W jednym zdaniu. Dyrektywa NIS2 (UE) 2022/2555 została w Polsce wdrożona przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, rozszerzając zakres podmiotów objętych obowiązkami z ok. 300 (NIS1) do ponad 6000 organizacji w 18 sektorach.
Najważniejsze punkty
- Podstawa: dyrektywa (UE) 2022/2555 + ustawa o KSC (z 5 lipca 2018 r., znowelizowana).
- Termin transpozycji: 17 października 2024 r.
- Dwa typy podmiotów: kluczowe i ważne.
- 18 sektorów objętych.
- Sankcje: do 10 mln EUR / 2% obrotu (ważne) lub 7 mln EUR / 1,4% (kluczowe — wyższe sektorowe).
- Zgłaszanie incydentów: 24h (wczesne ostrzeżenie), 72h (notyfikacja), 30 dni (raport końcowy).
1. Geneza NIS2
Dyrektywa NIS (2016/1148) — pierwsza unijna regulacja cyberbezpieczeństwa, obowiązująca operatorów usług kluczowych (OUK) i dostawców usług cyfrowych. NIS2 — odpowiedź na rosnące zagrożenia: ataki ransomware, łańcuch dostaw, krytyczna infrastruktura. Cele: rozszerzenie zakresu, harmonizacja sankcji, wzmocnienie nadzoru, zarządzanie ryzykiem dostawców.
2. Polska implementacja
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) z 5 lipca 2018 r. — pierwotna implementacja NIS1. Nowelizacja z 2024 r. transponująca NIS2. Organ wiodący: Ministerstwo Cyfryzacji + CSIRT NASK + CSIRT GOV + CSIRT MON + sektorowe CSIRT. Rejestr podmiotów: prowadzony przez Ministra Cyfryzacji.
3. Podmioty kluczowe vs ważne
| Typ | Sektory | Wielkość |
|---|---|---|
| Kluczowe (essential) | sektory wysokiej krytyczności | duże + niektóre średnie |
| Ważne (important) | pozostałe sektory NIS2 | duże + średnie |
Sektory wysokiej krytyczności (Załącznik I): energia, transport, bankowość, infrastruktura rynków finansowych, służba zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, ICT B2B, administracja publiczna, kosmos.
Sektory pozostałe (Załącznik II): usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja żywności, produkcja (medyczne, komputerowe, elektroniczne, maszyny, pojazdy), dostawcy cyfrowi (marketplace’y, wyszukiwarki, social media), badania.
4. Próg wielkości
NIS2 dotyczy podmiotów średnich (50-249 pracowników, obrót 10-50 mln EUR) i dużych (250+ pracowników, obrót 50+ mln EUR). Z wyjątkami dla podmiotów krytycznych niezależnie od wielkości (np. operatorzy DNS, TLD registries, scentralizowane usługi tożsamości, podmioty wskazane ustawowo).
5. Obowiązki podmiotów
Art. 21 NIS2 wymaga “odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych”:
- Polityki analizy ryzyka i bezpieczeństwa systemów.
- Obsługa incydentów.
- Ciągłość działania i zarządzanie kryzysowe.
- Bezpieczeństwo łańcucha dostaw.
- Bezpieczeństwo nabycia, rozwoju i utrzymania systemów.
- Polityki i procedury oceny skuteczności.
- Podstawy cyberhigiene i szkolenia.
- Polityki dotyczące kryptografii i szyfrowania.
- Bezpieczeństwo zasobów ludzkich, kontrola dostępu, zarządzanie aktywami.
- MFA, secure voice/video/text, zabezpieczone komunikatory.
6. Zgłaszanie incydentów
Trzyetapowy proces:
- 24 godziny — wczesne ostrzeżenie (early warning) do CSIRT.
- 72 godziny — pełne zgłoszenie incydentu (ocena, IoC, środki).
- 1 miesiąc — raport końcowy (analiza, lekcje, rekomendacje).
Klasyfikacja “incydent istotny”: znaczne zakłócenie operacji lub straty finansowe.
7. Sankcje
| Kategoria | Maksimum |
|---|---|
| Podmiot kluczowy | 10 mln EUR lub 2% obrotu globalnego |
| Podmiot ważny | 7 mln EUR lub 1,4% obrotu globalnego |
Dodatkowo: zawieszenie zarządu, certyfikacji, działalności. Odpowiedzialność członków zarządu — osobista, w tym karna w skrajnych przypadkach.
