NIS 2 już obowiązuje – od 3 kwietnia 2026 r.

Pobierz krótki przewodnik! 

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) doprecyzowała i rozszerzyła przepisy zwiększające bezpieczeństwo sieci i systemów informatycznych, wprowadzone dyrektywą NIS z 6 lipca 2016 roku.

Nowe przepisy zostały zaimplementowane do polskiego porządku prawnego nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026 r.

Kogo dotyczą nowe przepisy?

Dyrektywa NIS 2, a w ślad za nią przepisy krajowe, rozszerzają obowiązki w zakresie cyberbezpieczeństwa na nowe sektory nakładając szczególne wymagania na podmioty, które odgrywają strategiczną rolę w funkcjonowaniu rynku wewnętrznego Unii Europejskiej. Wymagania dotyczą w szczególności podmiotów kluczowych i ważnych, które kwalifikują się jako średnie przedsiębiorstwa lub które przekraczają pułapy dla średnich przedsiębiorstw (zatrudniające co najmniej 50 osób lub których obroty roczne lub roczna suma bilansowa wynoszą od 10 mln EURO).

Sektory kluczowe obejmują:

• energetykę,
• transport,
• bankowość,
• infrastrukturę rynków finansowych,
• opiekę zdrowotną,
• zaopatrzenie w wodę pitną,
• systemy kanalizacyjne (ścieki),
• infrastrukturę cyfrową,
• zarządzanie usługami ICT,
• administrację publiczną,
• przestrzeń kosmiczną.

Sektory ważne obejmują:

• usługi pocztowe i kurierskie,
• gospodarowanie odpadami,
• produkcję, przetwarzanie i dystrybucję chemikaliów,
• produkcję, przetwarzanie i dystrybucję żywności,
• przemysł produkcyjny,
• usługi cyfrowe,
• badania naukowe

Obowiązki związane z cyberbezpieczeństwem

Zgodnie z postanowieniami znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa,  podmioty objęte jej zakresem są – od daty jej wejścia w życie – zobowiązane do wdrożenia szeregu środków i procedur związanych z zarządzaniem ryzykiem cyberbezpieczeństwa. Do najważniejszych obowiązków należą:

1. Zgłaszanie incydentów: Podmioty kluczowe i ważne są zobowiązane do zgłaszania poważnych (mających wpływ na świadczenie usług) incydentów właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego – CSIRT (Computer Security Incident Response Team) lub swojemu właściwemu organowi.
2. Wprowadzanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu, obejmujących co najmniej następujące elementy:

• • politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • obsługę incydentów;
  • ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny takie jak zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników i szkolenia w zakresie cyberbezpieczeństwa;
  • polityki i procedury stosowania kryptografii i szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych

3. Powiadamianie odbiorców swoich usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie tych usług oraz o środkach zaradczych które mogą oni podjąć, aby ograniczyć ryzyko wynikające z poważnego cyberzagrożenia.
4. Dodatkowe obowiązki organów zarządzających podmiotów kluczowych i ważnych:

• • regularne szkolenia w celu zdobycia wiedzy i umiejętności pozwalających rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na świadczone usługi (wskazane jest również oferowanie podobnych szkoleń pracownikom),
  • zatwierdzanie przyjętych środki zarządzania ryzykiem w cyberbezpieczeństwie,
  • nadzorowanie ich wdrażania.

5. Stosowanie (własnych lub nabytych) produktów, usług i procesów ITC, certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa. Rekomendowane jest także korzystanie z kwalifikowanych usług zaufania.
6. Dokumentowanie polityki cyberbezpieczeństwa.
7. Działania naprawcze: Podmioty będą zobowiązane do podejmowania działań w celu usunięcia uchybień lub zapewnienia zgodności z wymogami prawnymi na żądanie właściwych organów.
8. Audyt bezpieczeństwa: obowiązek regularnego przeprowadzania audytów bezpieczeństwa, realizowanych przez wykwalifikowanych audytorów, w celu oceny zgodności z obowiązującymi standardami i przepisami w zakresie cyberbezpieczeństwa.

