Przejdź do treści
dyrektywanis2.com

Wprowadzenie

Czym jest dyrektywa NIS2

NIS2 to skrócona nazwa Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. W praktyce — nowy rozdział europejskiego prawa, który zmusza tysiące polskich firm do potraktowania bezpieczeństwa cyfrowego tak poważnie, jak BHP albo ochronę przeciwpożarową.

Dyrektywa weszła w życie 16 stycznia 2023 r. Państwa członkowskie miały czas do 17 października 2024 r., aby transponować jej zapisy do prawa krajowego. Większość państw — w tym Polska — nie zdążyła. W Polsce transpozycja przyjmuje formę nowelizacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (potocznie: nowelizacja KSC), której wejście w życie spodziewane jest w marcu 2026 r. Ten zwięzły przewodnik wyjaśnia, dlaczego NIS2 zmienia reguły gry, czym różni się od poprzedniej dyrektywy i kogo realnie obejmuje.

Dlaczego powstała druga generacja dyrektywy

Pierwsza dyrektywa NIS — Dyrektywa (UE) 2016/1148 — była pionierską próbą uregulowania cyberbezpieczeństwa w skali europejskiej. Wprowadzała pojęcie „operatorów usług kluczowych" i „dostawców usług cyfrowych", ale obejmowała stosunkowo wąską listę branż i pozostawiała państwom członkowskim szeroką swobodę w określaniu, kto wchodzi w jej zakres. Skutkiem był pejzaż niespójny: ten sam typ podmiotu w Niemczech podlegał obowiązkom, a w Polsce nie. Pierwsze duże incydenty po 2020 r. (NotPetya, Colonial Pipeline, atak ransomware na Health Service Executive w Irlandii w 2021 r.) pokazały, że wąska definicja podmiotów objętych przepisami przestała wystarczać.

NIS2 jest odpowiedzią ustawodawcy europejskiego na te wnioski. Dyrektywa rozszerza zakres podmiotowy o kolejne branże, ujednolica klasyfikację, podnosi poprzeczkę dla obowiązków technicznych i organizacyjnych oraz — co dla polskich zarządów najbardziej niewygodne — wprowadza osobistą odpowiedzialność osób kierujących podmiotami za zaniechania w obszarze cyberbezpieczeństwa.

Najważniejsze różnice między NIS a NIS2

Skala zmian najlepiej widać w czterech wymiarach. Po pierwsze, ujednolicenie klasyfikacji. NIS2 wprowadza dwie kategorie podmiotów: Podmiot Kluczowy (essential entity) oraz Podmiot Ważny (important entity). Klasyfikacja opiera się na obiektywnych kryteriach: sektor wg Załączników I lub II dyrektywy, wielkość przedsiębiorstwa (rekomendacja KE 2003/361/WE) oraz znaczenie systemowe. Państwa członkowskie tracą uznaniowość, jaką miały pod NIS — przedsiębiorca samodzielnie klasyfikuje swoją firmę i sam zgłasza ją do rejestru krajowego.

Po drugie, kary. NIS pozostawiał ich wysokość państwom członkowskim i w praktyce kary były symboliczne. NIS2 wprowadza górne progi unijne: do 10 mln EUR lub 2% rocznego obrotu globalnego dla Podmiotu Kluczowego, do 7 mln EUR lub 1,4% rocznego obrotu globalnego dla Podmiotu Ważnego — za niewdrożenie środków bezpieczeństwa albo brak raportowania incydentów. Szczegóły omawiamy w sekcji Art. 12a i kary.

Po trzecie, łańcuch dostaw. NIS skupiał się na samym podmiocie regulowanym; NIS2 — przez Art. 21(2)(d) — zobowiązuje go również do zarządzania ryzykiem cyberbezpieczeństwa swoich dostawców i usługodawców, w tym dostawców MSSP i chmury. To największa zmiana operacyjna: nawet firma, która formalnie nie jest objęta dyrektywą, w praktyce odczuje jej skutki jako podwykonawca podmiotu objętego, ponieważ ten ostatni musi weryfikować swój łańcuch dostaw.

