Firma technologiczna z Mazowsza otrzymuje pismo od CERT Polska z prośbą o wyjaśnienie incydentu bezpieczeństwa. Zarząd pyta prawnika: czy NIS2 już obowiązuje? Czy firma powinna była zgłosić ten incydent? Co grozi za brak rejestracji? Odpowiedź na każde z tych pytań jest inna – i każda ma swoją cenę.
Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) weszła w życie 16 stycznia 2023 roku. Termin transpozycji do polskiego prawa upłynął 17 października 2024 roku. Polska nie zdążyła uchwalić ustawy implementacyjnej w tym terminie, co oznacza, że krajowe przepisy wykonawcze nadal są w fazie legislacyjnej – lecz obowiązki wobec podmiotów kluczowych i ważnych wynikają już bezpośrednio z treści dyrektywy i krajowych przepisów o cyberbezpieczeństwie.
Ten przewodnik wyjaśnia, kto podlega NIS2, jakie konkretne kroki należy podjąć, jakie błędy popełniają firmy i jakie sankcje grożą za zaniechanie. Omawiamy trzy scenariusze biznesowe: producenta przemysłowego, firmę IT oraz inwestora zagranicznego wchodzącego na rynek polski.
Kto podlega NIS2 i jak to ustalić?
Dyrektywa NIS2 dzieli podmioty na dwie kategorie: podmioty kluczowe i podmioty ważne. Przynależność do kategorii zależy od sektora działalności, wielkości przedsiębiorstwa oraz znaczenia dla infrastruktury krytycznej. Ustalenie tej kwalifikacji to pierwszy i najważniejszy krok – bo od niego zależy zakres obowiązków i wysokość kar.
Podmioty kluczowe to m.in. operatorzy energetyczni, dostawcy usług cyfrowych (DNS, CDN, chmura), sektor bankowy i infrastruktura finansowa, transport, ochrona zdrowia. Podmioty ważne obejmują dostawców usług pocztowych, producentów wyrobów chemicznych, spożywczych, urządzeń medycznych oraz firmy z sektora ICT. Próg wielkości to co do zasady 250 pracowników lub 50 mln EUR rocznego obrotu – choć dyrektywa przewiduje wyjątki dla mniejszych podmiotów o strategicznym znaczeniu.
W praktyce – wiele firm o tym zapomina – kwalifikacja nie jest dobrowolna. Podmiot spełniający kryteria podlega NIS2 niezależnie od tego, czy się zarejestrował. CERT Polska i Ministerstwo Cyfryzacji prowadzą rejestr podmiotów objętych obowiązkami. Brak rejestracji nie zwalnia z odpowiedzialności. Grozi za to kara do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie formalnej analizy kwalifikacyjnej przed terminem rejestracji, a nie po otrzymaniu pisma od organu nadzorczego. Polska Agencja Cyberbezpieczeństwa (CSIRT NASK, CERT Polska) dysponuje uprawnieniami do żądania informacji i przeprowadzania kontroli. Czas na reakcję wynosi zwykle 14 dni od doręczenia wezwania.
Jakie obowiązki nakłada NIS2 – krok po kroku?
NIS2 nakłada cztery główne grupy obowiązków: zarządzanie ryzykiem cyberbezpieczeństwa, zgłaszanie incydentów, środki techniczne i organizacyjne oraz odpowiedzialność zarządu. Każda z tych grup ma konkretne terminy i wymagania dokumentacyjne. Pominięcie choćby jednej grozi nie tylko karą, ale – co ważniejsze – osobistą odpowiedzialnością członków zarządu.
Zarządzanie ryzykiem to obowiązek wdrożenia polityki bezpieczeństwa obejmującej analizę ryzyka, bezpieczeństwo łańcucha dostaw, szyfrowanie danych oraz kontrolę dostępu. Firmy muszą udokumentować każdy z tych elementów. Sama polityka bezpieczeństwa „na papierze" nie wystarczy – organ nadzorczy oczekuje dowodów wdrożenia, w tym szkoleń pracowników i testów penetracyjnych.
Zgłaszanie incydentów odbywa się w trzech etapach:
- wczesne ostrzeżenie – w ciągu 24 godzin od wykrycia incydentu
- powiadomienie o incydencie – w ciągu 72 godzin z oceną jego wpływu
- sprawozdanie końcowe – w ciągu 30 dni z pełną analizą przyczyn i działań naprawczych
Incydent „poważny" to taki, który powoduje lub może powodować poważne zakłócenie usług albo straty finansowe. Próg jest celowo szeroki – to firma musi ocenić, czy incydent podlega zgłoszeniu. Błędna ocena i niezgłoszenie to ryzyko kary do 7 mln EUR dla podmiotów ważnych.
Odpowiedzialność zarządu jest nowością w stosunku do poprzedniej dyrektywy NIS1. Członkowie zarządu mogą zostać pociągnięci do osobistej odpowiedzialności za brak nadzoru nad wdrożeniem NIS2. Dyrektywa wprost wymaga, by zarząd zatwierdzał środki zarządzania ryzykiem i uczestniczył w szkoleniach z zakresu cyberbezpieczeństwa. To nie jest delegowalny obowiązek działu IT.
