NIS2 w Polsce: kogo dotyczy i jakie nakłada obowiązki

NIS2 w Polsce: kogo dotyczy, jakie nakłada obowiązki i jak przygotować firmę

NIS2 to jedna z najważniejszych regulacji dotyczących cyberbezpieczeństwa w Europie. Dla przedsiębiorców oznacza ona nie tylko nowe obowiązki techniczne, ale przede wszystkim konieczność uporządkowania odpowiedzialności, procesów, dokumentacji i nadzoru zarządczego. W Polsce przepisy wdrażające NIS2 obowiązują od 3 kwietnia 2026 r., więc dla wielu organizacji temat przestał być kwestią przygotowań na przyszłość i stał się zagadnieniem bieżącej zgodności.

Z perspektywy biznesu NIS2 warto traktować szerzej niż jako kolejną regulację. To ramy zarządzania odpornością cyfrową organizacji. Dla części firm będzie to obowiązek ustawowy. Dla innych NIS2 stanie się wymaganiem pośrednim, narzuconym przez klientów, grupę kapitałową, partnerów biznesowych, ubezpieczycieli lub podmioty z łańcucha dostaw. W praktyce oznacza to, że nawet przedsiębiorstwo formalnie nieobjęte ustawą może zostać poproszone o spełnienie konkretnych wymogów bezpieczeństwa, udokumentowanie procedur lub udział w audycie dostawcy.

Czym jest NIS2

NIS2 to dyrektywa Unii Europejskiej 2022/2555, która zastąpiła wcześniejszą dyrektywę NIS1 i podniosła poziom wymagań w zakresie cyberbezpieczeństwa. Jej celem jest ujednolicenie podejścia do ochrony sieci i systemów informacyjnych w całej Unii, rozszerzenie katalogu sektorów objętych regulacją oraz wzmocnienie zasad zarządzania ryzykiem, raportowania incydentów, nadzoru i egzekwowania obowiązków.

To ważna zmiana dla przedsiębiorców, ponieważ NIS2 nie koncentruje się wyłącznie na incydentach. Reguluje również sposób organizacji cyberbezpieczeństwa w firmie. Obejmuje takie obszary jak analiza ryzyka, ciągłość działania, bezpieczeństwo dostawców, obsługa podatności, kryptografia, kontrola dostępu czy szkolenia personelu. Oznacza to odejście od myślenia wyłącznie o narzędziach IT na rzecz podejścia procesowego i zarządczego.

Kogo dotyczy NIS2

Co do zasady NIS2 obejmuje średnie i duże podmioty działające w sektorach uznanych za krytyczne lub istotne dla funkcjonowania państwa i gospodarki. Unijne przepisy wprowadzają dwa podstawowe typy adresatów: podmioty kluczowe oraz podmioty ważne. Jednocześnie państwa członkowskie mogą objąć regulacją także niektóre mniejsze organizacje, jeśli mają one szczególnie istotny profil ryzyka lub pełnią ważną funkcję dla bezpieczeństwa usług.

Podmioty kluczowe

Do obszarów o wysokiej krytyczności zaliczają się między innymi:

energetyka,
transport,
bankowość,
infrastruktura rynków finansowych,
ochrona zdrowia,
woda pitna,
ścieki,
infrastruktura cyfrowa,
zarządzanie usługami ICT,
administracja publiczna,
sektor kosmiczny.

Podmioty ważne

Do pozostałych sektorów krytycznych należą między innymi:

usługi pocztowe i kurierskie,
gospodarka odpadami,
przemysł chemiczny,
produkcja żywności,
wybrane obszary produkcji przemysłowej,
usługi cyfrowe,
organizacje badawcze.

Warto podkreślić, że sama nazwa branży nie przesądza jeszcze o obowiązku. Znaczenie mają także skala działalności, rodzaj świadczonych usług, rola organizacji w ekosystemie oraz szczegółowe kryteria ustawowe. W grupach międzynarodowych potrzebna jest dodatkowo analiza jurysdykcyjna, ponieważ co do zasady podmiot podlega regulacji w państwie, w którym jest ustanowiony, a działalność w kilku krajach może wymagać równoległego uwzględnienia lokalnych przepisów i współpracy właściwych organów.