Po czwarte, odpowiedzialność osobista. Art. 20 NIS2 nakłada na „organy zarządzające" obowiązek nadzoru nad wdrożeniem środków bezpieczeństwa i poddawania się regularnym szkoleniom. Polski ustawodawca poszedł krok dalej i w projektowanym Art. 12a ustawy o KSC wprowadził regres do 600% miesięcznego wynagrodzenia członka zarządu, jeżeli kara nałożona na spółkę jest skutkiem niewdrożenia środków, za które konkretny członek zarządu odpowiadał.

Załącznik I — sektory objęte ścisłymi obowiązkami

Sektory wymienione w Załączniku I dyrektywy są źródłem klasyfikacji „Podmiot Kluczowy" — pod warunkiem że firma osiąga próg wielkości średniego przedsiębiorstwa (powyżej 250 osób lub obroty powyżej 50 mln EUR). Dla Podmiotu Kluczowego nadzór jest ex ante: organ właściwy może wszcząć kontrolę bez wcześniejszego incydentu.

  • Energetykaelektroenergetyka, ropa, gaz, ciepłownictwo, wodór.
  • Transportlotniczy, kolejowy, wodny, drogowy.
  • Bankowośćinstytucje kredytowe.
  • Infrastruktura rynków finansowychoperatorzy systemów obrotu i centralni kontrahenci.
  • Ochrona zdrowiapodmioty lecznicze, laboratoria referencyjne UE, producenci leków.
  • Woda pitnadostawcy i dystrybutorzy wody pitnej.
  • Ściekipodmioty zarządzające ściekami komunalnymi i przemysłowymi.
  • Infrastruktura cyfrowaIXP, DNS, TLD, dostawcy chmury, centra danych, sieci CDN.
  • Zarządzanie usługami ICT B2BMSP, MSSP — dostawcy usług zarządzanych.
  • Administracja publicznapodmioty administracji centralnej i regionalnej.
  • Przestrzeń kosmicznaoperatorzy infrastruktury naziemnej dla satelitów.

Załącznik II — sektory pod łagodniejszym, ale realnym nadzorem

Załącznik II obejmuje branże, w których firma — jeżeli spełnia kryteria wielkości (50 osób lub 10 mln EUR obrotu) — staje się Podmiotem Ważnym. Tu obowiązują te same obowiązki techniczne i organizacyjne, ale nadzór jest ex post — kontrola zwykle jest następstwem incydentu lub sygnału zewnętrznego. Maksymalna kara to 7 mln EUR lub 1,4% obrotu.

  • Usługi pocztowe i kurierskieoperatorzy pocztowi i kurierzy.
  • Gospodarka odpadamizbieranie, transport, odzysk, unieszkodliwianie.
  • Produkcja, wytwarzanie i dystrybucja chemikaliówREACH.
  • Produkcja i dystrybucja żywnościłańcuch dostaw FMCG, w tym hurtownie.
  • Produkcja przemysłowawyroby medyczne, elektronika, maszyny, pojazdy, sprzęt elektryczny.
  • Dostawcy usług cyfrowychplatformy internetowe, wyszukiwarki, marketplace'y.
  • Organizacje badawczeinstytuty B+R z zakresu nauk stosowanych.

Łącznie obie listy obejmują 18 sektorów — od energetyki przez transport, produkcję żywności i gospodarkę odpadami po dostawców usług cyfrowych. Pełne brzmienie Załączników można znaleźć w treści dyrektywy na portalu EUR-Lex; rekomendujemy lekturę oryginału, jeżeli Państwa firma znajduje się na granicy klasyfikacji.

