Dyrektywa NIS2 oraz jej implementacja w Polsce poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wprowadzają istotne zmiany dla przedsiębiorców. Nowe przepisy obejmują szeroki katalog firm i nakładają konkretne obowiązki związane z zarządzaniem bezpieczeństwem IT, raportowaniem incydentów oraz organizacją procesów wewnętrznych.
Czym jest NIS2 i co zmienia w Polsce
NIS2 to unijna dyrektywa dotycząca cyberbezpieczeństwa, której celem jest zwiększenie odporności państw członkowskich i przedsiębiorstw na cyberzagrożenia.
W Polsce została wdrożona poprzez nowelizację ustawy o KSC. W efekcie:
- rozszerzono katalog podmiotów objętych regulacją
- wprowadzono obowiązki zarządzania ryzykiem IT
- nałożono obowiązek raportowania incydentów
- zwiększono odpowiedzialność zarządów
Krajowy system cyberbezpieczeństwa obejmuje m.in.:
- podmioty kluczowe i ważne
- zespoły reagowania na incydenty (CSIRT)
- organy nadzorcze odpowiedzialne za poszczególne sektory
Celem systemu jest zapewnienie ciągłości działania usług oraz skuteczne reagowanie na incydenty.
Od kiedy firmy będą miały nowe obowiązki?
Nowe przepisy obowiązują od 3 kwietnia 2026 roku, ale wdrożenie odbywa się etapami:
Do 6 miesięcy:
- ustalenie statusu (podmiot kluczowy / ważny)
- zgłoszenie do wykazu
Do 12 miesięcy:
- wdrożenie systemu zarządzania bezpieczeństwem informacji
- opracowanie procedur i dokumentacji
- rozpoczęcie raportowania incydentów
Do 24 miesięcy (podmioty kluczowe):
- przeprowadzenie pierwszego audytu
Których sektorów dotyczą obowiązki
Regulacje obejmują sektory o znaczeniu krytycznym dla gospodarki.
Sektory kluczowe:
- energia
- transport
- finanse
- ochrona zdrowia
- infrastruktura cyfrowa
- woda i ścieki
Sektory ważne:
- produkcja
- gospodarka odpadami
- żywność
- usługi cyfrowe
- badania naukowe
Jeżeli firma działa w jednym z tych obszarów, powinna przeanalizować, czy podlega przepisom.
Których firm dotyczy ustawa o KSC
Przedsiębiorstwa dzielą się na:
Podmioty kluczowe:
- głównie duże firmy z sektorów krytycznych
- niektóre podmioty niezależnie od wielkości (np. dostawcy DNS, operatorzy infrastruktury)
Podmioty ważne:
- najczęściej średnie i część małych firm
- firmy z sektorów ważnych
Istotne jest prawidłowe określenie statusu – błędna klasyfikacja może skutkować sankcjami.
Warunki terytorialne – kiedy przepisy mają zastosowanie
Ustawa o KSC obowiązuje, jeśli:
- firma działa na terenie Polski
- świadczy usługi w Polsce
- posiada tu główne miejsce działalności (w przypadku usług cyfrowych)
Dotyczy to także firm spoza UE oferujących usługi w Polsce.
Nadzór i kary
Przewidziano dwa poziomy nadzoru:
- podmioty kluczowe – nadzór ciągły
- podmioty ważne – nadzór reaktywny
Kary:
- do 10 mln euro lub 2% obrotu (podmioty kluczowe)
- do 7 mln euro lub 1,4% obrotu (podmioty ważne)
Dodatkowo odpowiedzialność mogą ponosić członkowie zarządu.
Kiedy MŚP mają obowiązki
Mikro, małe i średnie firmy podlegają przepisom, gdy:
- działają w objętych sektorach
- zostaną wskazane decyzją organu
- są częścią łańcucha dostaw podmiotu objętego ustawą
W praktyce oznacza to, że nawet mniejsze firmy mogą zostać objęte wymaganiami pośrednio.
Czym jest wykaz podmiotów kluczowych i ważnych
To rejestr prowadzony przez organy nadzorcze, który:
- identyfikuje podmioty objęte ustawą
- umożliwia komunikację w zakresie incydentów
- służy nadzorowi
Termin zgłoszenia: 6 miesięcy od spełnienia kryteriów.
Jakie są obowiązki firm
Firmy objęte ustawą muszą:
- wdrożyć system zarządzania bezpieczeństwem informacji (SZBI)
- zarządzać ryzykiem cyberbezpieczeństwa
- prowadzić dokumentację
- monitorować dostawców
- zgłaszać incydenty
Kluczowe elementy:
- polityki bezpieczeństwa
- kontrola dostępu
- plany ciągłości działania
- szkolenia pracowników
Jak zgłaszać incydenty cyberbezpieczeństwa
W przypadku poważnego incydentu obowiązują konkretne terminy:
- do 24h – wczesne ostrzeżenie
- do 72h – pełne zgłoszenie
- do 1 miesiąca – raport końcowy
Zgłoszenia trafiają do odpowiednich zespołów CSIRT.
Dostawca wysokiego ryzyka – co to oznacza
Jeżeli dostawca technologii zostanie uznany za wysokiego ryzyka:
- nie można wdrażać jego rozwiązań
- konieczne może być ich wycofanie (do 7 lat)
Dotyczy to szczególnie systemów IT i infrastruktury krytycznej.
Podsumowanie
NIS2 i ustawa o KSC znacząco zwiększają wymagania wobec firm w zakresie cyberbezpieczeństwa. Kluczowe znaczenie ma:
- szybka identyfikacja statusu firmy
- terminowe zgłoszenie do wykazu
- wdrożenie procedur i systemów bezpieczeństwa
Dla wielu przedsiębiorstw oznacza to konieczność reorganizacji procesów IT, a także ścisłą współpracę z działami księgowymi, prawnymi i zarządem.
Jeśli nie masz pewności, czy Twoja firma podlega nowym regulacjom – warto przeprowadzić audyt wstępny i przygotować plan wdrożenia.
