menuMENU

Dyrektywa NIS2 – kogo dotyczy, jakie obowiązki nakłada i jakie grożą kary

Dodany: 18.02.2026 11:48:24
67 wyświetleń

1. Czym jest dyrektywa NIS2 i dlaczego powstała

Dyrektywa NIS 2 to unijne przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych. Została przyjęta w grudniu 2022 r., a weszła w życie 16 stycznia 2023 r. 

Zastąpiła wcześniejszą dyrektywę NIS z 2016 r. Powód był prosty: skala cyberataków rośnie, a poprzednie regulacje były zbyt wąskie i niespójne w różnych krajach UE.

Dlaczego wprowadzono nowe przepisy?

Unia Europejska uznała, że:

  • zagrożenia cybernetyczne są coraz bardziej zaawansowane,
  • wiele kluczowych sektorów nie było objętych poprzednimi regulacjami,
  • poziom zabezpieczeń w poszczególnych państwach znacząco się różnił.

Celem NIS2 jest:

  • podniesienie poziomu cyberbezpieczeństwa w całej UE,
  • rozszerzenie listy sektorów objętych obowiązkami,
  • ujednolicenie zasad nadzoru i kar finansowych,
  • wzmocnienie współpracy między państwami poprzez sieć CSIRT i mechanizmy reagowania kryzysowego. 

W praktyce oznacza to jedno: więcej firm będzie musiało formalnie zadbać o bezpieczeństwo IT, a brak działania może skutkować realnymi sankcjami finansowymi.

2. Od kiedy obowiązuje NIS2 i jak wygląda sytuacja w Polsce

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r. i od tego momentu formalnie obowiązuje w porządku prawnym Unii Europejskiej. 

Państwa członkowskie miały 21 miesięcy na wdrożenie jej przepisów do prawa krajowego. Termin transpozycji upłynął 17 października 2024 r., a poprzednia dyrektywa NIS1 została uchylona dzień później. 

Sytuacja w Polsce

Polska nie wdrożyła przepisów w terminie. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa został przyjęty przez rząd 21 października 2025 r. i skierowany do Sejmu 17 listopada 2025 r. 

Projekt zakłada:

  • miesięczne vacatio legis,
  • 3 miesiące na zgłoszenie się do wykazu podmiotów kluczowych i ważnych,
  • 6 miesięcy na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI). 

To oznacza, że po wejściu ustawy w życie czasu na przygotowanie będzie niewiele. Firmy, które kwalifikują się pod NIS2, powinny rozpocząć analizę i przygotowania jeszcze przed formalnym obowiązywaniem przepisów krajowych.

3. Kogo dotyczy NIS2

Dyrektywa NIS2 znacząco rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Wprowadza podział na dwie główne kategorie: podmioty kluczowe oraz podmioty ważne. 

Podział ten ma znaczenie przede wszystkim dla zakresu nadzoru oraz surowości kontroli.

Podmioty kluczowe (essential entities)

Do tej kategorii należą przede wszystkim podmioty działające w sektorach o strategicznym znaczeniu dla państwa i społeczeństwa. Są to m.in.:

  • energia,
  • transport,
  • bankowość i infrastruktura rynków finansowych,
  • ochrona zdrowia,
  • woda pitna,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT,
  • administracja publiczna,
  • sektor kosmiczny. 

Co do zasady chodzi o duże przedsiębiorstwa, czyli takie, które zatrudniają co najmniej 250 pracowników lub osiągają roczny obrót powyżej 50 mln euro. 

Podmioty kluczowe podlegają surowszemu nadzorowi. Organ nadzorczy może przeprowadzać kontrole, wydawać wiążące polecenia i nakazywać określone działania.

Podmioty ważne (important entities)

Druga kategoria obejmuje m.in.:

  • usługi pocztowe i kurierskie,
  • gospodarkę odpadami,
  • produkcję i dystrybucję chemikaliów,
  • produkcję, przetwarzanie i dystrybucję żywności,
  • działalność badawczą,
  • produkcję wyrobów medycznych, sprzętu elektronicznego, maszyn i pojazdów,
  • cyfrowych dostawców usług, w tym platformy internetowe i wyszukiwarki. 

W tym przypadku próg jest niższy – chodzi o średnie przedsiębiorstwa, czyli takie, które zatrudniają co najmniej 50 pracowników lub osiągają obrót powyżej 10 mln euro rocznie. 

