Czym jest dyrektywa NIS2?

NIS2 (Network and Information Security 2) to dyrektywa UE wzmacniająca cyberbezpieczeństwo w sektorach kluczowych i ważnych. Zastąpiła NIS1. Nakłada obowiązki zarządzania ryzykiem, zgłaszania incydentów i odpowiedzialność zarządu. Polska implementuje ją przez nowelizację ustawy o KSC.

Kto podlega dyrektywie NIS2?

NIS2 dotyczy firm z co najmniej 50 pracownikami lub 10 mln euro obrotu, działających w 18 sektorach kluczowych i ważnych (energetyka, transport, ochrona zdrowia, finanse, infrastruktura cyfrowa, produkcja, dostawcy usług IT i inne). Małe firmy są wyłączone — z wyjątkiem dostawców usług krytycznych.

Co grozi za brak dostosowania do NIS2?

Podmioty kluczowe: kary do 10 mln euro lub 2% globalnego obrotu. Podmioty ważne: do 7 mln euro lub 1,4% obrotu. Dodatkowo możliwa odpowiedzialność osobista zarządu i zakaz pełnienia funkcji kierowniczych. Organy nadzoru mogą też nakazać wdrożenie środków naprawczych.

Co konkretnie muszę wdrożyć w ramach NIS2?

Minimum to: polityki bezpieczeństwa informacji, zarządzanie ryzykiem, procedury reagowania na incydenty, bezpieczeństwo łańcucha dostaw, zarządzanie tożsamością i dostępem, szyfrowanie danych, zgłaszanie incydentów w ciągu 24h (wstępne) i 72h (pełne). Szczegółowy zakres zależy od sektora i klasyfikacji podmiotu.

NIS2 — kto podlega dyrektywie w Polsce?

NIS2 to dyrektywa Unii Europejskiej o cyberbezpieczeństwie, która zrewolucjonizowała podejście do ochrony IT w firmach. Polska wdrożyła ją do prawa krajowego przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC 2.0). Ustawa weszła w życie 3 kwietnia 2026 roku — od tego dnia przepisy obowiązują i biegną ustawowe terminy dla firm.

Wielu przedsiębiorców sądzi, że NIS2 dotyczy tylko dużych korporacji i instytucji publicznych. To błąd, który może kosztować dziesiątki tysięcy złotych kary.

Czym jest NIS2?

NIS2 (Network and Information Security Directive 2) to zaktualizowana wersja dyrektywy NIS z 2016 roku. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej — szczególnie w sektorach, których awaria mogłaby zakłócić funkcjonowanie społeczeństwa lub gospodarki.

NIS2 nakłada na objęte nią podmioty konkretne obowiązki:

Wdrożenie polityki zarządzania ryzykiem cyberbezpieczeństwa
Procedury reagowania na incydenty i ich zgłaszania
Zapewnienie ciągłości działania (BCM/DRP)
Bezpieczeństwo łańcucha dostaw
Zarządzanie dostępami i uwierzytelnianie wieloskładnikowe (MFA)
Regularne szkolenia pracowników z cyberbezpieczeństwa
Szyfrowanie danych

Kto podlega NIS2?

Tu jest klucz. NIS2 obejmuje dwie kategorie podmiotów w określonych sektorach:

Podmioty kluczowe (Essential Entities)

Duże firmy (ponad 250 pracowników lub przychód ponad 50 mln EUR) w sektorach:

EnergetykaPrąd, gaz, ropa, ciepłownictwo

TransportLotniczy, kolejowy, morski, drogowy

BankowośćInstytucje kredytowe, rynki finansowe

Ochrona zdrowiaSzpitale, kliniki, laboratoria

WodaZaopatrzenie i oczyszczanie

Infrastruktura cyfrowaDNS, chmury, centra danych, sieci

Podmioty ważne (Important Entities)

Średnie firmy (50–250 pracowników lub przychód 10–50 mln EUR) w tych samych sektorach PLUS dodatkowe branże:

Usługi pocztowei kurierskie

Gospodarka odpadamii środowisko

ProdukcjaWyroby medyczne, maszyny, pojazdy, elektronika

Chemia i żywnośćProdukcja i dystrybucja

Dostawcy cyfrowiPlatformy, wyszukiwarki, marketplace

Badania naukoweInstytuty badawcze

Ważne dla małych firm: Nawet jeśli Twoja firma nie podlega NIS2 bezpośrednio, możesz podlegać jej wymogom pośrednio — jako dostawca lub podwykonawca podmiotu objętego dyrektywą. NIS2 nakłada na podmioty kluczowe i ważne obowiązek weryfikowania bezpieczeństwa w całym łańcuchu dostaw.