Trzy scenariusze biznesowe – gdzie firmy popełniają błędy?
Trzy najczęstsze scenariusze, z którymi spotykamy się w praktyce, pokazują, że błędy mają podobny schemat: firma nie wie, że podlega NIS2, lub wie – ale zakłada, że wdrożenie może poczekać. Oba błędy są kosztowne.
Scenariusz 1 – producent przemysłowy z Wielkopolski. Firma zatrudnia 280 pracowników i produkuje komponenty dla sektora motoryzacyjnego. Jesienią 2024 roku nie przeprowadziła analizy kwalifikacyjnej, zakładając, że NIS2 dotyczy tylko firm IT. Tymczasem producenci urządzeń elektronicznych i maszyn przemysłowych mogą należeć do sektora „produkcja krytyczna" objętego dyrektywą. Koszt zaległego wdrożenia – audyt, polityki, szkolenia – oszacowano na około 120 000 PLN. Koszt ewentualnej kary byłby wielokrotnie wyższy.
Scenariusz 2 – firma IT z Trójmiasta. Dostawca oprogramowania dla sektora finansowego z 80 pracownikami. Firma wdrożyła ISO 27001 dwa lata temu i uznała, że to wystarczy. NIS2 wymaga jednak dodatkowych elementów: formalnej rejestracji, specyficznego formatu zgłaszania incydentów do CERT Polska oraz polityki bezpieczeństwa łańcucha dostaw obejmującej podwykonawców. ISO 27001 to dobry fundament – ale nie zastępuje compliance z NIS2. Wiosną 2025 roku firma musiała uzupełnić dokumentację i przeszkolić zarząd. Ochrona własności intelektualnej firmy, w tym kodu źródłowego, wymaga przy tym oddzielnych regulacji – warto zapoznać się z podejściem do ochrony IP dla firm technologicznych działających w Polsce.
Scenariusz 3 – inwestor zagraniczny wchodzący na rynek polski. Dla niemieckiego inwestora wchodzącego na rynek polski kwestia NIS2 pojawia się już na etapie due diligence. Jeśli przejmowana polska spółka nie wdrożyła NIS2, ryzyko przechodzi na nabywcę. Kupujący powinien sprawdzić status kwalifikacyjny, dokumentację polityk bezpieczeństwa i historię incydentów. Brak tych danych w procesie due diligence to luka, która może zamknąć drogę do uzyskania finansowania lub ubezpieczenia transakcji. Zagadnienie to jest zbliżone do problemów dokumentacyjnych, jakie pojawiają się przy postępowaniach dowodowych przed polskimi sądami.
Jak wdrożyć NIS2 – lista kontrolna i koszty?
Wdrożenie NIS2 to projekt o określonej strukturze, nie jednorazowa czynność. Firmy, które traktują je jako projekt z harmonogramem, budżetem i właścicielem procesu, kończą je sprawnie. Firmy, które delegują je do działu IT bez wsparcia prawnego i zarządczego, zwykle wracają do punktu wyjścia po pierwszej kontroli.
Orientacyjny harmonogram dla podmiotu ważnego:
- Tygodnie 1–2: analiza kwalifikacyjna i rejestracja w rejestrze podmiotów objętych NIS2
- Tygodnie 3–6: audyt stanu obecnego – luki w politykach, dokumentacji, szkoleniach
- Tygodnie 7–14: wdrożenie polityk bezpieczeństwa, procedury zgłaszania incydentów, szkolenia zarządu
- Tygodnie 15–18: test procedur, symulacja incydentu, dokumentacja końcowa
Koszty wdrożenia zależą od wielkości firmy i stanu wyjściowego. Dla podmiotu ważnego z 50–200 pracownikami szacujemy: audyt prawno-techniczny 15 000–30 000 PLN, opracowanie dokumentacji 10 000–25 000 PLN, szkolenia zarządu i personelu 5 000–15 000 PLN. Łącznie: 30 000–70 000 PLN. Dla podmiotu kluczowego koszty rosną do 150 000–400 000 PLN przy złożonej infrastrukturze.
Firmy działające jednocześnie w sektorze finansowym powinny pamiętać, że DORA (Rozporządzenie UE 2022/2554), które obowiązuje od 17 stycznia 2025 roku, nakłada równoległe wymagania dotyczące odporności cyfrowej. Podmioty objęte zarówno NIS2, jak i DORA muszą koordynować wdrożenie obu reżimów, by uniknąć duplikacji lub sprzeczności w dokumentacji. Podobne zagadnienia compliance pojawiają się przy ekspansji zagranicznej – firmy luksemburskie wchodzące na rynek polski napotykają zbliżone wyzwania regulacyjne, co opisujemy w kontekście strategii ochrony IP dla firm technologicznych z Luksemburga.
