Od 3 kwietnia 2026 r. przedsiębiorcy funkcjonują już w reżimie krajowym, w którym wymagania NIS2 mają charakter wiążących obowiązków prawnych. Regulacja obejmuje nie tylko duże organizacje, ale również średnie przedsiębiorstwa, a w określonych przypadkach także mniejsze podmioty działające w łańcuchach dostaw.
Więcej na temat NIS2 i UKSC przeczytasz w poniższym artykule!
- NIS2 została wdrożona w Polsce poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), obowiązującą od 3 kwietnia 2026 r., i wprowadza jednolite, prawnie wiążące standardy cyberbezpieczeństwa dla podmiotów kluczowych i ważnych w wybranych sektorach gospodarki.
- Nowe obowiązki mogą dotyczyć nie tylko dużych firm, ale także części średnich przedsiębiorstw oraz wybranych mniejszych podmiotów działających w sektorach strategicznych lub w łańcuchach dostaw ICT.
- Przedsiębiorcy muszą wdrożyć system zarządzania bezpieczeństwem informacji (SZBI), obejmujący m.in. kontrolę dostępu, uwierzytelnianie wieloskładnikowe (MFA), szyfrowanie danych, zarządzanie podatnościami, polityki bezpieczeństwa oraz procedury ciągłości działania.
- Obowiązuje nowy model zgłaszania incydentów:
- do 24 godzin – przekazanie wczesnego ostrzeżenia,
- do 72 godzin – zgłoszenie incydentu,
- po zakończeniu obsługi – przekazanie raportu końcowego.
- Kadra zarządzająca ponosi bezpośrednią odpowiedzialność za cyberbezpieczeństwo, w tym za zatwierdzanie polityk bezpieczeństwa, sprawowanie nadzoru oraz odbywanie wymaganych szkoleń. W określonych przypadkach możliwe są również sankcje osobiste.
- Podmioty objęte przepisami muszą dokonać samoidentyfikacji, uzyskać wpis do Wykazu KSC oraz korzystać z systemu S46.
- Naruszenie obowiązków może skutkować audytami, nakazami organów nadzorczych oraz karami finansowymi sięgającymi do 10 mln euro lub 2% rocznego światowego obrotu przedsiębiorstwa.
Czym jest dyrektywa NIS 2?
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) została przyjęta w celu zapewnienia wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej.
Głównym zadaniem NIS 2 zadaniem jest ochrona sieci i systemów informatycznych wykorzystywanych do świadczenia usług kluczowych i ważnych przed:
- cyberatakami,
- naruszeniem poufności, integralności i dostępności danych,
- zakłóceniami ciągłości działania,
- incydentami o charakterze systemowym i transgranicznym.
Co ważniejsze, dyrektywa NIS 2 zastępuje dyrektywę NIS z 2016 roku, znacząco rozszerzając zakres regulacji oraz zaostrzając obowiązki i sankcje.
Kogo dotyczy NIS 2?
NIS 2 obejmuje podmioty kluczowe oraz podmioty ważne, przy czym podstawowym kryterium kwalifikacji jest:
- sektor działalności,
- znaczenie świadczonych usług dla gospodarki i społeczeństwa,
- co do zasady – status co najmniej średniego przedsiębiorcy, z licznymi wyjątkami.
PODMIOTY KLUCZOWE (ESSENTIAL ENTITIES)
Dyrektywa NIS 2 obejmuje m.in. podmioty działające w sektorach:
- energii,
- transportu (lotniczy, kolejowy, drogowy, wodny),
- bankowości i infrastruktury rynków finansowych,
- ochrony zdrowia i zdrowia publicznego,
- zaopatrzenia w wodę pitną i odprowadzania ścieków,
- infrastruktury cyfrowej (centra danych, DNS, TLD),
- administracji publicznej,
- produkcji i dystrybucji produktów leczniczych i wyrobów medycznych o znaczeniu krytycznym.
PODMIOTY WAŻNE (IMPORTANT ENTITIES)
Do podmiotów ważnych NIS 2 zalicza m.in.:
- platformy e-commerce i usługi cyfrowe,
- wyszukiwarki internetowe,
- usługi pocztowe i kurierskie,
- produkcję i dystrybucję żywności, chemikaliów, wyrobów przemysłowych,
- badania naukowe i organizacje badawcze,
- producentów urządzeń elektrycznych, elektronicznych i optycznych.
Dyrektywa NIS 2 a kryterium MŚP oraz stosowanie niezależnie od wielkości
Co do zasady dyrektywa NIS 2 nie obejmuje mikro i małych przedsiębiorców, jednak zasada ta nie ma charakteru bezwzględnego.