Co to oznacza dla firm spoza bezpośredniego zakresu ustawy

W praktyce wiele firm zetknie się z NIS2, nawet jeśli formalnie nie zostaną uznane za podmiot kluczowy albo ważny. Powód jest prosty: dyrektywa kładzie duży nacisk na bezpieczeństwo łańcucha dostaw. Podmioty objęte regulacją mają zarządzać ryzykiem związanym z relacjami z bezpośrednimi dostawcami i usługodawcami. To oznacza rosnącą liczbę ankiet bezpieczeństwa, wymagań kontraktowych, klauzul audytowych i pytań o procedury, kopie zapasowe, kontrolę dostępu czy sposób reagowania na incydenty.

Dla przedsiębiorcy to bardzo istotny sygnał. Nawet jeśli dziś firma nie widzi u siebie formalnego obowiązku zgodności z NIS2, może zostać poproszona o wykazanie poziomu dojrzałości cyberbezpieczeństwa przez kluczowego klienta, inwestora albo partnera z grupy kapitałowej. Z punktu widzenia sprzedaży i utrzymania kontraktów gotowość organizacyjna staje się więc elementem przewagi konkurencyjnej.

W praktyce dobrym pierwszym krokiem bywa audyt zgodności z NIS2, który pozwala ocenić, czy organizacja rzeczywiście podlega nowym obowiązkom oraz jakie luki należy uzupełnić w pierwszej kolejności.

NIS2 w Polsce: aktualny stan prawny i najważniejsze terminy

W Polsce wdrożenie NIS2 nastąpiło przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ustawa została ogłoszona 2 marca 2026 r. i weszła w życie 3 kwietnia 2026 r. Od tej daty zaczęły biec terminy dostosowawcze dla podmiotów objętych nowymi przepisami.

Najważniejsze daty dla przedsiębiorców są następujące:

13 kwietnia 2026 r. uruchomiono wykaz podmiotów kluczowych i ważnych,
od 7 maja do 3 października 2026 r. trwa samorejestracja dla podmiotów, które nie zostały wpisane z urzędu,
od 12 czerwca 2026 r. nowe podmioty mogą rozpocząć korzystanie z systemu S46 służącego między innymi do raportowania incydentów,
do 3 kwietnia 2027 r. obowiązki wynikające z nowych przepisów muszą wdrożyć te podmioty kluczowe i ważne, które spełniały ustawowe przesłanki już w dniu wejścia w życie nowelizacji,
do 3 kwietnia 2028 r. pierwszy obowiązkowy audyt cyberbezpieczeństwa muszą przeprowadzić te podmioty kluczowe, które spełniały ustawowe przesłanki już w dniu wejścia w życie nowelizacji i nie podlegały wcześniej obowiązkowi audytowemu jako operatorzy usług kluczowych.

W polskim harmonogramie przewidziano również dwuletni okres, po którym po raz pierwszy mogą być nakładane kary pieniężne. To jednak nie powinno być traktowane jako zachęta do odkładania działań. Po pierwsze, odpowiedzialność organizacyjna i nadzorcza zaczyna działać wcześniej. Po drugie, brak przygotowania może oznaczać problemy operacyjne, kontraktowe i reputacyjne jeszcze przed formalnym wymierzeniem sankcji.

Jakie obowiązki nakłada NIS2

Największym błędem w interpretacji NIS2 jest sprowadzanie jej wyłącznie do wymogu wdrożenia narzędzi bezpieczeństwa. Dyrektywa i polskie przepisy idą znacznie dalej. Oczekują, że organizacja zbuduje spójny system zarządzania cyberbezpieczeństwem, a nie jedynie dokupi rozwiązania techniczne.

1. Odpowiedzialność zarządu i kierownictwa

NIS2 wyraźnie przesuwa odpowiedzialność na poziom zarządczy. Organy zarządzające mają zatwierdzać środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorować ich wdrożenie i mogą ponosić odpowiedzialność za naruszenia. Przepisy przewidują również obowiązek szkoleń dla członków organów zarządzających. W praktyce oznacza to, że cyberbezpieczeństwo staje się obszarem nadzoru zarządu, a nie wyłącznie działu IT czy bezpieczeństwa.