Podmioty ważne podlegają nadzorowi reaktywnemu. Oznacza to, że kontrola najczęściej następuje po zgłoszeniu incydentu albo w przypadku podejrzenia naruszenia.

Wyjątki – kiedy wielkość firmy nie ma znaczenia

W niektórych przypadkach obowiązki wynikające z NIS2 mają zastosowanie niezależnie od wielkości przedsiębiorstwa. Dotyczy to m.in. operatorów publicznych sieci łączności, rejestrów domen, operatorów DNS czy podmiotów świadczących usługi zaufania. 

W praktyce oznacza to, że nawet mniejsza firma może zostać objęta regulacją, jeżeli działa w sektorze uznanym za kluczowy z punktu widzenia bezpieczeństwa państwa.

4. Jakie obowiązki nakłada NIS2

NIS2 nie ogranicza się do ogólnych zaleceń. Wprowadza konkretne obowiązki, które muszą zostać wdrożone w organizacji w sposób systemowy i udokumentowany.

Najważniejszym wymogiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI). To nie jest jednorazowe działanie, ale stały proces obejmujący analizę ryzyka, procedury, kontrolę oraz regularne przeglądy.

System zarządzania bezpieczeństwem informacji (SZBI)

Firma musi:

  • zidentyfikować ryzyka związane z cyberbezpieczeństwem,
  • ocenić ich wpływ na działalność,
  • wdrożyć środki ograniczające zagrożenia,
  • regularnie aktualizować polityki i procedury bezpieczeństwa.

SZBI powinien obejmować całą organizację – nie tylko dział IT. Odpowiedzialność dotyczy procesów, ludzi i technologii.

Zarządzanie ryzykiem i bezpieczeństwo IT

Organizacja ma obowiązek stosować środki techniczne i organizacyjne adekwatne do poziomu ryzyka.

W praktyce oznacza to m.in.:

  • regularne aktualizowanie systemów i usuwanie podatności,
  • testy bezpieczeństwa i audyty,
  • monitorowanie sieci i systemów,
  • wdrożenie planów ciągłości działania (BCP) oraz planów odtwarzania po awarii (DRP).

Bezpieczeństwo nie może być działaniem „na papierze”. Musi być realnie wdrożone i testowane.

Szkolenia, procedury i kontrola dostępu

NIS2 wymaga budowania świadomości w organizacji.

Pracownicy oraz kadra zarządzająca powinni być regularnie szkoleni z zakresu cyberbezpieczeństwa. Firma musi jasno określić role i odpowiedzialności w przypadku incydentu.

Konieczne jest także:

  • wdrożenie zasady najmniejszych uprawnień,
  • stosowanie wieloskładnikowego uwierzytelniania,
  • kontrola i monitorowanie dostępu do systemów.
  • Dostęp do danych powinien mieć wyłącznie ten pracownik, który realnie go potrzebuje do wykonywania obowiązków.

Bezpieczeństwo łańcucha dostaw

NIS2 nakłada obowiązek weryfikacji bezpieczeństwa dostawców.

Jeżeli korzystasz z usług zewnętrznych firm IT, chmury, oprogramowania czy podwykonawców, odpowiadasz również za ocenę poziomu ich zabezpieczeń.

Oznacza to konieczność:

  • analizy ryzyka związanego z dostawcami,
  • wprowadzenia wymogów bezpieczeństwa w umowach,
  • monitorowania jakości zabezpieczeń po stronie partnerów.

Brak kontroli nad łańcuchem dostaw może zostać uznany za naruszenie obowiązków wynikających z NIS2.

5. Obowiązek zgłaszania incydentów – 24h, 72h, 1 miesiąc

NIS2 wprowadza bardzo konkretne terminy raportowania incydentów bezpieczeństwa. Nie ma tu dowolności ani miejsca na zwlekanie.

Jeżeli dojdzie do poważnego incydentu, podmiot kluczowy lub ważny musi przejść przez trzy etapy zgłoszenia.

Wczesne ostrzeżenie – do 24 godzin

Pierwsze zgłoszenie należy przekazać niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia incydentu.

Na tym etapie chodzi o poinformowanie właściwego CSIRT o tym, że doszło do zdarzenia, które może mieć istotny wpływ na świadczenie usług lub bezpieczeństwo systemów.

Zgłoszenie incydentu – do 72 godzin

W ciągu 72 godzin od wykrycia incydentu należy przesłać bardziej szczegółowy raport.

Powinien on zawierać:

  • opis charakteru incydentu,
  • wstępną ocenę jego skutków,
  • informacje o podjętych działaniach.

