP środki muszą być proporcjonalne do skali działalności i ryzyka — ale podstawowe obszary (incydenty, backupy, MFA) są obowiązkowe niezależnie od wielkości.
Raportowanie incydentów — twarde terminy
NIS2 wprowadza trzystopniowy schemat zgłaszania istotnych incydentów do właściwego CSIRT (w Polsce — NASK, MON lub GOV) oraz organu nadzoru:
| Krok | Termin | Co zawiera |
|---|---|---|
| Wczesne ostrzeżenie | 24 godziny od wykrycia | Informacja o incydencie, podejrzewane przyczyny, wstępna ocena, czy ma charakter złośliwy lub transgraniczny |
| Zgłoszenie wstępne | 72 godziny od wykrycia | Aktualizacja, wstępna ocena skali, wskaźniki naruszenia (IoC) |
| Raport końcowy | 1 miesiąc od zgłoszenia wstępnego | Szczegółowy opis, przyczyny, wpływ, środki naprawcze i prewencyjne |
Istotny incydent = taki, który spowodował lub może spowodować poważne zakłócenie działalności lub straty finansowe, lub wpływa na inne podmioty, lub powoduje znaczne szkody majątkowe/niemajątkowe.
W praktyce: ransomware z odpięciem serwerów produkcyjnych = istotny. Pojedynczy nieudany atak phishingowy = nie. Wątpliwości rozstrzyga rozporządzenie wykonawcze KE z 2024 r. — wprowadza progi liczbowe dla poszczególnych sektorów.
Odpowiedzialność członków zarządu
NIS2 wprowadza osobistą odpowiedzialność członków zarządu za naruszenia. Organy nadzoru mogą:
- nałożyć karę pieniężną osobiście na członka zarządu odpowiedzialnego za bezpieczeństwo;
- czasowo zawiesić go w pełnieniu funkcji kierowniczej;
- nakazać opublikowanie informacji o naruszeniu wraz z nazwiskiem osoby odpowiedzialnej.
Praktyczne skutki:
- Bezpieczeństwo informacji musi być stałym punktem w porządku obrad zarządu (co najmniej kwartalnie).
- Zarząd musi przejść szkolenie z cyberbezpieczeństwa.
- Decyzje budżetowe dotyczące cyberbezpieczeństwa muszą być udokumentowane (uchwały zarządu).
- Audyt zewnętrzny zgodności z NIS2 raz na 12-24 miesiące (zalecany, w niektórych przypadkach obowiązkowy).
Kary
Podmioty kluczowe
- Administracyjna kara pieniężna do 10 mln EUR lub 2% rocznego światowego obrotu grupy (większa z dwóch kwot).
- Możliwość zawieszenia certyfikatu/autoryzacji.
- Nakaz wstrzymania działalności do czasu usunięcia naruszenia.
Podmioty ważne
- Administracyjna kara pieniężna do 7 mln EUR lub 1,4% rocznego światowego obrotu (większa).
- Pozostałe sankcje analogicznie.
Osobista odpowiedzialność zarządu
- Grzywna nakładana osobiście (kwoty rzędu 50-500 tys. zł).
- Czasowe zawieszenie w funkcji.
- Wpis do rejestru ukaranych członków zarządu.
Polityka łańcucha dostaw
Jedna z największych zmian wprowadzonych przez NIS2 — odpowiedzialność za bezpieczeństwo dostawców. Podmioty kluczowe i ważne muszą:
- prowadzić rejestr dostawców ICT i ocenić ryzyko każdego z nich;
- wymagać od dostawców klauzul SLA dotyczących cyberbezpieczeństwa (np. zgłoszenia incydentów w 24 h, prawo do audytu);
- weryfikować, czy dostawcy ICT spoza UE są zgodni z odpowiednim poziomem bezpieczeństwa;
- regularnie aktualizować umowy z dostawcami (klauzule NIS2 stają się standardem w branżowych szablonach kontraktów IT).
KE może wskazać konkretnych dostawców wysokiego ryzyka (znana jest zapowiedź dotycząca dostawców sprzętu telekomunikacyjnego spoza UE) — wtedy podmioty kluczowe mają obowiązek stopniowo zastąpić infrastrukturę pochodzącą od takiego dostawcy.
Praktyczne kroki dla firmy w 2026 r.
- Klasyfikacja — sprawdź, czy jesteś podmiotem kluczowym, ważnym, czy w ogóle nieobjętym.
