Dyrektywa NIS2 miała zostać wdrożona do polskiego prawa do 17 października 2024 roku. Termin minął. Polska nadal nie uchwaliła krajowej ustawy implementacyjnej. Dla podmiotów kluczowych – energetyki, bankowości, ochrony zdrowia, infrastruktury cyfrowej – oznacza to stan prawnej niepewności, który nie zwalnia jednak z obowiązku działania. Regulacja unijnego poziomu wywiera skutki bezpośrednio, a organy nadzoru coraz aktywniej sygnalizują gotowość do egzekwowania.
NIS2 (Dyrektywa UE 2022/2555) nakłada na podmioty kluczowe i ważne obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa, zgłaszania incydentów oraz odpowiedzialności zarządów. Termin transpozycji upłynął 17 października 2024 roku. Kary dla podmiotów kluczowych mogą sięgać 10 milionów euro lub 2% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa.
Ten alert wyjaśnia trzy rzeczy: kogo dotyczą nowe progi kwalifikacyjne, jakie obowiązki są już egzekwowalne mimo braku polskiej ustawy, i co Państwa organizacja powinna zrobić w ciągu najbliższych 30 dni.
Kogo obejmuje NIS2 – progi i kategorie podmiotów?
NIS2 dzieli podmioty na dwie grupy: kluczowe i ważne. Różnica nie jest kosmetyczna – przekłada się bezpośrednio na intensywność nadzoru i wysokość kar. Podmiot kluczowy podlega nadzorowi proaktywnemu (ex ante), podmiot ważny – reaktywnemu (ex post). Błędna klasyfikacja własnej organizacji to jeden z najczęstszych błędów na etapie wdrożenia.
Podmiotami kluczowymi są duże przedsiębiorstwa z sektorów wysokiego ryzyka. Chodzi o energetykę, transport, bankowość, infrastrukturę rynków finansowych, ochronę zdrowia, wodę pitną i ścieki, infrastrukturę cyfrową oraz administrację publiczną. Próg wielkości: co najmniej 250 pracowników lub roczny obrót powyżej 50 milionów euro i suma bilansowa powyżej 43 milionów euro. Niezależnie od wielkości, kluczowymi są też dostawcy usług DNS, rejestry nazw TLD i operatorzy chmury obliczeniowej.
Podmioty ważne to średnie przedsiębiorstwa z tych samych sektorów oraz przedsiębiorstwa z sektorów dodatkowych – usług pocztowych, gospodarki odpadami, produkcji chemicznej, żywności i wyrobów medycznych. Próg: 50–249 pracowników lub obrót 10–50 milionów euro. W praktyce – wiele firm o tym zapomina – dostawca oprogramowania dla szpitala może być podmiotem ważnym, nawet jeśli zatrudnia 60 osób.
Polska ustawa implementacyjna zmieni niektóre szczegóły klasyfikacji. Jednak już teraz CERT Polska, działający przy NASK, prowadzi rejestr podmiotów i oczekuje zgłoszeń. Brak rejestracji nie zwalnia z obowiązków – wręcz przeciwnie, może stanowić samodzielne naruszenie.
Jakie obowiązki są już egzekwowalne mimo braku polskiej ustawy?
Brak krajowej ustawy nie oznacza braku obowiązków. Dyrektywa NIS2 wywołuje skutek bezpośredni w zakresie, w jakim jej przepisy są bezwarunkowe i wystarczająco precyzyjne. Organy nadzoru – w Polsce funkcję tę pełni Minister Cyfryzacji oraz sektorowe CSIRT (CSIRT GOV, CSIRT NASK, CSIRT MON) – mogą powoływać się na dyrektywę bezpośrednio wobec podmiotów publicznych. Wobec podmiotów prywatnych ryzyko jest niższe, ale nie zerowe.
Cztery obszary wymagają natychmiastowej uwagi. Po pierwsze, zarządzanie ryzykiem: NIS2 wymaga wdrożenia polityk oceny ryzyka, bezpieczeństwa łańcucha dostaw i ciągłości działania. Po drugie, zgłaszanie incydentów: wstępne powiadomienie o poważnym incydencie musi trafić do właściwego CSIRT w ciągu 24 godzin od wykrycia. Pełny raport – w ciągu 72 godzin. Po trzecie, odpowiedzialność zarządu: NIS2 wprost nakłada na organy zarządzające obowiązek zatwierdzania środków cyberbezpieczeństwa i odpowiedzialność osobistą za ich wdrożenie. Po czwarte, szkolenia: zarząd musi regularnie uczestniczyć w szkoleniach z zakresu cyberbezpieczeństwa.