2. Środki zarządzania ryzykiem

Minimalny katalog środków wymaganych przez NIS2 obejmuje co najmniej:

politykę analizy ryzyka i bezpieczeństwa systemów,
obsługę incydentów,
ciągłość działania, kopie zapasowe i odtwarzanie po awarii,
zarządzanie kryzysowe,
bezpieczeństwo łańcucha dostaw,
bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu systemów,
ocenę skuteczności środków bezpieczeństwa,
cyberhigienę i szkolenia,
zasady stosowania kryptografii i szyfrowania,
bezpieczeństwo zasobów ludzkich, kontrolę dostępu i zarządzanie aktywami,
w stosownych przypadkach także uwierzytelnianie wieloskładnikowe lub ciągłe oraz zabezpieczoną komunikację.

To katalog, który dobrze pokazuje skalę zmian. NIS2 nie dotyczy wyłącznie ochrony infrastruktury. Obejmuje też dokumentację, role i odpowiedzialności, proces zakupowy, relacje z dostawcami, klasyfikację aktywów, weryfikację skuteczności zabezpieczeń i regularne podnoszenie kompetencji pracowników.

3. Raportowanie incydentów

NIS2 zaostrza również wymagania raportowe. Zasadniczo podmiot powinien przekazać wczesne ostrzeżenie w ciągu 24 godzin od uzyskania wiedzy o poważnym incydencie, zgłoszenie incydentu w ciągu 72 godzin, a raport końcowy nie później niż miesiąc po zgłoszeniu. W Polsce raportowanie ma być realizowane z wykorzystaniem systemu S46.

Dla przedsiębiorców oznacza to konieczność praktycznego przygotowania organizacji do identyfikowania incydentów, ich klasyfikacji, eskalacji i raportowania. Sam zapis w procedurze nie wystarczy. Potrzebne są role, ścieżki decyzyjne, dane kontaktowe, szablony zgłoszeń i przećwiczone scenariusze działania.

Dlaczego NIS2 jest ważna także dla zarządu, finansów i operacji

NIS2 bywa postrzegana jako temat techniczny, ale jej konsekwencje są w istocie biznesowe. Incydent cyberbezpieczeństwa może oznaczać zatrzymanie produkcji, przerwę w świadczeniu usług, utratę danych, koszty odtworzenia środowiska, spory z kontrahentami i szkody reputacyjne. Z perspektywy zarządu oznacza to obszar ryzyka porównywalny z ryzykiem podatkowym, regulacyjnym czy operacyjnym.

Dlatego dobrze przygotowana organizacja powinna włączyć NIS2 do szerszego systemu ładu korporacyjnego. W praktyce oznacza to cykliczne raportowanie do kierownictwa, przegląd ryzyk, zatwierdzanie polityk, powiązanie działań bezpieczeństwa z planem ciągłości działania oraz weryfikację, czy krytyczne usługi mają właściwe zabezpieczenia i scenariusze awaryjne. Taki model jest spójny zarówno z podejściem NIS2, jak i z oczekiwaniami organów nadzorczych.

Jak przygotować firmę do zgodności z NIS2

W większości organizacji najlepszym podejściem nie jest rozpoczynanie od zakupu technologii, lecz od uporządkowanej oceny stanu obecnego. Dzięki temu można ustalić, czy firma rzeczywiście podlega przepisom, jakie ma luki, które obszary są krytyczne i jakie działania dają najszybszy efekt.

Dobrym punktem wyjścia jest audyt zgodności z NIS2, który pozwala ocenić gotowość organizacji do spełnienia wymagań dyrektywy NIS2 i polskiej ustawy o KSC, a następnie ustalić realistyczny plan działań naprawczych.

Praktyczna ścieżka przygotowania organizacji

1. Ustalenie, czy organizacja podlega regulacji

Na początku trzeba odpowiedzieć na trzy podstawowe pytania:

w jakim sektorze działa firma,
czy spełnia kryteria wielkości lub inne przesłanki ustawowe,
jakie usługi, systemy i procesy mają znaczenie krytyczne.

