Dyrektywa NIS2 weszła w życie w Polsce jako nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), znacząco rozszerzając zakres podmiotów objętych obowiązkowymi wymogami bezpieczeństwa cybernetycznego. Szacuje się, że nowe przepisy objęły około 6 000 polskich podmiotów — w porównaniu ze 100 podmiotami pod reżimem NIS1. Dla większości organizacji oznacza to całkowicie nowe zobowiązania w zakresie zarządzania bezpieczeństwem, raportowania incydentów i odpowiedzialności zarządu. W 2026 roku CERT Polska i UODO aktywnie prowadzą audyty, a czas na przygotowanie wyraźnie się skraca.
NIS2 w Polsce: Stan na 2026
Dyrektywa NIS2 (2022/2555/UE) zobowiązała państwa członkowskie UE do transpozycji przepisów do prawa krajowego do 17 października 2024 roku. Polska wdrożyła dyrektywę poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowe przepisy radykalnie rozszerzają zakres obowiązków: zamiast wąskiej listy operatorów usług kluczowych z NIS1, NIS2 obejmuje podmioty z 18 sektorów o krytycznym znaczeniu dla gospodarki i społeczeństwa.
Rozszerzony zakres to przede wszystkim nowi uczestnicy systemu bezpieczeństwa: podmioty kluczowe (essential entities) i podmioty ważne (important entities). Dla wielu polskich firm — w tym firm z sektora produkcji, transportu, żywności, przetwarzania odpadów i dostawców usług cyfrowych — NIS2 oznacza pierwsze formalne wymogi cyberbezpieczeństwa wynikające z prawa.
Organy nadzorcze są aktywne: CERT Polska koordynuje obsługę incydentów i prowadzi audyty techniczne, natomiast właściwe organy sektorowe (UKE dla telekomunikacji, KNF dla sektora finansowego, Urząd Lotnictwa Cywilnego dla lotnictwa i in.) sprawują nadzór nad podmiotami w swoich sektorach. Kary za nieprzestrzeganie przepisów są dotkliwe i zawierają element osobistej odpowiedzialności członków zarządu.
Czy Twoja firma podlega NIS2
Podmiot kluczowy (essential entity) to organizacja działająca w jednym z 11 sektorów wysokiego ryzyka (energia, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna) zatrudniająca ponad 250 pracowników LUB osiągająca obrót powyżej 50 milionów euro rocznie. Podmioty kluczowe podlegają najsurowszym wymogom i najwyższym karom.
Podmiot ważny (important entity) to organizacja działająca w tych samych 11 sektorach wysokiego ryzyka lub w 7 dodatkowych sektorach (usługi pocztowe i kurierskie, gospodarka odpadami, produkcja, chemia, żywność, usługi cyfrowe, badania) zatrudniająca ponad 50 pracowników LUB osiągająca obrót powyżej 10 milionów euro. Wymogi są zbliżone do podmiotów kluczowych, choć kary są niższe.
Dostawcy usług zarządzanych (MSP) i dostawcy usług chmurowych podlegają NIS2 niezależnie od wielkości — nawet małe firmy świadczące usługi zarządzane dla podmiotów kluczowych lub ważnych mogą być objęte przepisami. Jeśli Twoja firma świadczy usługi IT, bezpieczeństwa lub chmury dla dużych klientów korporacyjnych, należy dokładnie sprawdzić, czy nie podlega NIS2 jako dostawca usług ICT.
Niepewność co do zakresu podmiotowego jest jednym z najczęściej zgłaszanych wyzwań. Jeśli nie jesteś pewny, czy Twoja organizacja podlega NIS2, skonsultuj się z prawnikiem specjalizującym się w prawie cyberbezpieczeństwa lub skontaktuj się z właściwym organem sektorowym. Koszt niepotrzebnego przygotowania jest nieporównywalnie niższy niż kara za brak zgodności.
Kluczowe wymagania NIS2 do wdrożenia
Zarządzanie i governance: dyrektywa wymaga zatwierdzenia polityki bezpieczeństwa przez zarząd, przeprowadzania corocznej oceny ryzyka, wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo (niekoniecznie CISO — może to być zewnętrzny doradca) oraz zapewnienia regularnych szkoleń dla członków zarządu i kadry kierowniczej. Zarząd nie może delegować odpowiedzialności na dział IT i umyć rąk od tematu — NIS2 wprost nakłada odpowiedzialność na organ zarządzający.
Kontrole techniczne obejmują szereg konkretnych wymogów: uwierzytelnianie wieloskładnikowe dla wszystkich zdalnych dostępów i dostępów do systemów krytycznych, szyfrowanie danych w transmisji i w spoczynku dla danych wrażliwych, zarządzanie podatnościami i regularne aktualizacje systemów, segmentacja sieci oddzielająca systemy krytyczne od reszty infrastruktury oraz backupy testowane pod kątem możliwości przywrócenia w przypadku ataku ransomware.
Bezpieczeństwo łańcucha dostaw to jeden z kluczowych obszarów NIS2: organizacje są zobowiązane do oceny ryzyka cyberbezpieczeństwa swoich kluczowych dostawców ICT i włączenia wymagań bezpieczeństwa do umów z nimi. Oznacza to konieczność opracowania kwestionariuszy bezpieczeństwa dla dostawców i regularnego audytowania ich odpowiedzi.