Warto zestawić NIS2 z innymi regulacjami, które już obowiązują. DORA (Rozporządzenie UE 2022/2554) weszła w życie 17 stycznia 2025 roku i nakłada na podmioty finansowe zbliżone wymogi w zakresie zarządzania ryzykiem ICT – z tą różnicą, że DORA to rozporządzenie, więc stosuje się bezpośrednio bez transpozycji. Jeśli Państwa firma działa w sektorze finansowym, DORA i NIS2 nakładają się zakresowo. RODO (Rozporządzenie UE 2016/679) reguluje ochronę danych osobowych i jest egzekwowane przez UODO. Incydent cyberbezpieczeństwa często jednocześnie narusza RODO – co oznacza podwójne ryzyko zgłoszeniowe i podwójną odpowiedzialność.
Złożoność tej warstwy regulacyjnej – NIS2, DORA, RODO, a w perspektywie AI Act (Rozporządzenie UE 2024/1689) dla systemów AI wysokiego ryzyka – sprawia, że wdrożenie wymaga skoordynowanego podejścia prawno-technicznego. Każda z tych regulacji ma własne terminy, własne organy nadzoru i własne progi kar. Pominięcie jednej z nich nie jest błędem technicznym – to nieodwracalna luka w systemie compliance, którą organ nadzoru może wykryć podczas kontroli krzyżowej.
- DORA: obowiązuje od 17 stycznia 2025 r. – sektor finansowy
- NIS2: termin transpozycji upłynął 17 października 2024 r. – wszystkie sektory kluczowe
- RODO: obowiązuje od 2018 r. – każdy administrator danych osobowych
- AI Act: pełne stosowanie od 2 sierpnia 2026 r. – systemy AI wysokiego ryzyka
Firma produkcyjna z Dolnego Śląska, działająca jako poddostawca dla sektora energetycznego, jesienią 2024 roku odkryła podczas audytu, że jej umowy z dostawcami IT nie zawierają klauzul bezpieczeństwa łańcucha dostaw wymaganych przez NIS2. Koszt renegocjacji kilkudziesięciu umów okazał się wielokrotnie wyższy niż koszt prewencyjnego przeglądu kontraktów rok wcześniej.
Operator infrastruktury cyfrowej z Mazowsza, wiosną 2025 roku, otrzymał wezwanie od CSIRT NASK do wyjaśnienia braku rejestracji jako podmiot kluczowy. Postępowanie wyjaśniające trwało trzy miesiące i pochłonęło znaczące zasoby działu prawnego – a mogło zostać uniknięte przez dobrowolne zgłoszenie w terminie.
Uważamy, że bezpieczniejszym rozwiązaniem jest przyjęcie założenia, że NIS2 obowiązuje już teraz – i działanie zgodnie z tym założeniem, zamiast czekania na polską ustawę implementacyjną.
Konkretna sytuacja Państwa organizacji – liczba pracowników, sektor, powiązania z infrastrukturą krytyczną – determinuje zakres obowiązków i pilność działania. Opóźnienie w klasyfikacji lub rejestracji zamyka drogę do dobrowolnego dostosowania i naraża zarząd na odpowiedzialność osobistą.
Jeśli Państwa firma działa w sektorze kluczowym lub ważnym i nie przeprowadziła jeszcze analizy luk NIS2 – przeprowadzimy klasyfikację podmiotu, przegląd umów z dostawcami ICT i projekt polityki zgłaszania incydentów: info@kordeckipartners.com.
Co zrobić w ciągu 30 dni – lista kontrolna dla podmiotów kluczowych?
Działanie w warunkach niepełnej transpozycji wymaga priorytyzacji. Nie wszystko da się zrobić jednocześnie. Poniżej przedstawiamy sekwencję działań, która minimalizuje ryzyko prawne przy racjonalnym nakładzie zasobów.
Pierwszym krokiem jest klasyfikacja własna. Należy ustalić, czy organizacja spełnia progi wielkości i sektorowe dla podmiotu kluczowego lub ważnego. Jeśli tak – kolejnym krokiem jest rejestracja w systemie prowadzonym przez CERT Polska. Brak rejestracji to ryzyko samodzielnego naruszenia, niezależne od innych obowiązków.
Drugim krokiem jest przegląd umów z dostawcami ICT pod kątem klauzul bezpieczeństwa łańcucha dostaw. NIS2 wymaga, by podmioty kluczowe oceniały praktyki cyberbezpieczeństwa swoich dostawców. Umowy zawarte przed 2024 rokiem rzadko zawierają odpowiednie postanowienia. Renegocjacja lub aneksowanie umów z kluczowymi dostawcami powinno nastąpić w ciągu 90 dni od klasyfikacji. Pomocne jest tu odwołanie do wymagań analogicznych do tych znanych z wymagań technicznych dla systemów integrowanych z KSeF – w obu przypadkach chodzi o udokumentowane standardy techniczne w relacjach B2B.
