Firma energetyczna z Mazowsza – nazwijmy ją Alfa – dowiedziała się o dyrektywie NIS2 z komunikatu branżowego w październiku 2024 roku. Termin transpozycji minął 17 października 2024 r. Spółka nie miała wdrożonych żadnych procedur cyberbezpieczeństwa zgodnych z nowym reżimem. Czas na działanie był krótki, a ryzyko administracyjne – realne.
Dyrektywa NIS2 (Dyrektywa UE 2022/2555) nakłada na podmioty kluczowe obowiązek wdrożenia zarządzania ryzykiem ICT, zgłaszania incydentów i rejestracji u właściwego organu krajowego. Termin transpozycji do prawa polskiego upłynął 17 października 2024 roku. Kary za naruszenia sięgają 10 milionów euro lub 2% rocznego obrotu globalnego – w zależności od tego, która kwota jest wyższa.
Poniżej opisujemy, jak przeprowadziliśmy Alfę przez cztery etapy wdrożenia: od diagnozy luk, przez budowę polityk bezpieczeństwa, po rejestrację i testy gotowości. Każdy etap zawiera wnioski, które można przenieść na inną organizację.
Tło sprawy – dlaczego Alfa znalazła się w strefie ryzyka?
Alfa spełniała kryteria podmiotu kluczowego z dwóch powodów. Po pierwsze, działała w sektorze energetycznym – objętym załącznikiem I dyrektywy NIS2. Po drugie, zatrudniała ponad 250 pracowników i przekraczała próg 50 milionów euro rocznego obrotu. Oba warunki muszą być spełnione łącznie, by zakwalifikować podmiot jako kluczowy.
W praktyce zarząd Alfy nie wiedział o tej kwalifikacji. Dział IT funkcjonował bez formalnej polityki zarządzania ryzykiem. Brak było rejestru aktywów, procedury zgłaszania incydentów i planów ciągłości działania. Wewnętrzny audyt wykazał 23 luki – od braku segmentacji sieci po nieaktualne oprogramowanie systemowe.
Dodatkową komplikację stanowiło to, że Alfa przetwarzała dane osobowe klientów. Nakładały się więc dwa reżimy: NIS2 i RODO (Rozporządzenie UE 2016/679). Naruszenie bezpieczeństwa danych mogło skutkować jednoczesnym postępowaniem UODO i organu właściwego dla NIS2. To podwójne ryzyko wymusiło skoordynowane podejście.
Jak wyglądała strategia wdrożenia dla podmiotu kluczowego?
Strategia opierała się na trzech filarach. Pierwszy – identyfikacja zakresu regulacyjnego: ustalenie, które systemy są objęte NIS2, a które podlegają wyłącznie RODO lub sektorowym regulacjom energetycznym. Drugi – priorytetyzacja luk według kryterium ryzyka prawnego i operacyjnego. Trzeci – dokumentacja jako dowód należytej staranności wobec organu nadzorczego.
Na etapie identyfikacji okazało się, że systemy SCADA obsługujące infrastrukturę dystrybucji energii wymagają osobnego planu zabezpieczeń. Systemy te nie były wcześniej traktowane jako aktywa informacyjne – tylko jako urządzenia operacyjne. To częsty błąd w sektorze OT (Operational Technology). Dyrektywa NIS2 obejmuje oba obszary: IT i OT.
Równolegle sprawdziliśmy, czy na Alfę nie nakładają się obowiązki z DORA (Rozporządzenie UE 2022/2554). DORA weszła w życie 17 stycznia 2025 r. i obejmuje podmioty finansowe. Alfa nie była podmiotem finansowym, więc DORA jej nie dotyczyła – ale powiązany dostawca usług IT już tak. Ten wątek wrócił przy weryfikacji łańcucha dostaw. Podobnie obowiązki AML i compliance w polskich firmach nakładają się na podmioty z sektora finansowego współpracujące z Alfą – co wymagało odrębnej analizy umownej.