- Rejestracja w rejestrze podmiotów KSC (od 2025 r.).
- Analiza luki (gap analysis) między obecnym stanem a 10 obszarami z art. 21 NIS2.
- Mapowanie procesów krytycznych i ocena ryzyka.
- Wdrożenie środków technicznych: MFA, segmentacja sieci, monitoring SIEM, backupy 3-2-1, szyfrowanie danych w spoczynku i w ruchu.
- Polityki i procedury: plan reagowania na incydenty (IRP), plan ciągłości działania (BCP), plan odtworzenia (DRP), polityka kryptograficzna, polityka łańcucha dostaw.
- Szkolenia: dla całej załogi (raz w roku, podstawy cyber-higieny), dla zarządu (raz w roku, ze szczególnym naciskiem na obowiązki NIS2).
- Raportowanie: procedura zgłoszeń incydentów do CSIRT w terminach 24/72 godz./1 mies.
- Audyt zewnętrzny raz na 12-24 miesiące — z firmą uznawaną przez CSIRT.
- Aktualizacja umów z kluczowymi dostawcami ICT (SLA, klauzule audytowe, prawo wglądu).
NIS2 a inne regulacje
- RODO — pokrywające się obowiązki w zakresie zgłaszania naruszeń (72 godz. UODO + równolegle 24/72 godz. CSIRT, jeśli incydent dotyczy danych osobowych).
- DORA (cyfrowa odporność operacyjna sektora finansowego) — od 17 stycznia 2025 r., dla banków/ubezpieczycieli zastępuje NIS2 w zakresie sektora finansowego.
- AI Act — niektóre systemy AI wysokiego ryzyka wymagają środków zarządzania ryzykiem zbieżnych z NIS2.
- CRA (Cyber Resilience Act) — dotyczy produktów (sprzętu i oprogramowania) zawierających elementy cyfrowe, obowiązuje od 2027 r. Komplementarnie do NIS2 (NIS2 = operatorzy, CRA = producenci).
FAQ
Mam firmę 80-osobową w branży e-commerce. Czy NIS2 mnie dotyczy?
Tak — jeśli prowadzisz platformę e-commerce ujętą w Załączniku II (sektor 15: dostawcy usług cyfrowych). Jako podmiot ważny musisz wdrożyć środki z art. 21 i raportować incydenty.
Czy NIS2 wymaga wdrożenia ISO 27001?
Nie wprost, ale ISO 27001:2022 pokrywa większość obszarów z art. 21. W praktyce — certyfikacja ISO 27001 znacznie ułatwia wykazanie zgodności z NIS2 w razie kontroli.
Czy mała firma księgowa (10 osób) jest podmiotem ważnym?
Nie — co do zasady wyłączone są firmy poniżej 50 pracowników. Wyjątek: jeśli świadczysz usługi zarządzanego bezpieczeństwa (MSSP) lub jesteś rejestrem domen — wtedy NIS2 cię obejmuje niezależnie od rozmiaru.
Co jeśli mamy spółkę matkę w UE i kilka spółek-córek w Polsce?
Każda spółka jest oceniana indywidualnie po PKD i wielkości. Jeśli spółka-córka jest mała, ale obsługuje krytyczne systemy spółki-matki, organ może rozszerzyć obowiązki w drodze decyzji indywidualnej.
Czy raport do CSIRT zwalnia z obowiązku zgłoszenia naruszenia danych do UODO?
Nie — jeśli incydent obejmuje naruszenie danych osobowych, musisz zgłosić równolegle do UODO (72 godz., RODO) i do CSIRT (24/72 godz., NIS2). Raporty mają różne cele i odbiorców.
Jakie są pierwsze kroki, jeśli właśnie zrozumiałem, że jestem objęty?
- Rejestracja w rejestrze KSC. 2. Analiza luki. 3. Pełen incident response plan (IRP) w 30 dni. 4. Plan budżetowy na środki techniczne i szkolenia. 5. Aktualizacja umów z kluczowymi dostawcami IT.
Czy NIS2 nakłada obowiązek posiadania CISO?
Nie wprost, ale w praktyce dla podmiotów kluczowych jest to standard rynkowy. Funkcję CISO może pełnić członek zarządu odpowiedzialny za IT, dyrektor bezpieczeństwa lub zewnętrzny CISO-as-a-service.