NIS 2 ma zastosowanie do:
- średnich i dużych przedsiębiorców działających w sektorach objętych dyrektywą,
- podmiotów, które niezależnie od wielkości świadczą usługi o znaczeniu krytycznym dla gospodarki lub społeczeństwa,
- podmiotów wskazanych wprost w dyrektywie, w tym:
- dostawców usług rejestracji nazw domen,
- podmiotów infrastruktury DNS i TLD,
- podmiotów uznanych za krytyczne na podstawie dyrektywy CER (UE) 2022/2557.
Oznacza to, że status MŚP nie zawsze wyłącza obowiązki wynikające z NIS 2, a każdorazowo konieczna jest indywidualna analiza profilu działalności przedsiębiorcy, charakteru świadczonych usług oraz jego roli w łańcuchu dostaw.
Podstawowe obowiązki przedsiębiorców wynikające z NIS 2
I ZARZĄDZANIE RYZYKIEM CYBERBEZPIECZEŃSTWA
Zakres środków zarządzania ryzykiem wymaganych przez NIS 2 obejmuje w szczególności również:
- stosowanie bezpiecznych mechanizmów kontroli dostępu, w tym uwierzytelniania wieloskładnikowego (MFA);
- stosowanie kryptografii i szyfrowania danych;
- zarządzanie podatnościami oraz regularne aktualizacje systemów;
- bezpieczeństwo personelu (procedury onboardingowe i offboardingowe);
- politykę ujawniania podatności (vulnerability disclosure;
- testowanie i aktualizację planów ciągłości działania.
Podmioty objęte NIS 2 są zobowiązane do wdrożenia odpowiednich i proporcjonalnych środków technicznych i organizacyjnych, w szczególności:
- systemów zarządzania bezpieczeństwem informacji;
- procedur analizy i szacowania ryzyka;
- planów ciągłości działania i odtwarzania po awarii;
- polityk bezpieczeństwa sieci i systemów IT;
- zabezpieczenia łańcucha dostaw.
II ZGŁASZANIE INCYDENTÓW CYBERBEZPIECZEŃSTWA
Za poważny incydent uznaje się w szczególności zdarzenie, które:
- powoduje istotne zakłócenie świadczenia usług;
- prowadzi do naruszenia poufności, integralności lub dostępności danych;
- może mieć negatywny wpływ na odbiorców usług lub inne podmioty.
Dyrektywa NIS 2 wprowadza wielostopniowy obowiązek raportowania incydentów:
- wczesne ostrzeżenie – w ciągu 24 godzin;
- zgłoszenie incydentu – w ciągu 72 godzin;
- raport końcowy – po zakończeniu obsługi incydentu.
Obowiązek dotyczy incydentów mających istotny wpływ na świadczenie usług lub bezpieczeństwo danych.
III ODPOWIEDZIALNOŚĆ ZARZĄDU I KIEROWNICTWA
NIS 2 wprowadza bezpośrednią odpowiedzialność kadry zarządzającej za cyberbezpieczeństwo, w tym:
- zatwierdzanie środków zarządzania ryzykiem;
- nadzór nad ich wdrożeniem;
- obowiązek odbywania szkoleń z zakresu cyberbezpieczeństwa.
Dyrektywa przewiduje możliwość stosowania sankcji osobistych wobec kierowników podmiotów.
IV AUDYTY I CERTYFIKACJA
Podmioty objęte NIS 2, w szczególności podmioty kluczowe, muszą:
- poddawać się regularnym audytom bezpieczeństwa;
- uzyskiwać certyfikaty cyberbezpieczeństwa;
- dokumentować zgodność z wymaganiami dyrektywy.
Dyrektywa wzmacnia uprawnienia organów nadzorczych, które mogą:
- prowadzić kontrole i audyty,
- wydawać wiążące zalecenia,
- nakładać środki naprawcze i sankcje.
Za co grożą kary i sankcje w Dyrektywie NIS 2?
I SANKCJE WOBEC PODMIOTÓW KLUCZOWYCH do 10 mln EUR lub 2% rocznego światowego obrotu.
II SANKCJE WOBEC PODMIOTÓW WAŻNYCH do 7 mln EUR lub 1,4% rocznego obrotu.
