Dyrektywa NIS 2 w 2026 roku: Co musisz wiedzieć? Kogo obowiązuje i jakie nakłada obowiązki?

Czym jest dyrektywa NIS 2 i jakie są jej cele?

Dyrektywa NIS 2, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, to unijne prawo, które weszło w życie w styczniu 2023 roku. Ma ona na celu zapewnienie wysokiego, wspólnego poziomu cyberbezpieczeństwa w całej Unii. Aby to osiągnąć, dyrektywa wprowadza jednolite ramy i środki prawne dla 18 strategicznych sektorów gospodarki, aby wzmocnić ich odporność na cyberzagrożenia.

Unia Europejska wprowadziła dyrektywę w odpowiedzi na rosnącą liczbę cyber incydentów, w tym związanych z kwestiami geopolitycznymi. Zobowiązuje ona państwa członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa i rozwijania zdolności w zakresie zapobiegania, wykrywania oraz reagowania na ataki. Każdy kraj w UE musi przygotować swoje ustawy, które implementują NIS 2 na poziomie krajowym. W przypadku Polski mówimy o Ustawie o Krajowym Systemie Cyberbezpieczeństwa. Promuje również współpracę i sprawną wymianę informacji między krajami. NIS 2 standaryzuje zarządzanie ryzykiem i raportowanie incydentów, tworząc spójniejszy i bezpieczniejszy ekosystem bezpieczeństwa w UE.

Czym różni się dyrektywa NIS 2 od NIS 1?

Zastępując uchyloną 18 października 2024 roku dyrektywę NIS 1 (2016/1148), nowe prawo (2022/2555) znacząco zaostrza przepisy. Największą zmianą jest rozszerzenie zakresu regulacji – NIS2 obejmuje znacznie więcej sektorów i podmiotów. Wprowadza też nowy, dwupoziomowy podział na podmioty kluczowe i ważne, zastępując wcześniejszą kategoryzację na operatorów usług kluczowych i dostawców usług cyfrowych.

Nowe prawo UE nakłada surowsze wymogi dotyczące zarządzania ryzykiem i cyberbezpieczeństwa, w tym obowiązek zabezpieczenia łańcucha dostaw. Zasady raportowania incydentów również stają się bardziej rygorystyczne. Prawdziwym przełomem jest jednak wprowadzenie bezpośredniej odpowiedzialności najwyższego kierownictwa za nieprzestrzeganie przepisów, co wymusza na członkach zarządu strategiczne podejście do cyberbezpieczeństwa. 

Kogo dotyczy dyrektywa NIS 2?

Nowe przepisy obejmują szerokie spektrum podmiotów publicznych i prywatnych, dzieląc je na kluczowe lub ważne. Regulacje koncentrują się głównie na średnich i dużych przedsiębiorstwach z 18 sektorów krytycznych dla gospodarki i społeczeństwa. W niektórych przypadkach przepisy obejmą jednak również mikro i małe firmy, jeśli odgrywają one istotną rolę dla funkcjonowania państwa. Kluczowe w ocenie czy dana organizacja podlega pod NIS 2 jest kwestia kodów PKD potwierdzających obszar działalności oraz rozmiar organizacji. Może się jednak zdarzyć, że przy braku spełnienia wspomnianych wymogów wciąż będziemy musieli spełniać wymogi NIS 2. Może tak się wydarzyć w przypadku współpracy z partnerem, który podlega pod NIS 2. W takich przypadkach organizacja może wymagać od swoich partnerów określonych standardów bezpieczeństwa. Często będą to takie same jak wymagania organizacji podlegającej pod wymogi NIS 2.

Jakie są kategorie podmiotów: kluczowe i ważne?

O przypisaniu firmy do jednej z dwóch kategorii – kluczowej (essential) lub ważnej (important) znaczenie świadczonych usług dla gospodarki i społeczeństwa.

Podmioty kluczowe działają w sektorach o fundamentalnym znaczeniu. Podlegają one bardziej rygorystycznym środkom nadzoru i kontroli. Podmioty ważne podlegają łagodniejszym środkom nadzoru i kontroli ze stron organów. Należy jednak pamiętać, że nawet mikroprzedsiębiorstwa i małe firmy (MŚP) mogą trafić do kategorii kluczowych lub ważnych, jeśli ich rola w łańcuchu dostaw jest krytyczna.