To już nie jest sygnał ostrzegawczy, ale formalne zgłoszenie zdarzenia.

Raport końcowy – do 1 miesiąca

Najpóźniej w ciągu miesiąca od wykrycia incydentu należy złożyć raport końcowy.

Raport powinien obejmować:

  • pełną analizę przyczyn zdarzenia,
  • ocenę skutków,
  • opis działań naprawczych i zapobiegawczych,
  • informacje o wprowadzonych zmianach w systemach lub procedurach.

W praktyce oznacza to konieczność posiadania gotowych procedur reagowania na incydenty. Bez jasno określonego procesu, zebranie danych i dotrzymanie terminów może być bardzo trudne.

6. Odpowiedzialność zarządu

NIS2 wyraźnie wskazuje, że za zgodność z przepisami odpowiada nie tylko dział IT, ale przede wszystkim kadra zarządzająca.

Zarząd musi:

  • zatwierdzić środki zarządzania ryzykiem,
  • nadzorować ich wdrożenie,
  • kontrolować skuteczność przyjętych rozwiązań,
  • podnosić swoje kompetencje w zakresie cyberbezpieczeństwa.

Nie jest to odpowiedzialność „techniczna”, ale strategiczna. Bez zaangażowania zarządu wdrożenie SZBI może zostać uznane za niewystarczające.

W przypadku rażących naruszeń możliwe są osobiste konsekwencje dla członków organów zarządzających, w tym zakaz pełnienia funkcji kierowniczych.

7. Kary za brak zgodności

NIS2 wprowadza jednolite, wysokie kary finansowe na poziomie całej Unii Europejskiej.

Wysokość sankcji zależy od kategorii podmiotu.

Dla podmiotów kluczowych kara może wynieść do 10 mln euro lub 2% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa.

Dla podmiotów ważnych kara może sięgnąć do 7 mln euro lub 1,4% globalnego rocznego obrotu.

Poza karami finansowymi organ nadzorczy może:

  • wydać wiążące polecenia,
  • nakazać usunięcie nieprawidłowości,
  • przeprowadzić audyt lub kontrolę,
  • w skrajnych przypadkach czasowo ograniczyć działalność.

Dodatkowo możliwe są konsekwencje wizerunkowe oraz odpowiedzialność cywilna wobec kontrahentów.

8. Co powinieneś zrobić już teraz

Nawet jeśli krajowe przepisy wdrażające NIS2 jeszcze nie obowiązują, przygotowania warto rozpocząć wcześniej. Czas na dostosowanie po wejściu ustawy w życie będzie ograniczony.

Sprawdź, czy podlegasz pod NIS2

Najpierw przeanalizuj:

  • w jakim sektorze działa Twoja firma,
  • ile zatrudniasz pracowników,
  • jaki osiągasz roczny obrót.

Jeżeli spełniasz kryteria dla podmiotu kluczowego lub ważnego, powinieneś rozpocząć proces przygotowania do wdrożenia wymogów.

Przeprowadź audyt cyberbezpieczeństwa

Kolejnym krokiem powinna być rzetelna ocena obecnego stanu zabezpieczeń.

Audyt powinien obejmować:

  • infrastrukturę IT,
  • polityki i procedury bezpieczeństwa,
  • sposób zarządzania dostępami,
  • gotowość do reagowania na incydenty,
  • bezpieczeństwo dostawców.

Celem jest wykrycie luk i określenie, co należy poprawić.

Zaplanuj wdrożenie systemu zarządzania bezpieczeństwem informacji

Wdrożenie SZBI wymaga czasu i uporządkowanego działania. Konieczne będzie:

  • opracowanie polityk bezpieczeństwa,
  • stworzenie planów ciągłości działania,
  • przygotowanie procedur zgłaszania incydentów,
  • przeszkolenie pracowników i zarządu.

Im wcześniej rozpoczniesz prace, tym mniejsze ryzyko chaosu organizacyjnego w momencie wejścia przepisów w życie.

9. Podsumowanie – dlaczego nie warto czekać

NIS2 znacząco rozszerza obowiązki w zakresie cyberbezpieczeństwa i obejmuje znacznie więcej sektorów niż wcześniejsze regulacje. Wprowadza wysokie kary finansowe, osobistą odpowiedzialność zarządu oraz ścisłe terminy raportowania incydentów.

Dla wielu firm będzie to największa zmiana w obszarze bezpieczeństwa IT od lat.