Ochrona zdrowia — szczególny przypadek

Dla firm i gabinetów z sektora medycznego NIS2 to szczególnie istotny temat. Szpitale, kliniki, laboratoria diagnostyczne i producenci wyrobów medycznych należą do podmiotów kluczowych — bez względu na wielkość, jeśli są uznani za krytycznych dla systemu ochrony zdrowia.

Dodatkowo prywatne gabinety, które przetwarzają dane zdrowotne w systemach cyfrowych, mogą podlegać zarówno NIS2 jak i RODO w zakresie danych wrażliwych — z kumulującymi się karami za naruszenia.

Co grozi za brak dostosowania?

Sankcje są znaczące i różnią się w zależności od kategorii podmiotu:

Podmioty kluczowe: kary do 10 mln EUR lub 2% całkowitego rocznego obrotu (wyższa kwota)
Podmioty ważne: kary do 7 mln EUR lub 1,4% rocznego obrotu
Możliwość zawieszenia świadczenia usług przez organ nadzorczy
Osobista odpowiedzialność zarządu — to novum. Kierownictwo może ponosić odpowiedzialność osobistą za naruszenia NIS2

Zarząd odpowiada osobiście. NIS2 po raz pierwszy w historii prawa UE wprowadza możliwość pociągnięcia do odpowiedzialności konkretnych osób zarządzających — nie tylko firmy jako całości. To zmienia wszystko w podejściu do cyberbezpieczeństwa na poziomie C-suite.

Co zrobić jeśli podlegasz NIS2?

Zweryfikuj czy podlegasz — sprawdź sektor i wielkość firmy. W razie wątpliwości skonsultuj się z prawnikiem IT.
Przeprowadź ocenę ryzyka — inwentaryzacja systemów, identyfikacja zagrożeń, ocena skutków potencjalnych incydentów.
Opracuj politykę bezpieczeństwa — dokumenty, procedury, odpowiedzialności.
Wdróż środki techniczne — MFA, szyfrowanie, monitoring, backup i DRP.
Przeszkol pracowników — NIS2 wymaga regularnych szkoleń z cyberbezpieczeństwa dla całego personelu.
Zarejestruj się — podmioty objęte NIS2 muszą zarejestrować się w CSIRT (Computer Security Incident Response Team) właściwym dla sektora.
Przygotuj procedury zgłaszania incydentów — NIS2 wymaga zgłoszenia poważnego incydentu w ciągu 24 godzin (wstępne) i 72 godzin (pełne).

Harmonogram — konkretne terminy dla firm

Ustawa o KSC 2.0 implementująca NIS2 została opublikowana w Dzienniku Ustaw 2 marca 2026 r. i weszła w życie 3 kwietnia 2026. Od tego dnia biegną następujące terminy:

3 października 2026 — ostateczny termin złożenia wniosku o wpis do rejestru podmiotów kluczowych i ważnych (prowadzonego przez właściwy CSIRT)
3 kwietnia 2027 — termin pełnego dostosowania systemów, procedur i struktur organizacyjnych do wymogów ustawy
3 kwietnia 2028 — termin przeprowadzenia pierwszego audytu cyberbezpieczeństwa (dotyczy podmiotów kluczowych)

Działaj teraz, nie czekaj na 2027. Wdrożenie polityki bezpieczeństwa, ocena ryzyka i szkolenia pracowników to procesy trwające miesiącami. Firmy, które zaczną w październiku 2026, mogą nie zdążyć do ustawowego terminu.

NIS2 to nie jest kolejna biurokratyczna dyrektywa. To odpowiedź Europy na rzeczywisty wzrost cyberataków na infrastrukturę krytyczną. Firmy, które traktują ją jako okazję do poprawy bezpieczeństwa — zyskają. Te, które traktują ją jak problem do zignorowania — zapłacą.

Nie wiesz czy Twoja firma podlega NIS2 lub od czego zacząć? Umów konsultację — przeanalizuję Twoją sytuację i powiem jakie kroki są potrzebne, żeby być po właściwej stronie prawa.

NIS2 — kto podlega dyrektywie i dlaczego to ważne w 2026 roku

Czym jest NIS2?

Kto podlega NIS2?

Podmioty kluczowe (Essential Entities)

Podmioty ważne (Important Entities)

Ochrona zdrowia — szczególny przypadek

Co grozi za brak dostosowania?

Co zrobić jeśli podlegasz NIS2?

Harmonogram — konkretne terminy dla firm

Najczęstsze pytania

Masz pytanie? Napisz bezpośrednio.

Czym jest NIS2?

Kto podlega NIS2?

Podmioty kluczowe (Essential Entities)

Podmioty ważne (Important Entities)

Ochrona zdrowia — szczególny przypadek

Co grozi za brak dostosowania?

Co zrobić jeśli podlegasz NIS2?

Harmonogram — konkretne terminy dla firm

Najczęstsze pytania

Przeczytaj też

Masz pytanie? Napisz bezpośrednio.