Które sektory gospodarki są objęte regulacją?

Regulacją objęto 18 sektorów gospodarki. Mowa o takich sektorach jak:

• Obszary o wysokiej krytyczności: energetyka, transport, opieka zdrowotna i finanse.
• Usługi publiczne i cyfrowe: administracja publiczna, sektor kosmiczny oraz infrastruktura cyfrowa (np. dostawcy usług DNS, rejestry nazw TLD, usługi chmurowe oraz platformy społecznościowe).
• Nowe sektory: usługi pocztowe i kurierskie, gospodarowanie odpadami oraz produkcja, w tym wytwarzanie żywności i chemikaliów.

Jak sprawdzić, czy firma podlega pod dyrektywę NIS 2?

Aby ustalić, czy Twoja firma podlega przepisom dyrektywy NIS 2, musisz to samodzielnie zweryfikować. Najpierw sprawdź w załączniku nr 1 lub 2 do ustawy o KSC, czy dany profil działalności jest objęty regulacją (pomocny może być też nasz ebook z wykazem sektorów) Realizując projekty związane z wdrażaniem wymogów NIS2, często spotykam się z sytuacją, gdzie firmy błędnie zakładają, że pojawi się instytucja, która jasno określi czy podlegają pod NIS 2. W przypadku NIS 1 pojawiały się takowe powiadomienia natomiast NIS 2 wprowadza samorejestrację. Oznacza to, że organizacja musi sama ocenić czy podlega pod wymogi NIS 2. Warto rozpocząć od oceny wielkość firmy zgodnie z zasadą pułapu wielkości (tzw. size cap rule). Według zapisów dyrektywy, regulacja domyślnie obejmuje średnie i duże przedsiębiorstwa, czyli te zatrudniające co najmniej 50 pracowników i osiągające roczny obrót lub sumę bilansową powyżej 10 mln EUR. W liczbę pracowników wliczają się osoby pracujące na umowach typu B2B czy umowach zlecenie. Firma spełniająca oba kryteria (size cap rule oraz działanie w jednym z 18 sektorów krytycznych) kryteria będzie musiała zarejestrować się w krajowym wykazie podmiotów kluczowych i ważnych, prowadzonym przez Ministerstwo Cyfryzacji. Są też jednak zwolnienia: dyrektywa nie obejmuje podmiotów z sektora finansowego, które podlegają rozporządzeniu DORA, ani firm z obszaru obronności i bezpieczeństwa narodowego.

Jakie obowiązki w zakresie zarządzania ryzykiem nakłada NIS 2?

Dyrektywa NIS 2 wymaga od podmiotów kompleksowego podejścia do zarządzania ryzykiem w cyberbezpieczeństwie. Jest to wymóg często podkreślany jako kluczowy do osiągnięcia zgodności z NIS 2 przez przedstawicieli Ministerstwa Cyfryzacji. Organizacje muszą wdrożyć środki techniczne, operacyjne i organizacyjne dopasowane do poziomu ryzyka i możliwości finansowych, aby skutecznie chronić swoje systemy i dane. Samo osiągnięcie podstawowych wymogów NIS 2 może nie wystarczyć jeżeli okaże się, że analiza ryzyka wykazuje konieczność inwestycji w konkretne narzędzia czy procesy.

Jakie środki bezpieczeństwa muszą wdrożyć podmioty?