Odwlekanie działań może skutkować:

  • presją czasową przy wdrożeniu,
  • błędami organizacyjnymi,
  • ryzykiem sankcji finansowych,
  • utratą reputacji.

Przygotowanie się do NIS2 to nie tylko kwestia zgodności z przepisami, ale także realne zwiększenie odporności firmy na cyberzagrożenia.

Inne z kategorii Blog
Więcej w Blog

Zespół Kancelarii KZ

Masz pytania? Chętnie pomożemy!

Najczęściej pytacie nas o:

Czy warto zastrzec nazwę lub logo jako znak towarowy?

  • Jakie dokumenty powinien mieć mój sklep internetowy?
  • Czy moje regulaminy i polityki są zgodne z aktualnym prawem?
  • Czy RODO mnie dotyczy i co muszę wdrożyć?

Jeśli też się nad tym zastanawiasz – skontaktuj się z nami. Odpowiemy na Twoje pytania i pomożemy podjąć właściwe decyzje.

Jak wygląda kontakt?

  1. Wypełnij formularz – krótko napisz, z czym się do nas zgłaszasz.
  2. Magda albo Przemek oddzwonią i wyjaśnią wszystko, co trzeba – bez żadnych zobowiązań.

Zadzwoń do nas: 795-428-460

lub uzupełnij formularz kontaktowy:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.
Igor<
Igor
1 rok temu

Papierologia to nie moja bajka, a jak słyszę „RODO”, to mam ochotę wyjść z Internetu. Na szczęście zespół z Lejdis Prawo zrobił wszystko za mnie. Odpowiedziałem na kilka prostych pytań i po paru dniach miałem gotowe dokumenty – bez prawniczych łamańców, bez stresu. Polecam każdemu, kto chce mieć temat zamknięty i iść dalej.

Adrianna<
Adrianna
8 miesięcy temu

Prowadzę butik online z dodatkami handmade i temat RODO, cookies czy regulaminu newslettera był dla mnie czarną magią. Lejdis Prawo ogarnęło wszystko za mnie – sprawnie, w świetnym kontakcie, bez zbędnego gadania. Czuję, że wszystko jest zrobione profesjonalnie, a ja mogę skupić się na tym, co naprawdę lubię.

Sławomir<
Sławomir
6 miesięcy temu

Zanim trafiłem na Lejdis Prawo, miałem już kilka nieudanych prób współpracy z prawnikami, którzy kompletnie nie ogarniali realiów e-commerce. Tutaj od razu było widać, że trafiam na ludzi, którzy rozumieją, jak działa sprzedaż online. Dokumenty zostały przygotowane szybko, konkretnie i idealnie dopasowane do mojego sklepu. W końcu mam regulamin, który faktycznie chroni mój biznes.

K
Klaudiusz
7 miesięcy temu

Lejdis Prawo przygotowało dla naszej firmy cały pakiet dokumentów – od polityki prywatności po regulaminy świadczenia usług. Jako firma potrzebowaliśmy kogoś, kto zna się nie tylko na przepisach, ale też rozumie, jak funkcjonują systemy IT. Świetna współpraca, profesjonalne podejście, konkretne wsparcie. Polecam każdej firmie technologicznej.

E
Edyta
1 rok temu

Nie wiedziałam, od czego zacząć z tymi wszystkimi regulaminami, polityką prywatności, zgodami... totalny chaos. Ale trafiłam na Lejdis Prawo i wszystko się poukładało. Przygotowali komplet dokumentów do mojego sklepu z naturalnymi świecami – szybko, konkretnie, po ludzku. Dzięki nim mam porządek i nie boję się żadnych kontroli. Serio, warto.

Teresa<
Teresa
1 rok temu

Z Lejdis Prawo współpracowałam przy polityce cookies i regulaminie strony. Jestem pod ogromnym wrażeniem – wszystko przygotowane perfekcyjnie, w zgodzie z przepisami, ale co najważniejsze: zrozumiale. Czuć, że mają doświadczenie w pracy z biznesami online. Spokojnie mogę powiedzieć, że to partner, któremu można zaufać.

Wszystkie prawa zastrzeżone.
Tworzenie stron WWW by Lejdis Marketing
Zadzwoń: 795-428-460
Skontaktuj się z nami

Zadzwoń do nas: 795-428-460
Nie odbieramy? Musimy być zajęci. Zostaw niżej swój numer telefonu, a oddzwonimy tak szybko jak to możliwe.

Jesteś 17 osobą, która uzupełniła dziś ten formularz.
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.