III SANKCJE WOBEC KADRY ZARZĄDZAJĄCEJ: kary osobiste, czasowe zakazy pełnienia funkcji kierowniczych.
| RODZAJ NARUSZENIA |
PRZYKŁADY |
SKUTKI / SANKCJE |
| BRAK WDROŻENIA ŚRODKÓW ZARZĄDZANIA RYZYKIEM |
- brak systemu zarządzania bezpieczeństwem informacji,
- brak polityk bezpieczeństwa IT,
- brak planów ciągłości działania (BCP/DRP),
- nieuwzględnienie ryzyka w łańcuchu dostaw.
|
Kary finansowe dla podmiotów (do 10 mln EUR / 2% obrotu dla podmiotów kluczowych, do 7 mln EUR / 1,4% dla podmiotów ważnych). |
| NIEPRAWIDŁOWE LUB NIETERMINOWE ZGŁOSZENIE INCYDENTU |
- brak zgłoszenia incydentu w ciągu 72 h,
- brak raportu końcowego,
- zatajanie istotnych informacji.
|
Sankcje finansowe, możliwość obowiązku naprawienia szkód, upomnienia organu nadzorczego. |
| BRAK NADZORU I ZAANGAŻOWANIA ZARZĄDU |
- brak zatwierdzenia środków bezpieczeństwa,
- nieprzeprowadzenie szkoleń dla kadry kierowniczej,
- brak nadzoru nad implementacją procedur.
|
Kary osobiste, czasowe zakazy pełnienia funkcji kierowniczych, odpowiedzialność cywilna. |
| BRAK AUDYTÓW I DOKUMENTACJI ZGODNOŚCI |
- brak audytów bezpieczeństwa,
- brak dokumentacji wdrożonych środków ochronnych,
- odmowa kontroli.
|
Sankcje finansowe, obowiązek wykonania audytu, możliwość nakazu wdrożenia środków przez organ nadzorczy. |
| NIEWYKONANIE ZALECEŃ ORGANU NADZORCZEGO |
- ignorowanie zaleceń pokontrolnych,
- utrudnianie kontroli.
|
Nakazy naprawcze, kary finansowe, ryzyko dalszych sankcji administracyjnych. |
| NARUSZENIA O CHARAKTERZE SZCZEGÓLNIE POWAŻNYM |
- poważne zakłócenie świadczenia usług,
- zagrożenie zdrowia, życia lub bezpieczeństwa publicznego,
- incydenty systemowe/transgraniczne.
|
Najwyższe kary finansowe, sankcje osobiste dla kadry zarządzającej, odpowiedzialność. |
Dyrektywa NIS 2 w Polsce – co zmienia nowelizacja UKSC od 2026 roku?
Dyrektywa NIS2 nie stanowi bezpośredniego źródła obowiązków dla przedsiębiorców. Jej rolą było ustanowienie jednolitych ram cyberbezpieczeństwa na poziomie Unii Europejskiej, które następnie podlegały implementacji do prawa krajowego. W Polsce proces ten został dokonany poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC).
Od dnia wejścia w życie przepisów implementujących, czyli od 3 kwietnia 2026 r., przedsiębiorcy funkcjonują już w reżimie prawa krajowego, w którym wymagania NIS2 uzyskały charakter norm powszechnie obowiązujących. Nowe regulacje wprowadzają fundamentalne zmiany dla wielu podmiotów publicznych i prywatnych, nakładając na tzw. podmioty kluczowe oraz ważne szereg rygorystycznych obowiązków.
Kalendarz wdrożenia – kluczowe terminy
Podmioty, które w dniu wejścia w życie nowelizacji spełniały ustawowe kryteria, zostały objęte sztywnym harmonogramem dostosowawczym. Czasu na realizację poszczególnych etapów nie ma wiele:
- Do 3 października 2026 r. – termin na dokonanie samoidentyfikacji oraz złożenie wniosku o wpis do Wykazu KSC.
- Od 12 czerwca 2026 r. – uruchomienie możliwości korzystania z systemu S46 dla nowych podmiotów.
- Do 3 kwietnia 2027 r. – ostateczny termin na podłączenie do systemu S46 oraz pełne wdrożenie obowiązków wynikających z nowych przepisów.
- Do 3 kwietnia 2028 r. – termin na dokonanie pierwszego obowiązkowego audytu cyberbezpieczeństwa (dotyczy podmiotów kluczowych, które wcześniej nie były operatorami usług kluczowych; kolejne audyty muszą być przeprowadzane co najmniej raz na trzy lata).