Podmioty muszą wdrożyć konkretne, proporcjonalne do ryzyka środki techniczne, operacyjne i organizacyjne. Wspierając klientów w doborze rozwiązań bezpieczeństwa, często zwracam uwagę, że same kwestie polityk to za mało. Duża część klientów mylnie kojarzy ustawę z kwestiami prawnymi. W przypadku UoKSC i NIS 2 mówimy o wymogach prawnych, technologicznych i procesowych (SOC czy analiza ryzyka). W praktyce projektowej widzę, że największym wyzwaniem nie jest zakup narzędzi, ale zbudowanie wokół nich skutecznych procedur – szczególnie w obszarze obsługi incydentów i analizie ryzyka, na które NIS 2 kładzie tak duży nacisk. Kluczowe wymogi to między innymi:

• polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
• monitoring systemów w trybie ciągłym (czyli posiadanie systemów klasy SIEM/EDR oraz SOC)
• procedury obsługi incydentów,
• zapewnienie ciągłości działania (np. plany odtwarzania po awarii, zarządzanie kryzysowe, zarządzanie kopiami zapasowymi),
• zabezpieczenie łańcucha dostaw przez ocenę i kontrolę dostawców,
• bezpieczeństwo w procesie nabywania, rozwoju i utrzymania systemów,
• wdrożenie podstawowej cyber higieny i regularne szkolenia z cyberbezpieczeństwa dla pracowników.
• Wymagane rozwiązania techniczne obejmują kryptografię i szyfrowanie, skuteczną kontrolę dostępu, stosowanie uwierzytelniania wieloskładnikowego (MFA) lub ciągłego, a także zabezpieczenie komunikacji głosowej i tekstowej.

Jakie wymogi dotyczą bezpieczeństwa łańcucha dostaw?

Dyrektywa NIS 2 nakłada obowiązek zarządzania ryzykiem w łańcuchu dostaw. To mechanizm przypominający obronę zamku: nawet najwyższe mury nie pomogą, jeśli kupiec wpuszczany przez bramę przemyci ukryte zagrożenie. Dlatego kluczowe staje się ocenianie i weryfikowanie praktyk cyberbezpieczeństwa swoich bezpośrednich dostawców i usługodawców, w tym dostawców usług zarządzanych. Podmioty objęte NIS 2 są również zobowiązane do wdrożenia polityk analizy ryzyka uwzględniających identyfikowanie i minimalizowanie zagrożeń pochodzących od partnerów.

Celem tego działania jest zapobieganie incydentom, które mogłyby zakłócić działanie sieci i systemów informatycznych. Wymogi te mogą objąć również małe i średnie przedsiębiorstwa (MŚP), jeśli stanowią one krytyczne ogniwo w łańcuchu dostaw podmiotu kluczowego lub ważnego.

Jakie są zasady raportowania incydentów cyberbezpieczeństwa?

Dyrektywa NIS 2 wprowadza rygorystyczne, wieloetapowe zasady raportowania incydentów, które obowiązują podmioty kluczowe i ważne. Wymóg zgłaszania dotyczy wyłącznie poważnych incydentów – czyli takich, które powodują znaczne zakłócenia usługi lub mogą istotnie wpłynąć na inne podmioty. Proces zgłaszania do właściwych organów krajowych (w tym CSIRT) jest stopniowy i wygląda następująco:

1. Wczesne ostrzeżenie: w ciągu 24 godzin od momentu wykrycia incydentu.

2. Zgłoszenie incydentu: w ciągu 72 godzin od wykrycia, z aktualizacją statusu.

3. Sprawozdanie końcowe: nie później niż miesiąc po zakończeniu obsługi incydentu. Musi ono zawierać szczegółowy opis zdarzenia, jego przyczynę źródłową i zastosowane środki łagodzące.

Taki model raportowania przyspiesza zarządzanie incydentami, umożliwia szybką reakcję i zapewnia efektywną wymianę informacji o cyberzagrożeniach.

Jaka jest odpowiedzialność zarządu za cyberbezpieczeństwo zgodnie z NIS 2?

Dyrektywa NIS 2 wprowadza istotną zmianę: nakłada osobistą i bezpośrednią odpowiedzialność na najwyższe kierownictwo. Rola zarządu staje się tożsama z rolą kapitana statku – odpowiada on za bezpieczeństwo całej jednostki, a nie tylko za wyznaczanie kursu. Organy zarządzające muszą nie tylko zatwierdzać środki zarządzania ryzykiem, ale również aktywnie nadzorować ich wdrażanie. Dyrektywa wymaga też, aby członkowie zarządu przechodzili regularne szkolenia, które pozwolą im prawidłowo oceniać cyberryzyka i praktyki w tym obszarze.