Wybraliśmy podejście oparte na normie ISO/IEC 27001 jako szkielecie organizacyjnym. Nie jest to wymóg NIS2, ale organ nadzorczy traktuje certyfikację lub dokumentację zgodną z ISO jako dowód wdrożenia środków proporcjonalnych do ryzyka. To skróciło późniejsze rozmowy z regulatorem.
Jak przebiegał proces wdrożenia – etap po etapie?
Wdrożenie trwało 14 tygodni i podzieliliśmy je na cztery fazy. Faza pierwsza – audyt i inwentaryzacja aktywów (tygodnie 1–3). Faza druga – budowa polityk i procedur (tygodnie 4–7). Faza trzecia – wdrożenie techniczne i szkolenia (tygodnie 8–11). Faza czwarta – rejestracja, testy i dokumentacja (tygodnie 12–14).
W fazie pierwszej zinwentaryzowaliśmy 47 systemów informatycznych i 12 systemów OT. Każdemu przypisaliśmy klasyfikację: krytyczny, istotny, pomocniczy. Systemy krytyczne objęły SCADA, ERP i platformę komunikacji wewnętrznej. Rejestr aktywów stał się podstawą analizy ryzyka – bez niego dalsze prace byłyby niemożliwe.
Faza druga przyniosła 11 nowych polityk: politykę bezpieczeństwa informacji, procedurę zgłaszania incydentów (zgodną z wymogiem zgłoszenia wstępnego w ciągu 24 godzin), plan ciągłości działania, politykę zarządzania dostępem i procedurę oceny dostawców. Ta ostatnia okazała się najtrudniejsza – Alfa miała 34 zewnętrznych dostawców IT, z których tylko 7 posiadało dokumentację bezpieczeństwa.
W fazie trzeciej przeprowadzono segmentację sieci, wdrożono monitoring zdarzeń bezpieczeństwa (SIEM) i przeszkolono 120 pracowników. Szkolenia objęły trzy grupy: zarząd (odpowiedzialność osobista za nadzór nad cyberbezpieczeństwem), administratorzy systemów i użytkownicy końcowi. Dyrektywa NIS2 wprost wskazuje, że organy zarządzające podmiotów kluczowych ponoszą odpowiedzialność za zatwierdzanie środków bezpieczeństwa.
Faza czwarta – rejestracja w rejestrze prowadzonym przez właściwy organ krajowy oraz testy penetracyjne kluczowych systemów. Testy ujawniły dwie krytyczne podatności w systemie SCADA. Usunięto je przed złożeniem dokumentacji rejestracyjnej. Cały proces kosztował Alfę około 380 tysięcy złotych – łącznie z opłatami za usługi zewnętrzne i kosztem wewnętrznym.
Zagadnienia związane z ochroną własności intelektualnej w systemach IT – w tym kwestie licencyjne dotyczące oprogramowania wdrożonego w ramach projektu – analizowaliśmy w kontekście naruszenia znaku towarowego i środków prawnych w Polsce, co pozwoliło uniknąć ryzyk licencyjnych przy zakupie narzędzi SIEM.
Jakie wnioski można przenieść na inne podmioty kluczowe?
Pierwsze i najważniejsze: kwalifikacja do kategorii podmiotu kluczowego lub ważnego nie jest oczywista. Wiele firm z sektora energetycznego, transportowego, zdrowotnego i cyfrowej infrastruktury nie wie, że NIS2 ich dotyczy. Weryfikacja kwalifikacji powinna być pierwszym krokiem – przed jakimkolwiek wdrożeniem.
Checklist dla organizacji rozważającej wdrożenie NIS2:
- Sprawdź, czy sektor działalności figuruje w załączniku I lub II dyrektywy NIS2.
- Zweryfikuj progi wielkości: ponad 250 pracowników lub ponad 50 mln euro obrotu dla podmiotów kluczowych.