Obowiązek rejestracji w Wykazie KSC
Uruchomiony w dniu 7 maja 2026 r. Wykaz KSC to aplikacja będąca częścią Systemu S46. Służy ona do prowadzenia rejestru podmiotów kluczowych i ważnych, gromadząc dane umożliwiające współpracę z zespołami CSIRT oraz organami właściwymi ds. cyberbezpieczeństwa. Brak terminowego wpisu do 3 października 2026 r. oznacza niewypełnienie ustawowych obowiązków.
Ustawa przewiduje dwa tryby wpisania podmiotu do wykazu:
- Samorejestracja – dotyczy przede wszystkim podmiotów prywatnych prowadzących działalność w sektorach objętych ustawą (załącznik nr 1 lub nr 2) i spełniających kryteria wielkościowe. Podmioty te muszą samodzielnie przeanalizować swoją działalność, dokonać samoidentyfikacji oraz złożyć elektroniczny wniosek za pośrednictwem portalu https://wykaz-ksc.gov.pl.
- Wpis z urzędu – realizowany przez Ministra Cyfryzacji bez konieczności składania wniosku. Dotyczy podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług zaufania oraz podmiotów, które wcześniej posiadały status operatora usługi kluczowej (OUK). Po dokonaniu wpisu podmiot otrzymuje wezwanie i ma 6 miesięcy na uzupełnienie danych w wykazie.
Nowy katalog obowiązków dla organizacji
Samo zgłoszenie do wykazu to dopiero początek, albowiem nowelizacja UKSC znacząco rozszerza listę zadań, które podmioty kluczowe i ważne muszą wdrożyć w swoich strukturach do 3 kwietnia 2027 roku.
Do najważniejszych z nich należą:
- WDROŻENIE SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI (SZBI) – opartego na systematycznej analizie ryzyka i obejmującego cały cykl życia systemów informacyjnych.
- TRZYSTOPNIOWY MODEL OBSŁUGI INCYDENTÓW – zgłaszanie incydentów do zespołów CSIRT za pośrednictwem systemu S46: wczesne ostrzeżenie (do 24 godzin), pełne zgłoszenie (do 72 godzin) oraz sprawozdanie końcowe (do miesiąca).
- ZARZĄDZANIE RYZYKIEM W ŁAŃCUCHU DOSTAW ICT – ocena bezpieczeństwa dostawców produktów i usług IT oraz ograniczenie współpracy z podmiotami wysokiego ryzyka.
- WERYFIKACJA PERSONELU I CYBEREDUKACJA – obowiązek sprawdzania niekaralności osób realizujących zadania z zakresu cyberbezpieczeństwa oraz prowadzenie ciągłej cyberedukacji i cyberhigieny wśród pracowników. Dodatkowo kierownictwo ma obowiązek odbycia dedykowanego szkolenia raz w roku kalendarzowym.
Nowe przepisy przenoszą także odpowiedzialność na poziom zarządczy – za brak wdrożenia wymagań UKSC kierownikom podmiotów grożą osobiste kary finansowe (do 100% wynagrodzenia w sektorze publicznym i do 300% w pozostałych sektorach) oraz czasowy zakaz pełnienia funkcji zarządczych. Same kary administracyjne dla firm przestały mieć charakter symboliczny dla podmiotów kluczowych mogą sięgać do 10 mln euro lub 2% rocznego światowego obrotu. Ustawodawca przewidział jednak okres buforowy: kary pieniężne będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie nowelizacji.
Jak przygotować firmę do wymogów dyrektywy NIS 2 i ustawy o krajowym systemie cyberbezpieczeństwa (UKSC)?
Przygotowanie organizacji do nowych obowiązków wynikających z NIS 2 oraz implementacji w ramach UKSC wymaga podejścia systemowego – obejmującego zarówno analizę prawną, jak i wdrożenia techniczne oraz organizacyjne. Kluczowe znaczenie ma nie tylko spełnienie wymogów formalnych, ale przede wszystkim realne podniesienie poziomu odporności cybernetycznej przedsiębiorstwa.
I. Identyfikacja obowiązków regulacyjnych (NIS 2 / UKSC)
Pierwszym krokiem jest ustalenie, czy podmiot kwalifikuje się jako:
- podmiot kluczowy (essential entity),
- podmiot ważny (important entity),
- w rozumieniu NIS 2 oraz przepisów implementujących UKSC.
W praktyce oznacza to analizę:
- sektora działalności (załączniki do dyrektywy i UKSC),
- skali przedsiębiorstwa (MŚP vs. średni i duży podmiot),
- roli w łańcuchu dostaw ICT,
- znaczenia świadczonych usług dla ciągłości gospodarki lub społeczeństwa.
Na tym etapie kluczowe jest także ustalenie, czy firma podlega obowiązkowi wpisu do Wykazu KSC oraz czy będzie objęta systemem S46.