To etap, na którym wiele organizacji popełnia pierwszy błąd: zbyt szybko uznaje, że regulacja jej nie dotyczy, albo odwrotnie, rozpoczyna szeroki program wdrożeniowy bez potwierdzenia zakresu obowiązków.

2. Przegląd dokumentacji i procesów

Kolejny krok to ocena stanu istniejącego:

polityk,
procedur,
rejestrów,
zasad dostępu,
planów ciągłości działania,
umów z dostawcami,
procesu zarządzania incydentami,
kopii zapasowych,
monitoringu,
inwentaryzacji aktywów i praktyk szkoleniowych.

3. Analiza luk

Na tym etapie stan obecny porównuje się z wymaganiami NIS2 i ustawy o KSC. Celem jest nie tylko wskazanie braków, ale także ocena ich istotności biznesowej i regulacyjnej. Nie każda luka ma ten sam ciężar. Część wymaga szybkiej interwencji, inne można zaplanować w dłuższym horyzoncie.

4. Plan działań naprawczych

Ostatni etap to uporządkowany harmonogram wdrożenia. Powinien obejmować zarówno działania formalne, jak i techniczne: właścicieli zadań, terminy, zależności, priorytety oraz sposób raportowania postępu do kierownictwa.

Na czym polega audyt zgodności z NIS2

Audyt zgodności z NIS2 powinien mieć charakter praktyczny. Jego celem nie jest wyłącznie sporządzenie listy braków, ale realna ocena gotowości organizacji do działania w nowym reżimie regulacyjnym.

W dobrze zaprojektowanym audycie zwykle pojawiają się cztery etapy:

Planowanie audytu

ustalenie zakresu i kryteriów oceny,
identyfikacja obszarów objętych audytem,
przygotowanie planu prac.

Przeprowadzenie audytu

przegląd dokumentacji i procedur,
wywiady z kluczowymi osobami,
analiza praktyk operacyjnych,
próbna weryfikacja wybranych konfiguracji i mechanizmów bezpieczeństwa,
zebranie dowodów audytowych.

Analiza zgodności

porównanie stanu obecnego z wymaganiami NIS2 i KSC,
identyfikacja luk,
ocena istotności niezgodności.

Raportowanie

raport z ustaleniami,
rekomendacje działań naprawczych,
ramowy harmonogram wdrożenia,
prezentacja wyników kierownictwu.

Taki model jest szczególnie wartościowy dla przedsiębiorców, którzy chcą szybko przejść od ogólnej wiedzy o NIS2 do konkretnych decyzji organizacyjnych i budżetowych.

Najczęstsze błędy firm w podejściu do NIS2

W praktyce najczęściej pojawiają się następujące problemy:

Traktowanie NIS2 jako projektu wyłącznie informatycznego
Jeżeli za wdrożenie odpowiada tylko dział IT, a zarząd nie pełni realnej roli nadzorczej, organizacja zwykle nie spełnia istoty regulacji.

Brak mapy usług krytycznych i aktywów
Bez zrozumienia, które usługi, procesy i systemy są naprawdę kluczowe, trudno dobrze zaprojektować analizę ryzyka, plan ciągłości działania czy procedury reagowania.

Niedoszacowanie łańcucha dostaw
Dostawcy usług informatycznych, hostingu, wsparcia, rozwoju oprogramowania, integracji czy obsługi infrastruktury stają się istotnym elementem oceny ryzyka. Pominięcie tego obszaru szybko wychodzi na jaw w audycie lub podczas oceny kontraktowej.

Procedury, które istnieją tylko na papierze
Samo posiadanie dokumentu nie oznacza zgodności. Procedury muszą działać w praktyce, być zrozumiałe, aktualne i znane osobom odpowiedzialnym.

Brak przygotowania do raportowania incydentów
Wymogi czasowe są krótkie. Jeśli organizacja nie wie, kto kwalifikuje incydent, kto akceptuje zgłoszenie i kto komunikuje się z właściwym organem lub CSIRT, to nawet dobra technologia nie zapewni zgodności.