Odpowiedzialność kierownictwa jest niezbywalna i nie można jej ograniczyć, a za jej zaniedbanie grożą dotkliwe konsekwencje. Jako osoba z tłem finansowym i doświadczeniem w doradztwie transakcyjnym, obserwuję tu fundamentalną zmianę optyki. W rozmowach z klientami widzę, że to właśnie widmo osobistej odpowiedzialności finansowej sprawia, że zarządy zaczynają traktować cyberbezpieczeństwo jako kluczowy element strategii biznesowej, a nie tylko kosztowny dodatek do IT. W przypadku naruszenia przepisów organ nadzorczy może nałożyć na menedżerów osobiste kary. Katalog kar sięga od zobowiązania podmiotu do wydania publicznego oświadczenia ze wskazaniem osoby odpowiedzialnej za naruszenie, po czasowy zakaz pełnienia funkcji kierowniczych. Przepisy przewidują również kary finansowe nakładane bezpośrednio na kierownika: do 300% jego średniego miesięcznego wynagrodzenia w sektorze prywatnym oraz do 100% w sektorze publicznym.

Jakie kary grożą za nieprzestrzeganie dyrektywy NIS 2?

Dyrektywa NIS 2 wprowadza surowe sankcje finansowe, aby skutecznie egzekwować przepisy. Wysokość kar zależy od kategorii podmiotu. Podmioty kluczowe mogą zapłacić maksymalnie 10 milionów EUR lub 2% całkowitego rocznego światowego obrotu – w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych kara wynosi do 7 milionów EUR lub 1,4% ich całkowitego rocznego światowego obrotu, również przy zastosowaniu wyższej kwoty. Organy nadzorcze mogą nakładać te sankcje za naruszenie obowiązków dotyczących zarządzania ryzykiem i raportowania incydentów.

Oprócz kar finansowych z dyrektywy UE, polski ustawodawca wprowadził dodatkową grzywnę do 100 000 000 PLN. Organ nadzorczy może ją nałożyć na podmioty kluczowe i ważne, jeśli naruszenie przepisów spowoduje skrajnie poważne zagrożenie dla obronności, bezpieczeństwa państwa lub życia i zdrowia ludzi. Inne sankcje obejmują czasowe zawieszenie certyfikacji lub zezwoleń na prowadzenie działalności. Cel tych rygorystycznych środków jest jasny: wymuszenie przestrzegania wymogów i podniesienie ogólnego poziomu cyberbezpieczeństwa.

Jaki jest harmonogram wdrożenia NIS2 w Polsce?

Dyrektywa NIS 2 weszła w życie 16 stycznia 2023 roku. Państwa członkowskie UE, w tym Polska, miały obowiązek wdrożyć ją do prawa krajowego do 17 października 2024 roku. Polska nie dotrzymała tego terminu, dlatego Komisja Europejska wszczęła przeciwko niej postępowanie w sprawie uchybienia zobowiązaniom. Polska zaimplementuje te przepisy przez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).

Jesteśmy na ostatniej prostej. Obowiązki wejdą w życie w 2026. Warto zaznaczyć, że kluczowej kraje dla UE jak Niemcy wdrożyły już lokalne ustawodastwa. Po wejściu w życie nowelizacji około 40 tysięcy podmiotów kluczowych i ważnych rozpocznie proces rejestracji. Firmy będą miały czas na wdrożenie nowych środków zarządzania ryzykiem i dostosowanie się do zasad raportowania. Pierwszych audytów zgodności oraz pełnego egzekwowania przepisów możemy spodziewać się 2 lata po wejściu w życie NIS 2 w Polsce.

Źródła

• https://ec.europa.eu/newsroom/cipr/items/764849/en 
• https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555
• https://legal.pwc.de/content/services/NIS-2/nis-2-poland.pdf

---

Aleksander Bronowski – GTM Manager z ponad sześcioletnim doświadczeniem w doradztwie transakcyjnym i technologicznym. Na co dzień wspiera klientów w doborze i projektowaniu rozwiązań z obszaru cyberbezpieczeństwa. Specjalizuje się w obszarze zarządzania incydentami, podatnościami i ryzykiem, a także NIS 2.