Trzecim krokiem jest ustanowienie procedury zgłaszania incydentów. Procedura musi przewidywać: identyfikację osoby odpowiedzialnej za zgłoszenie, ścieżkę eskalacji wewnętrznej, szablon wstępnego powiadomienia do CSIRT (24 godziny) i pełnego raportu (72 godziny). Brak procedury w momencie incydentu to okoliczność obciążająca w postępowaniu nadzorczym.
Czwartym krokiem jest szkolenie zarządu. NIS2 wprost wymaga, by organy zarządzające regularnie uczestniczyły w szkoleniach z cyberbezpieczeństwa. Dokumentacja szkolenia – lista obecności, program, data – powinna być przechowywana jako dowód compliance.
- Klasyfikacja podmiotu (kluczowy / ważny) – do 14 dni
- Rejestracja w CERT Polska – niezwłocznie po klasyfikacji
- Przegląd umów z dostawcami ICT – do 30 dni
- Wdrożenie procedury zgłaszania incydentów – do 30 dni
- Szkolenie zarządu z cyberbezpieczeństwa – do 60 dni
Złożoność wdrożenia NIS2 wynika nie tylko z liczby obowiązków, ale z ich wzajemnych powiązań. Polityka bezpieczeństwa łańcucha dostaw wpływa na treść umów. Procedura incydentowa musi być spójna z wymogami RODO wobec UODO. Odpowiedzialność zarządu łączy się z dokumentacją szkoleń. Każdy element systemu musi być spójny z pozostałymi – inaczej audyt ujawni luki, które organ nadzoru potraktuje jako systemowy brak wdrożenia, a nie jednostkowe uchybienie.
Konkretna sytuacja Państwa organizacji – struktura zarządzania, liczba dostawców ICT, historia incydentów – wymaga indywidualnej oceny. Brak skoordynowanego wdrożenia NIS2 to nieodwracalne ryzyko dla zarządu w momencie pierwszej kontroli nadzorczej.
Jeśli Państwa spółka działa w sektorze kluczowym i potrzebuje przeprowadzenia analizy luk NIS2, projektu polityk bezpieczeństwa i przeglądu odpowiedzialności zarządu – skontaktuj się: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polska ustawa implementacyjna NIS2 jest już uchwalona i kiedy wejdzie w życie?
O: Na dzień publikacji tego alertu (styczeń 2026 r.) Polska nie uchwaliła ustawy implementującej dyrektywę NIS2. Termin transpozycji upłynął 17 października 2024 roku. Projekt ustawy jest procedowany, ale data uchwalenia pozostaje nieznana. Brak krajowej ustawy nie zwalnia podmiotów kluczowych z obowiązków wynikających z dyrektywy – organy nadzoru mogą powoływać się na jej przepisy bezpośrednio, a Komisja Europejska wszczęła wobec Polski postępowanie o naruszenie prawa unijnego.
P: Czy podmiot zatrudniający 60 osób może być objęty NIS2?
O: Tak. Progi wielkości (250 pracowników lub obrót powyżej 50 milionów euro) dotyczą podmiotów kluczowych. Podmioty ważne obejmują przedsiębiorstwa od 50 pracowników lub obrotu powyżej 10 milionów euro, jeśli działają w sektorach objętych dyrektywą. Ponadto niektóre kategorie podmiotów – dostawcy usług DNS, rejestry TLD, dostawcy chmury obliczeniowej – są objęte niezależnie od wielkości. Błędne założenie, że NIS2 dotyczy wyłącznie dużych korporacji, to najczęstszy błąd na etapie wstępnej analizy.
P: Jak NIS2 ma się do DORA i RODO – czy to odrębne systemy compliance?
O: NIS2, DORA i RODO to odrębne regulacje z własnymi organami nadzoru i systemami kar, ale nakładają się zakresowo. Podmiot finansowy objęty DORA jest jednocześnie objęty NIS2 w zakresie, w jakim działa w sektorze infrastruktury rynków finansowych. Incydent cyberbezpieczeństwa może jednocześnie naruszać NIS2 (obowiązek zgłoszenia do CSIRT w ciągu 24 godzin) i RODO (obowiązek zgłoszenia do UODO w ciągu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych). Wdrożenie każdej z tych regulacji w izolacji – bez uwzględnienia punktów styku – prowadzi do luk i dublowania wysiłków.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń regulacyjnych z obszaru cyberbezpieczeństwa, ochrony danych i nowych technologii, w tym NIS2, DORA, RODO i AI Act. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.