Sankcje i ryzyka biznesowe
NIS2 wzmacnia system nadzoru i egzekwowania obowiązków. Na poziomie unijnym maksymalne administracyjne kary pieniężne za naruszenie wymogów dotyczących środków bezpieczeństwa i raportowania zostały określone co najmniej na poziomie 10 mln euro lub 2 proc. światowego rocznego obrotu dla podmiotów kluczowych oraz co najmniej 7 mln euro lub 1,4 proc. światowego rocznego obrotu dla podmiotów ważnych, zależnie od tego, która wartość jest wyższa. Podmioty kluczowe podlegają też bardziej intensywnemu nadzorowi, a podmioty ważne funkcjonują co do zasady w lżejszym reżimie nadzorczym.

W Polsce harmonogram przewiduje dwuletnie odroczenie pierwszego nakładania kar pieniężnych, ale z punktu widzenia przedsiębiorcy realnym ryzykiem są także skutki wcześniejsze: utrata zaufania klientów, problemy w relacjach z kontrahentami, ograniczenie udziału w przetargach, zwiększenie kosztów ubezpieczenia cybernetycznego i trudności w wykazaniu należytej staranności zarządczej.

NIS2 a firmy międzynarodowe działające w Polsce

Dla spółek zależnych, oddziałów i grup kapitałowych prowadzących działalność w Polsce NIS2 ma szczególne znaczenie. W takich organizacjach często funkcjonują centralne polityki bezpieczeństwa i wspólne standardy grupowe, ale to nie zawsze wystarcza do spełnienia lokalnych obowiązków. Potrzebna jest analiza, czy polska jednostka sama podlega przepisom, jakie ma obowiązki rejestracyjne i raportowe oraz w jaki sposób należy połączyć wymogi grupowe z polskim porządkiem prawnym.

To ważne zwłaszcza wtedy, gdy usługi są świadczone transgranicznie, a infrastruktura, dostawcy i procesy bezpieczeństwa są rozproszone pomiędzy różnymi jurysdykcjami. W takich przypadkach kluczowe jest jasne przypisanie odpowiedzialności, kanałów raportowania i właścicieli poszczególnych ryzyk.

Podsumowanie

NIS2 to regulacja, która zmienia sposób myślenia o cyberbezpieczeństwie w firmie. Nie chodzi wyłącznie o ochronę systemów, lecz o zdolność organizacji do zarządzania ryzykiem, reagowania na incydenty, utrzymania ciągłości działania i wykazania, że zarząd sprawuje nad tym obszarem rzeczywisty nadzór.

Dla przedsiębiorców najważniejsze są dziś trzy pytania: czy organizacja podlega przepisom, jaki jest jej realny poziom gotowości i które działania należy wdrożyć w pierwszej kolejności. Właśnie dlatego rozsądnym pierwszym krokiem jest uporządkowana ocena stanu obecnego i plan wdrożenia oparty na priorytetach biznesowych.

Jeżeli firma chce przejść ten proces w sposób praktyczny, dobrym rozwiązaniem jest audyt zgodności z NIS2, który pozwala przełożyć przepisy na konkretne działania organizacyjne i techniczne.

Jeśli mają Państwo dodatkowe pytania prosimy skontaktować się z osobą odpowiedzialną za kontakt biznesowy z Państwem lub wysłać zapytanie poprzez formularz na stronie getsix®.

Skontaktuj się z nami »

***

Niniejsza publikacja ma charakter niewiążącej informacji i służy ogólnym celom informacyjnym. Przedstawione informacje nie stanowią doradztwa prawnego, podatkowego ani w zakresie zarządzania, jak również nie zastępują indywidualnego doradztwa. Przy opracowaniu niniejszej publikacji dołożono należytej staranności, jednak bez przejęcia odpowiedzialności za prawidłowość, aktualność i kompletność prezentowanych informacji. Treści w niej zawarte nie stanowią samodzielnej podstawy do działania i nie mogą zastąpić konkretnego doradztwa w indywidualnej sprawie. Odpowiedzialność autorów lub getsix® jest wyłączona. W razie potrzeby uzyskania wiążącej opinii prosimy o bezpośredni kontakt z nami. Treść niniejszej publikacji stanowi własność intelektualną getsix® lub firm partnerskich i podlega ochronie z tytułu praw autorskich. Osoby korzystające z tych informacji mogą pobierać, drukować i kopiować treść publikacji wyłącznie na własne potrzeby.

2026 HLB Poland