Równolegle z NIS2 należy zadbać o zgodność z RODO (Rozporządzenie UE 2016/679) i – w przypadku firm wdrażających systemy AI – z AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku. Systemy wysokiego ryzyka w rozumieniu AI Act wymagają oceny zgodności, co nakłada się na obowiązki NIS2 w zakresie bezpieczeństwa systemów informatycznych.
Jakie kary grożą za brak wdrożenia NIS2?
Sankcje za naruszenie NIS2 są znaczące i – co istotne – mogą dotknąć bezpośrednio osoby zarządzające. Dyrektywa przewiduje dwa poziomy kar administracyjnych oraz odpowiedzialność osobistą zarządu. To rozwiązanie analogiczne do modelu przyjętego w RODO, ale z wyraźnie wyższymi progami dla podmiotów infrastruktury krytycznej.
Dla podmiotów kluczowych maksymalna kara wynosi 10 mln EUR lub 2% całkowitego globalnego obrotu – zastosowanie ma wyższa z kwot. Dla podmiotów ważnych próg to 7 mln EUR lub 1,4% obrotu. Kary nie są automatyczne – organ nadzorczy bierze pod uwagę charakter naruszenia, działania naprawcze i historię compliance. Jednak brak jakiejkolwiek dokumentacji wdrożeniowej to okoliczność obciążająca.
Odpowiedzialność osobista zarządu oznacza, że organ nadzorczy może – po stwierdzeniu naruszenia – zakazać konkretnej osobie pełnienia funkcji zarządczych. To rozwiązanie nieodwracalne w perspektywie krótkoterminowej i wyjątkowo dotkliwe dla właścicieli-menedżerów spółek rodzinnych. Zamknięcie drogi do zarządzania własną firmą to ryzyko, którego nie da się ubezpieczyć.
W praktyce organy nadzorcze w pierwszej fazie stosowania dyrektywy częściej wydają zalecenia i nakazy niż bezpośrednio nakładają kary. Jednak ta faza nie trwa wiecznie. Firmy, które nie wdrożyły NIS2 do końca 2025 roku, wchodzą w 2026 rok z narastającym ryzykiem kontroli i sankcji. Każdy miesiąc zwłoki to miesiąc potencjalnego naruszenia.
Konkretna sytuacja Państwa firmy – sektor, wielkość, stan wdrożenia – decyduje o tym, które obowiązki są pilne i jakie ryzyko osobiste ponosi zarząd. Zaniechanie w tym obszarze może mieć nieodwracalne konsekwencje dla możliwości prowadzenia działalności.
Jeśli Państwa spółka należy do sektora objętego NIS2 lub nie jest pewna swojej kwalifikacji – przeprowadzimy analizę kwalifikacyjną, audyt luk i opracujemy plan wdrożenia: info@kordeckipartners.com.
Często zadawane pytania
P: Czy ISO 27001 zwalnia z obowiązków wynikających z NIS2?
O: Nie. Certyfikat ISO 27001 jest użytecznym punktem wyjścia i może ułatwić wdrożenie NIS2, ale nie zastępuje formalnej rejestracji, specyficznych procedur zgłaszania incydentów do CERT Polska ani wymagań dotyczących odpowiedzialności zarządu. Organ nadzorczy ocenia zgodność z dyrektywą, nie z normą ISO. Firma posiadająca ISO 27001 powinna przeprowadzić analizę luk (gap analysis) i uzupełnić dokumentację o elementy wymagane przez NIS2.
P: Kiedy Polska uchwali ustawę implementującą NIS2 i co to zmienia dla firm?
O: Termin transpozycji upłynął 17 października 2024 roku. Na początku 2026 roku prace legislacyjne nadal trwają. Opóźnienie transpozycji nie zwalnia podmiotów z obowiązków – dyrektywa może być stosowana bezpośrednio wobec podmiotów sektora publicznego, a krajowe przepisy o cyberbezpieczeństwie już teraz nakładają analogiczne wymagania. Ustawa implementacyjna doprecyzuje procedury rejestracji, kompetencje organów nadzorczych i szczegółowe progi kwalifikacyjne. Firmy powinny śledzić proces legislacyjny i być gotowe na szybką aktualizację dokumentacji po uchwaleniu ustawy.
P: Czy małe firmy (poniżej 50 pracowników) mogą podlegać NIS2?
O: Co do zasady próg NIS2 to 50 pracowników lub 10 mln EUR obrotu (podmioty ważne) oraz 250 pracowników lub 50 mln EUR obrotu (podmioty kluczowe). Jednak dyrektywa przewiduje wyjątki: małe i mikroprzedsiębiorstwa mogą podlegać NIS2, jeśli są jedynym dostawcą usługi kluczowej w państwie członkowskim, jeśli ich usługa ma istotny wpływ na bezpieczeństwo publiczne lub jeśli są dostawcami dla podmiotów kluczowych. Firmy z sektora DNS, rejestrów domen i niektórych usług chmurowych podlegają NIS2 niezależnie od wielkości.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń NIS2, DORA, AI Act i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.