8. Zarządzanie ryzykiem łańcucha dostaw
NIS2 wprowadza obowiązek zarządzania ryzykiem dostawców ICT (art. 21 ust. 2 lit. d). Wymagania:
- Inwentaryzacja dostawców krytycznych.
- Ocena ryzyka per dostawca.
- Klauzule umowne wymagające standardów bezpieczeństwa.
- Audyt prawa wobec dostawców.
- Plan ciągłości w razie utraty dostawcy.
Komisja UE może oceniać “ryzyko państwowe” pewnych dostawców (kontekst Huawei/ZTE).
9. Rejestracja podmiotów
Procedura w Polsce:
- Samodzielna identyfikacja statusu (kluczowy/ważny + sektor).
- Rejestracja u Ministra Cyfryzacji do 17 stycznia 2025 r. (lub 90 dni od osiągnięcia progu).
- Aktualizacja danych w razie zmian.
- Wyznaczenie osoby kontaktowej / pełnomocnika.
Brak rejestracji = osobne naruszenie + ryzyko sankcji.
10. CSIRT i organy nadzorcze w Polsce
- CSIRT NASK — sektor cywilny (większość podmiotów ICT, energetyka, transport).
- CSIRT GOV — administracja rządowa, podmioty publiczne.
- CSIRT MON — sektor wojskowy.
- Sektorowe CSIRT — np. CSIRT KNF (finanse), CSIRT MZ (zdrowie).
- Pełnomocnik Rządu ds. Cyberbezpieczeństwa — koordynacja.
- Minister Cyfryzacji — nadzór ogólny.
11. NIS2 vs DORA vs CER
| Akt | Zakres | Sektory |
|---|---|---|
| NIS2 | cyberbezpieczeństwo IT | 18 sektorów |
| DORA | operacyjna odporność cyfrowa | tylko finanse |
| CER | odporność fizyczna | infrastruktura krytyczna |
| RODO | ochrona danych | wszyscy |
Podmioty finansowe podlegają DORA (lex specialis) zamiast NIS2 w zakresie ICT. NIS2 + RODO są komplementarne — incydent może wymagać podwójnego zgłoszenia.
12. Plan wdrożenia NIS2
Krok 1 — gap assessment vs wymogi art. 21. Krok 2 — zarządzenie ryzykiem (metodyka, macierz). Krok 3 — polityki bezpieczeństwa (10 kategorii). Krok 4 — wdrożenie środków technicznych (MFA, szyfrowanie, EDR). Krok 5 — łańcuch dostaw (umowy, audyt). Krok 6 — procedura zgłaszania incydentów. Krok 7 — szkolenia (zarząd + personel). Krok 8 — audyt wewnętrzny + zewnętrzny. Krok 9 — rejestracja w MC. Krok 10 — monitoring i ciągłe doskonalenie. Utrzymanie tych kroków w jednym miejscu — rejestr aktywów, katalog środków z art. 21 i workflow zgłoszeń — ułatwia dedykowane oprogramowanie do zgodności z NIS2.
13. Ustawa o KSC 2024 — kluczowe zmiany
Ustawa o Krajowym Systemie Cyberbezpieczeństwa po nowelizacji z 2024 r. wprowadza: nowy katalog podmiotów (art. 5 ust. 1-3, ponad 6000 organizacji), trzystopniowy reżim zgłoszeń (24h/72h/30 dni), rejestr publiczny prowadzony przez Ministra Cyfryzacji, sankcje do 10 mln EUR (kluczowe) lub 7 mln EUR (ważne), wymóg wyznaczenia osoby kontaktowej (Cybersecurity Officer), obowiązek szkoleń zarządu z zakresu cyberbezpieczeństwa (art. 20 NIS2), wymóg planu ciągłości działania, wymogi sektorowe dla energetyki, finansów (DORA jako lex specialis), zdrowia, transportu. Polska wdrożyła art. 24 dyrektywy NIS2 dotyczący zarządzania ryzykiem łańcucha dostaw — Komisja UE może wskazywać “ryzyko państwowe” pewnych dostawców (kontekst Huawei, ZTE, Kaspersky). UKE wspiera Ministra Cyfryzacji w nadzorze nad sektorem telekomunikacji.