NIS2 a inne regulacje europejskie

NIS2 nie funkcjonuje w próżni. Równolegle z dyrektywą obowiązują dwa pokrewne akty prawne, które dla polskich firm w niektórych sektorach mogą okazać się bardziej dotkliwe. DORA (Digital Operational Resilience Act — Rozporządzenie (UE) 2022/2554) obowiązuje od stycznia 2025 r. i obejmuje sektor finansowy: banki, instytucje płatnicze, ubezpieczycieli, fundusze inwestycyjne. DORA jest rozporządzeniem, więc obowiązuje wprost (bez transpozycji) i ma pierwszeństwo nad NIS2 w przypadku firm objętych obiema regulacjami. CER (Critical Entities Resilience Directive — Dyrektywa (UE) 2022/2557) z kolei dotyczy fizycznej odporności podmiotów krytycznych i jest komplementarna wobec NIS2 — gdzie NIS2 zajmuje się cyber, CER zajmuje się incydentami fizycznymi (sabotaż, atak, klęska żywiołowa). Dla polskich firm w sektorach energetyki, transportu i wody — bardzo prawdopodobne jest objęcie wszystkimi trzema reżimami.

Polska transpozycja — nowelizacja ustawy o KSC

NIS2 jest dyrektywą, a nie rozporządzeniem — nie obowiązuje bezpośrednio. Państwa członkowskie muszą przyjąć przepisy krajowe, które przeniosą ją do swojego porządku prawnego. Polska wykonuje to przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (tj. ustawy z dnia 5 lipca 2018 r.). Projekt nowelizacji — w wersji z lipca 2025 r. — wprowadza pojęcia Podmiotu Kluczowego i Podmiotu Ważnego, definiuje system samorejestracji w portalu S46, doprecyzowuje kary administracyjne, a także — co istotne dla zarządów — dodaje Art. 12a o regresie osobistym.

Co dla polskiej firmy znaczy „transpozycja"?

Treść dyrektywy ma charakter ogólny. Konkretne obowiązki, terminy i sankcje wynikają z polskiej ustawy. To na nowelizację KSC, a nie na samą dyrektywę, należy patrzeć przy planowaniu projektów zgodności. Do czasu wejścia w życie nowelizacji obowiązuje poprzedni stan prawny — ustawa o KSC w brzmieniu z 2018 r. wraz z późniejszymi nowelizacjami.

System S46 — krajowy rejestr podmiotów

Polski ustawodawca utrzymuje obowiązek samoidentyfikacji: firma sama ocenia, czy spełnia kryteria Podmiotu Kluczowego lub Ważnego, i jeżeli tak — rejestruje się w systemie teleinformatycznym S46. Żaden urząd nie wysyła przypomnienia. Brak rejestracji traktowany jest jako naruszenie obowiązku informacyjnego i podlega odrębnej karze. Praktyczny aspekt klasyfikacji omawiamy w pillarze Podmioty Kluczowe i Ważne.

Co dalej?

Dyrektywa NIS2 to nie zbiór technicznych wytycznych dla działu IT. To zmiana modelu odpowiedzialności w polskich firmach: cyberryzyko przestaje być sprawą informatyków, a staje się przedmiotem decyzji zarządu — z wszystkimi tego konsekwencjami, łącznie z osobistą odpowiedzialnością. W praktyce wymaga to przepisania regulaminów, uporządkowania dokumentacji, ustalenia ról i raportowania w sposób, jaki dotąd znało niewiele polskich firm spoza sektora bankowego.

Jeżeli Państwa firma znajduje się w którymś z 18 sektorów — rekomendujemy zacząć od klasyfikacji jako Podmiot Kluczowy lub Ważny, następnie przejść do dziesięciu obowiązków z Art. 21 i wreszcie skonsultować plan działań z ekspertem. Marka Alterity Solutions oferuje bezpłatny 20-minutowy audyt zerowy — szybką weryfikację, która pozwala odsiać firmy realnie objęte ustawą od tych, które mogą legalnie uniknąć obowiązków.

Umów konsultację