Czym jest NIS2 i jak weszła do polskiego prawa

NIS2 to unijna dyrektywa 2022/2555, która zastąpiła dyrektywę NIS1 z 2016 roku. Dyrektywy nie obowiązują przedsiębiorców bezpośrednio — wymagają transpozycji do prawa krajowego. W Polsce zrobiła to nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), opublikowana w Dzienniku Ustaw 2 marca 2026 roku i obowiązująca od 3 kwietnia 2026 roku. Polska wdrożyła przepisy z opóźnieniem względem unijnego terminu transpozycji wyznaczonego na 17 października 2024 roku, więc firmy, które czekały na ostateczny kształt ustawy, mają teraz znacznie mniej czasu na przygotowanie.

Kogo dotyczy: podmioty kluczowe i ważne

Ustawa dzieli objęte organizacje na dwie kategorie. Kwalifikacja zależy od dwóch czynników jednocześnie: sektora działalności oraz wielkości firmy. Co do zasady przepisy obejmują średnie i duże przedsiębiorstwa — czyli takie, które zatrudniają co najmniej 50 osób lub mają roczny obrót przekraczający 10 mln euro. Dla części sektorów krytycznych próg wielkości nie ma jednak znaczenia.

Sektory kluczowe (m.in.)

• energetyka i transport

• bankowość i infrastruktura rynków finansowych

• ochrona zdrowia

• woda pitna i ścieki

• infrastruktura cyfrowa (m.in. centra danych, dostawcy usług DNS, sieci CDN)

• administracja publiczna oraz przestrzeń kosmiczna

Sektory ważne (m.in.)

• usługi pocztowe i kurierskie

• gospodarka odpadami

• produkcja i dystrybucja żywności

• produkcja chemikaliów

• dostawcy usług cyfrowych i platform internetowych

Podział na podmioty kluczowe i ważne przekłada się na intensywność nadzoru oraz na wysokość kar. Wobec podmiotów kluczowych organy mogą prowadzić kontrole z urzędu, podczas gdy podmioty ważne podlegają nadzorowi głównie po wystąpieniu incydentu.

Kluczowe obowiązki

Ustawa nakłada cztery główne grupy obowiązków. Pierwsza to zarządzanie ryzykiem — wdrożenie systemu zarządzania bezpieczeństwem informacji, polityk bezpieczeństwa, kontroli dostępu oraz ciągłości działania. Co istotne, ryzyko obejmuje cały łańcuch dostaw: firma odpowiada również za bezpieczeństwo dostawców ICT, co wymaga odpowiednich klauzul w umowach i nadzoru nad kluczowymi partnerami.

Druga grupa to zgłaszanie poważnych incydentów w sztywnych terminach. Wczesne ostrzeżenie trzeba przekazać niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia. Pełne zgłoszenie incydentu — w ciągu 72 godzin. Sprawozdanie końcowe — w ciągu miesiąca od zgłoszenia. Dotrzymanie tych terminów jest realne tylko wtedy, gdy firma wykryje incydent szybko, co bez stałego monitorowania ruchu sieciowego bywa nieosiągalne.

Trzecia grupa to odpowiedzialność zarządu. Ustawa przenosi ciężar cyberbezpieczeństwa na kierownictwo: organy zarządzające zatwierdzają środki zarządzania ryzykiem, nadzorują ich wdrożenie i ponoszą za to osobistą odpowiedzialność. Członkowie zarządu mają też obowiązek odbycia szkoleń. Czwarta grupa to ciągłe monitorowanie i wykrywanie zagrożeń, które stanowi techniczny fundament pozostałych wymogów.

Monitorowanie sieci jako warunek zgodności

Wymogu wykrycia incydentu w ciągu 24 godzin nie spełni się ręcznie ani na podstawie samych logów z urządzeń brzegowych. Realne wykrywanie anomalii w czasie zbliżonym do rzeczywistego zapewniają narzędzia klasy NDR (Network Detection and Response), takie jak Sycope, które analizują ruch w oparciu o NetFlow, sFlow i IPFIX oraz mapują zaobserwowane zachowania na macierz MITRE ATT&CK. Dla organizacji objętych NIS2 istotny jest też model wdrożenia — Sycope działa wyłącznie on-premise, więc dane o ruchu sieciowym nie opuszczają infrastruktury firmy, a ich przetwarzanie pozostaje w UE. To bezpośredni argument zarówno wobec wymogów RODO, jak i zasady utrzymania kontroli nad informacją, którą promuje NIS2. Producent jest polski, a najtańszy plan jest darmowy, co pozwala uruchomić podstawowy monitoring bez decyzji budżetowej.

Terminy wdrożenia w Polsce

Po wejściu ustawy w życie 3 kwietnia 2026 roku obowiązuje konkretny harmonogram:

• 3 października 2026 — termin złożenia wniosku o wpis do wykazu podmiotów kluczowych i ważnych

• 3 kwietnia 2027 — termin pełnego dostosowania systemów, procedur i struktur do wymogów ustawy

• 3 kwietnia 2028 — termin pierwszego audytu cyberbezpieczeństwa dla podmiotów kluczowych

Kwalifikacja jest obowiązkiem firmy: to organizacja musi sama ocenić, czy podlega przepisom, i zgłosić się do wykazu. Brak wpisu nie zwalnia z obowiązków, jeśli kryteria są spełnione.

Kary

Sankcje finansowe zostały ustawione na poziomie unijnym i są dotkliwe. Podmiotom kluczowym grozi kara do 10 mln euro lub 2% całkowitego rocznego światowego obrotu — w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych limit wynosi 7 mln euro lub 1,4% obrotu. Oprócz kar pieniężnych ustawa przewiduje środki nadzorcze, a wobec kierownictwa — odpowiedzialność osobistą za zaniedbania.

Od czego zacząć

Pierwszy krok to formalna ocena kwalifikacji: ustal, czy Twoja firma jest podmiotem kluczowym lub ważnym, i przygotuj wpis do wykazu przed terminem 3 października 2026 roku. Równolegle warto wdrożyć monitorowanie ruchu sieciowego, bo bez niego dotrzymanie 24-godzinnego terminu zgłaszania incydentów pozostaje teoretyczne — a to właśnie ten obowiązek najczęściej decyduje o tym, czy zgodność z NIS2 jest realna, czy tylko papierowa.

Foto: Pexels
Treść: materiał partnera