- Zinwentaryzuj aktywa IT i OT przed przystąpieniem do analizy ryzyka.
- Oceń łańcuch dostaw – dostawcy IT mogą przenosić ryzyko na podmiot kluczowy.
- Ustal, czy nakładają się inne reżimy: RODO, DORA, AI Act lub regulacje sektorowe.
Drugie spostrzeżenie dotyczy AI Act (Rozporządzenie UE 2024/1689). Alfa korzystała z systemu predykcji awarii opartego na uczeniu maszynowym. Taki system może podlegać klasyfikacji jako system wysokiego ryzyka w rozumieniu AI Act – zwłaszcza w sektorze infrastruktury krytycznej. Wdrożenie NIS2 to dobry moment, by równolegle zweryfikować zgodność z AI Act, którego przepisy są stopniowo stosowane przez 2026–2027 rok.
Trzecie spostrzeżenie: dokumentacja jest dowodem. Organ nadzorczy w Polsce nie przeprowadza audytów z zaskoczenia – ale może zażądać dokumentacji w ciągu 30 dni. Brak polityki bezpieczeństwa lub rejestru incydentów jest traktowany jako naruszenie samo w sobie, niezależnie od tego, czy doszło do faktycznego zdarzenia. Alfa zakończyła wdrożenie z kompletem 11 polityk, rejestrem aktywów i protokołami testów – to jej główna tarcza prawna.
Konkretna sytuacja Państwa organizacji – zwłaszcza gdy obejmuje systemy OT, dane osobowe i zewnętrznych dostawców IT – wymaga indywidualnej oceny zakresu regulacyjnego. Nieodwracalną konsekwencją opóźnienia jest brak możliwości retroaktywnego wykazania należytej staranności przed organem nadzorczym.
Jeśli Państwa spółka działa w sektorze kluczowym i nie posiada jeszcze dokumentacji NIS2 – przeprowadzimy audyt luk, opracujemy polityki i przygotujemy Państwa do rejestracji: info@kordeckipartners.com.
Często zadawane pytania
P: Jak odróżnić podmiot kluczowy od podmiotu ważnego w rozumieniu NIS2?
O: Podmiot kluczowy działa w sektorach wymienionych w załączniku I dyrektywy – energia, transport, bankowość, infrastruktura cyfrowa – i przekracza progi: ponad 250 pracowników lub ponad 50 milionów euro obrotu. Podmiot ważny to mniejsza organizacja z załącznika I lub podmiot z załącznika II. Różnica jest istotna: podmioty kluczowe podlegają nadzorowi ex ante, a kary dla nich sięgają 10 milionów euro lub 2% obrotu globalnego.
P: Czy wdrożenie NIS2 musi być certyfikowane przez zewnętrzny podmiot?
O: Dyrektywa NIS2 nie wymaga obowiązkowej certyfikacji. Certyfikacja ISO/IEC 27001 jest jednak rekomendowana, bo organ nadzorczy traktuje ją jako dowód proporcjonalnych środków bezpieczeństwa. Alternatywnie wystarczy kompletna dokumentacja wewnętrzna – polityki, rejestry, protokoły testów – która może być zażądana w każdej chwili. Koszt certyfikacji ISO dla średniej firmy wynosi od 40 do 120 tysięcy złotych.
P: Co grozi za brak wdrożenia NIS2 w Polsce?
O: Dla podmiotów kluczowych kary administracyjne mogą sięgać 10 milionów euro lub 2% całkowitego rocznego obrotu globalnego. Dla podmiotów ważnych limit wynosi 7 milionów euro lub 1,4% obrotu. Niezależnie od kar finansowych organ może nakazać wstrzymanie działalności systemów niespełniających wymogów. Osobista odpowiedzialność członków zarządu za nadzór nad cyberbezpieczeństwem wynika wprost z treści dyrektywy i powinna być brana pod uwagę przy ocenie ryzyka.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, cyberbezpieczeństwa i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.