Kary

Niewywiązanie się przez odpowiednie podmioty z obowiązków wynikających z nowych przepisów będzie skutkować nałożeniem sankcji finansowych. Kary te mogą wynosić:

• w przypadku podmiotów z sektorów kluczowych – do 10 mln EUR lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa, a w każdym przypadku kara będzie nie niższa niż 20.000 zł
• w przypadku podmiotów z sektorów ważnych – do 7 mln EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa, a w każdym przypadku kara będzie nie niższa niż 15.000 zł

Jak się przygotować?

Przygotowanie do wdrożenia przepisów wymaga wieloaspektowego podejścia, obejmującego działania prawne, organizacyjne, techniczne oraz proceduralne. W przygotowaniu przedsiębiorstwa do spełnienia wymagań  może pomóc:

• Identyfikacja czy przedsiębiorstwo prowadzi działalność w obszarze podlegającym obowiązkom wynikającym ze znowelizowanych przepisów,
• Przeprowadzenie kompleksowej oceny ryzyka cyberbezpieczeństwa, identyfikacja potencjalnych luk w zabezpieczeniach,
• Weryfikacja zgodności regulacji i polityk wewnętrznych z ustawą o krajowym systemie cyberbezpieczeństwa a w razie potrzeby – ich dostosowanie,
• Zwiększenie zabezpieczeń technicznych, wzmocnienie mechanizmów ochrony, usprawnienie monitoringu, wdrożenie zaawansowanych systemów analizy zagrożeń,
• Opracowanie procedur zarządzania incydentami (odpowiedź na incydenty, raportowanie incydentów), przygotowanie dokumentacji związanej z zarządzaniem ciągłością działania,
• Przeprowadzenie szkoleń dla kadry zarządzającej oraz pracowników w celu podniesienia świadomości i umiejętności w zakresie cyberbezpieczeństwa

Polskie przepisy wdrażające Dyrektywę NIS2

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza pewnego rodzaju rewolucję, w ramach które to podmioty, spełniające kryteria podmiotów kluczowych i ważnych mają obowiązek samodzielnie ustalić czy spełniają te kryteria, a następnie samodzielnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych. Jest to o tyle istotne, że na gruncie dotychczas obowiązujących przepisów za podmiot kluczowy były uznawane tylko te podmioty, które znajdowały się w wykazie podmiotów kluczowych i co do których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej i dopiero w wyniku takiej decyzji na podmiot były nakładane określone obowiązki.

W ramach znowelizowanych przepisów, identyfikacja jako podmiot kluczowy lub ważny oraz wniosek o wpis na listę tych podmiotów ma być złożony w terminie 6 miesięcy od wejścia w życie ustawy, a brak zgłoszenia może być obarczony karami.

Dodatkowo, podmioty kluczowe i ważne mają obowiązek wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym oraz pozostałe obowiązki nakładane przez przepisy w terminie 12 miesięcy od wejścia w życie ustawy, a pierwszy audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej lub ważnej musi zostać przeprowadzony w terminie 24 miesięcy od wejścia w życie ustawy. Przepisy znacząco rozszerzają katalog sektorów uznawanych za kluczowe i ważne – z sześciu do osiemnastu.

Jak możemy pomóc?

W związku z wejściem w życie znowelizowanych przepisów, możemy pomóc m.in.:

1. zweryfikować konieczności stosowania regulacji z zakresu cyberbezpieczeństwa przez dany podmiot
2. przeprowadzić audyt (organizacyjny, techniczny, prawny) rozwiązań i usług pod kątem zgodności z regulacjami dotyczącymi cyberbezpieczeństwa.
3. Przygotować i wdrożyć wymagane środki (w tym polityki i procedury) z zakresu cyberbezpieczeństwa
4. Stworzyć system zarządzania incydentami cyberbezpieczeństwa.
5. Przygotować i negocjować umowy z zakresu wdrożeń/usług oraz utrzymania IT.
6. Przeprowadzić szkolenia w zakresie cyberbezpieczeństwa
7. Wspomóc w przeprowadzeniu audytu bezpieczeństwa systemu informacyjnego.

Nowe przepisy wymagają od wielu organizacji samodzielnej identyfikacji obowiązków i terminowego wdrożenia odpowiednich środków. Pomożemy ustalić, czy Twoja firma kwalifikuje się jako podmiot kluczowy lub ważny, przeprowadzimy analizę luk i przygotujemy praktyczny plan dostosowania do wymogów ustawy. Skontaktuj się z nami, aby rozpocząć przygotowania.