Raportowanie incydentów wymaga: wczesnego ostrzeżenia (early warning) w ciągu 24 godzin od wykrycia znaczącego incydentu, pełnej notyfikacji w ciągu 72 godzin zawierającej ocenę incydentu i zastosowane środki zaradcze, oraz raportu końcowego w ciągu miesiąca z pełną analizą przyczyn, zasięgu i wniosków. "Znaczący incydent" to taki, który wpłynął lub mógł wpłynąć na ciągłość usług lub wyrządził znaczącą szkodę materialną lub niematerialną.
Krok po kroku: plan wdrożenia NIS2
Krok 1: Określ zakres podmiotowy. Zidentyfikuj, czy Twoja organizacja jest podmiotem kluczowym czy ważnym, i który organ sektorowy sprawuje nad Tobą nadzór. To determinuje dokładny zakres wymogów i harmonogram.
Krok 2: Przeprowadź analizę luk (gap analysis). Zestaw istniejące kontrole bezpieczeństwa z wymogami NIS2, korzystając np. z przewodnika wdrożeniowego ENISA. Zidentyfikuj obszary wymagające pracy: najczęściej MFA, segmentacja sieci, backupy, zarządzanie dostawcami i procedury raportowania incydentów.
Krok 3: Zbuduj ramy zarządcze. Opracuj i zatwierdź przez zarząd politykę bezpieczeństwa informacji, plan zarządzania ryzykiem i plan reagowania na incydenty. Wyznacz osobę odpowiedzialną za cyberbezpieczeństwo. Zorganizuj szkolenie dla zarządu dotyczące wymogów i odpowiedzialności wynikających z NIS2.
Krok 4: Wdróż kontrole techniczne. Priorytety: wdrożenie MFA dla wszystkich zdalnych dostępów, segmentacja sieci wydzielająca systemy krytyczne, hartowanie konfiguracji backupów (kopie offline, testowanie przywracania), szyfrowanie danych wrażliwych i zarządzanie podatnościami. Dla zaawansowanych organizacji: wdrożenie Zero Trust jako framework łączący wszystkie kontrole techniczne.
Krok 5: Zabezpiecz łańcuch dostaw. Opracuj kwestionariusz bezpieczeństwa dla kluczowych dostawców ICT. Włącz wymagania bezpieczeństwa do umów z dostawcami lub renegocjuj istniejące umowy. Zidentyfikuj dostawców z wysokim ryzykiem i przeprowadź audyty.
Krok 6: Zarejestruj się u właściwego organu. NIS2 wymaga samorejestracji podmiotów — zgłoszenia do CERT Polska lub właściwego organu sektorowego. Brak rejestracji jest sam w sobie naruszeniem przepisów.
Krok 7: Przeprowadź szkolenia. Szkolenia z cyberbezpieczeństwa dla wszystkich pracowników (świadomość phishingu, zasady korzystania z urządzeń), szkolenia techniczne dla działu IT i specjalistyczne szkolenia dla zarządu dotyczące odpowiedzialności wynikającej z NIS2.
Kary i odpowiedzialność zarządu
Kary finansowe za nieprzestrzeganie NIS2 są znaczące. Podmioty kluczowe mogą zostać ukarane grzywną do 10 milionów euro lub 2% globalnego rocznego obrotu (stosowana jest wyższa kwota). Podmioty ważne mogą zostać ukarane grzywną do 7 milionów euro lub 1,4% globalnego rocznego obrotu. Dla dużych korporacji kwoty te mogą oznaczać dziesiątki milionów złotych.
Kluczową nowością NIS2 jest osobista odpowiedzialność członków zarządu. Dyrektorzy zarządzający, członkowie rad nadzorczych i inni decydenci mogą ponosić osobistą odpowiedzialność za naruszenia wynikające z zaniedbania w zakresie nadzoru nad cyberbezpieczeństwem. Organy nadzorcze mogą nakładać tymczasowe zakazy pełnienia funkcji kierowniczych. To fundamentalna zmiana w porównaniu z NIS1, gdzie odpowiedzialność była ograniczona do poziomu organizacji.
Ważne jest rozróżnienie: kary nie są nakładane za sam fakt incydentu bezpieczeństwa, lecz za brak odpowiednich środków bezpieczeństwa, za opóźnienie lub brak raportowania incydentów oraz za nieprzestrzeganie nakazów i decyzji organów nadzorczych. Organizacja, która wdrożyła właściwe kontrole, a mimo to padła ofiarą ataku i prawidłowo raportowała incydent, jest w znacznie lepszej pozycji niż organizacja, która ignorowała wymogi bezpieczeństwa.
Jak ExColo może pomóc
ExColo wspiera polskie organizacje na każdym etapie wdrożenia NIS2: od analizy zakresu podmiotowego i gap analysis, przez wdrożenie kontroli technicznych, po przygotowanie dokumentacji i procedur wymaganych przez dyrektywę. Specjalizujemy się w obszarach, które najczęściej wymagają pracy: bezpieczeństwo tożsamości (MFA, zarządzanie dostępem uprzywilejowanym), segmentacja sieci i Zero Trust.
Oferujemy warsztaty NIS2 dla zarządu wyjaśniające zakres odpowiedzialności, assessment techniczny z mapowaniem na wymogi NIS2, wdrożenie priorytetowych kontroli technicznych oraz przygotowanie dokumentacji polityk i procedur. Skontaktuj się z nami, aby omówić plan wdrożenia NIS2 w Twojej organizacji: formularz kontaktowy ExColo.