II. AUDYT CYBERBEZPIECZEŃSTWA I ANALIZA LUK (GAP ANALYSIS)
Kolejnym etapem jest przeprowadzenie audytu zgodności, który powinien obejmować w szczególności:
- ocenę aktualnych zabezpieczeń technicznych i organizacyjnych,
- analizę zgodności z wymaganiami zarządzania ryzykiem,
- identyfikację podatności systemów IT,
- ocenę procedur backupu, ciągłości działania i odtwarzania po awarii,
- analizę bezpieczeństwa łańcucha dostaw.
Efektem audytu powinna być tzw. analiza luk wskazująca różnice pomiędzy stanem obecnym a wymaganiami NIS 2/UKSC.
III. WDROŻENIE SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI (SZBI)
Zgodnie z NIS 2 oraz UKSC przedsiębiorstwo powinno wdrożyć systemowe podejście do cyberbezpieczeństwa, obejmujące:
- polityki bezpieczeństwa informacji,
- zarządzanie ryzykiem ICT,
- kontrolę dostępu i uwierzytelnianie (w tym MFA),
- szyfrowanie danych i ochronę kryptograficzną,
- zarządzanie podatnościami i aktualizacjami,
- procedury reagowania na incydenty.
IV. WDROŻENIE PROCEDUR ZARZĄDZANIA INCYDENTAMI (CSIRT / S46)
Przedsiębiorstwo musi przygotować się do obowiązków raportowych, w tym:
- Zgłoszenie wczesnego ostrzeżenia w ciągu 24 godzin.
- Zgłoszenie incydentu w ciągu 72 godzin.
- Raport końcowy po zakończeniu obsługi incydentu.
W praktyce oznacza to konieczność:
- wdrożenia procedur klasyfikacji incydentów,
- wyznaczenia zespołu odpowiedzialnego za reagowanie,
- zapewnienia kanałów komunikacji z CSIRT,
- integracji procesów z systemem S46 (UKSC).
V. SZKOLENIA I ODPOWIEDZIALNOŚĆ KADRY ZARZĄDZAJĄCEJ
NIS 2 oraz UKSC wprowadzają bezpośrednią odpowiedzialność zarządu, dlatego konieczne jest:
- Przeszkolenie kadry zarządzającej z zakresu cyberbezpieczeństwa.
- Wdrożenie stałego programu cyberhigieny w organizacji.
- Przypisanie formalnej odpowiedzialności za bezpieczeństwo IT.
- Dokumentowanie działań szkoleniowych.
VI. PRZEGLĄD I DOSTOSOWANIE UMÓW Z DOSTAWCAMI IT
Istotnym elementem zgodności jest zarządzanie ryzykiem w łańcuchu dostaw, co oznacza konieczność:
- weryfikacji dostawców usług IT i chmurowych,
- wprowadzenia klauzul bezpieczeństwa w umowach,
- określenia wymagań dotyczących incydentów i raportowania,
- ograniczenia współpracy z dostawcami wysokiego ryzyka,
- zapewnienia audytowalności usług.
VII. OBOWIĄZKI FORMALNE W RAMACH UKSC (WYKAZ KSC I S46)
W kontekście implementacji krajowej należy uwzględnić dodatkowo:
- obowiązek samoidentyfikacji i wpisu do Wykazu KSC,
- korzystanie z systemu S46 do zgłaszania incydentów,
- aktualizację danych podmiotu w rejestrze,
- przygotowanie się do cyklicznych audytów cyberbezpieczeństwa.
Podsumowanie
Dyrektywa NIS 2 stanowi jedną z kluczowych reform unijnych w zakresie cyberbezpieczeństwa przedsiębiorstw i zarządzania ryzykiem ICT. W praktyce nie ogranicza się wyłącznie do aspektów technicznych wprowadza również daleko idące obowiązki organizacyjne, w tym wymogi dotyczące systemu zarządzania bezpieczeństwem informacji, raportowania incydentów oraz nadzoru nad bezpieczeństwem w łańcuchu dostaw. Regulacja obejmuje szeroki katalog podmiotów kluczowych i ważnych, co oznacza, że obowiązki NIS 2 mogą dotyczyć zarówno dużych organizacji, jak i wybranych średnich przedsiębiorstw działających w sektorach strategicznych. Implementacja do polskiego porządku prawnego poprzez UKSC dodatkowo wzmacnia charakter tych obowiązków, czyniąc je elementem krajowego reżimu cyberbezpieczeństwa.