14. Egzekucja i interoperacyjność z RODO
CSIRT NASK od stycznia 2025 r. publikuje statystyki: 1 850 zgłoszeń incydentów istotnych w Q1-Q2 2025, średni czas wczesnego ostrzeżenia 18h, średni czas pełnego zgłoszenia 56h. 38% incydentów to ransomware, 22% phishing/BEC, 18% DDoS, 12% supply chain attack. Interoperacyjność z RODO: każdy incydent cyberbezpieczeństwa naruszający dane osobowe wymaga dwóch zgłoszeń — CSIRT (24h NIS2) i UODO (72h RODO). Memorandum z 2024 r. między Ministrem Cyfryzacji a UODO przewiduje wymianę informacji o incydentach. Pierwsze sankcje NIS2 oczekiwane w drugiej połowie 2026 r. po zakończeniu okresu przejściowego. Patrz Kary UODO 2025, Zgłoszenie naruszenia, RODO Art. 32 bezpieczeństwo.
FAQ
Czy mała firma podlega NIS2?
Co do zasady NIS2 dotyczy średnich i dużych podmiotów. Wyjątek: kluczowe podmioty (operatorzy DNS, TLD, scentralizowane usługi tożsamości) niezależnie od wielkości.
Jak sprawdzić, czy moja firma podlega NIS2?
Test: (1) sektor z Załącznika I lub II, (2) wielkość: średnia/duża wg ustawy o przedsiębiorcach, (3) świadczenie usług w UE. Konsultacja z prawnikiem lub Ministerstwem Cyfryzacji.
Czy NIS2 zastępuje RODO?
Nie. NIS2 dotyczy cyberbezpieczeństwa IT, RODO ochrony danych osobowych. Komplementarne. Incydent cyber + naruszenie danych = oba zgłoszenia (CSIRT 24h + UODO 72h).
Jakie są sankcje za niezgłoszenie incydentu NIS2?
Sankcje administracyjne do 10 mln EUR / 2% obrotu (kluczowe) lub 7 mln EUR / 1,4% (ważne). Plus potencjalne nakazy administracyjne, audyty, zawieszenie działalności.
Czy zarząd odpowiada osobiście?
Tak. Art. 20 NIS2 wymaga zatwierdzenia środków zarządzania ryzykiem przez zarząd. Niezatwierdzenie lub brak nadzoru — może skutkować odpowiedzialnością osobistą zgodnie z prawem krajowym (KSH, KK).
Jak NIS2 wpływa na MŚP w łańcuchu dostaw dużych firm?
Pośrednio — MŚP poniżej progu nie podlegają bezpośrednio NIS2, ale jako dostawcy podmiotów kluczowych/ważnych muszą spełniać wymogi narzucane umownie (art. 21 ust. 2 lit. d). Standardowe wymagania w 2025 r.: certyfikat ISO 27001 lub SOC 2 Type II, MFA, szyfrowanie danych, plan ciągłości, prawo do audytu, NDA, klauzule notyfikacji incydentów w 24h. Polskie MŚP zgłaszają presję ekonomiczną — koszt zgodności pośredniej szacowany na 50-200 tys. zł rocznie.
Czy CSIRT może wymusić określone działania w razie incydentu?
Tak, w pewnym zakresie. Ustawa o KSC przewiduje uprawnienia CSIRT do wydawania rekomendacji, żądania informacji, koordynacji obrony. W razie incydentu o znaczeniu krytycznym (np. ransomware dotykający infrastrukturę zdrowotną) CSIRT może żądać natychmiastowych działań mitigacyjnych. Brak współpracy stanowi naruszenie ustawy i czynnik obciążający przy wymiarze kary administracyjnej. CSIRT publikuje również listy wskaźników kompromitacji (IoC) — ich nieuwzględnienie może stanowić niedbalstwo.
Czy podmioty publiczne (urzędy gminy, szpitale publiczne) podlegają NIS2?
Tak. Sektor administracji publicznej jest jednym z 18 sektorów NIS2 (Załącznik I). Polska implementacja obejmuje urzędy administracji rządowej szczebla centralnego, urzędy wojewódzkie, większe jednostki samorządu terytorialnego (powyżej progu), publiczne szpitale (sektor zdrowia). Sankcje finansowe nie mają zastosowania zgodnie z ogólną zasadą polskiego prawa, ale zarząd może ponosić odpowiedzialność dyscyplinarną i karną.
Podstawa prawna i źródła
- Dyrektywa (UE) 2022/2555 (NIS2) — pełny tekst, EUR-Lex
- ENISA — Agencja UE ds. Cyberbezpieczeństwa
- CERT Polska (CSIRT NASK)
Powiązane: Kary administracyjne RODO — przewodnik, Ocena skutków dla ochrony danych (DPIA), NIS2 vs RODO — różnice, Ustawa o krajowym systemie cyberbezpieczeństwa.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial