Termin transpozycji dyrektywy NIS2 do polskiego prawa minął 17 października 2024 roku. Polska nie dotrzymała tego terminu. Projekt ustawy o krajowym systemie cyberbezpieczeństwa (nowelizacja KSC) wciąż przechodzi kolejne etapy legislacyjne. Dla podmiotów kluczowych oznacza to niepewność – ale nie brak obowiązków. Dyrektywa NIS2 wywołuje skutki bezpośrednie w zakresie, w jakim przepisy krajowe nie zostały jeszcze przyjęte, a Komisja Europejska obserwuje postęp prac.

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady 2022/2555) nakłada na podmioty kluczowe obowiązki z zakresu zarządzania ryzykiem cyberbezpieczeństwa, zgłaszania incydentów i odpowiedzialności zarządu. Termin transpozycji upłynął 17 października 2024 roku. Kary dla podmiotów kluczowych mogą sięgać 10 mln EUR lub 2% globalnego obrotu – zależnie od tego, która kwota jest wyższa.

Ten alert wyjaśnia trzy rzeczy: kogo NIS2 obejmuje jako podmiot kluczowy, jakie obowiązki już teraz należy wdrożyć oraz co zrobić w ciągu najbliższych 30 dni, zanim polska ustawa wejdzie w życie.

Kogo obejmuje NIS2 jako podmiot kluczowy?

NIS2 wprowadza podział na podmioty kluczowe i ważne. Podmiot kluczowy to organizacja działająca w sektorze o wysokiej krytyczności, spełniająca próg wielkości: co najmniej 250 pracowników lub roczny obrót powyżej 50 mln EUR i suma bilansowa powyżej 43 mln EUR. Sektory objęte tym statusem to energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa oraz administracja publiczna.

W praktyce – wiele polskich firm o tym zapomina – status podmiotu kluczowego nie zależy od samodzielnej decyzji spółki. Właściwy organ krajowy (w Polsce będzie to CSIRT lub organ sektorowy) prowadzi rejestr takich podmiotów. Do czasu wdrożenia ustawy KSC podmioty spełniające progi powinny jednak działać tak, jakby już zostały zarejestrowane. Europejski Urząd Nadzoru Bankowego (EBA) i Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) wydały już wytyczne, które wyznaczają minimalny standard.

Warto porównać to z reżimem DORA (Rozporządzenie UE 2022/2554), który od 17 stycznia 2025 roku obowiązuje podmioty finansowe nadzorowane przez KNF. DORA i NIS2 nakładają się zakresem – podmiot finansowy objęty DORA jest jednocześnie kandydatem do statusu kluczowego pod NIS2. Podobnie RODO (Rozporządzenie UE 2016/679) tworzy równoległy obowiązek zgłaszania naruszeń do UODO w ciągu 72 godzin.

  • Energetyka: operatorzy sieci przesyłowych i dystrybucyjnych
  • Transport: zarządcy infrastruktury kolejowej, portowej, lotniczej
  • Zdrowie: szpitale powyżej progu wielkości, producenci leków
  • Infrastruktura cyfrowa: dostawcy DNS, IXP, chmury obliczeniowej
  • Finanse: banki, izby rozliczeniowe – objęte równolegle przez DORA

Jeśli Państwa spółka działa w którymkolwiek z tych sektorów i przekracza progi zatrudnienia lub obrotu, brak działania dziś zamyka drogę do obrony przed sankcjami jutro. Odpowiedzialność zarządu za naruszenia NIS2 jest osobista – dyrektywa wprost wskazuje, że organy zarządzające mogą być pociągnięte do odpowiedzialności.

Jakie obowiązki trzeba wdrożyć już teraz?

Dyrektywa NIS2 wymaga od podmiotów kluczowych wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa. Obejmują one co najmniej: politykę analizy ryzyka, procedury obsługi incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw oraz szkolenia dla zarządu. Zarząd musi zatwierdzić te środki i nadzorować ich realizację – nie może delegować tej odpowiedzialności w całości na dział IT.

Zgłaszanie incydentów to drugi filar. Podmiot kluczowy ma obowiązek zgłosić poważny incydent w ciągu 24 godzin od jego wykrycia (wczesne ostrzeżenie), a pełny raport złożyć w ciągu 72 godzin. Termin 72 godzin pokrywa się z wymogiem RODO dotyczącym naruszeń danych osobowych – co nie jest przypadkiem, lecz celowym ujednoliceniem przez unijnego ustawodawcę.

Mikroprzedsiębiorstwa i małe przedsiębiorstwa są co do zasady wyłączone z zakresu NIS2. Jednak dostawcy usług DNS, rejestry nazw domen i niektórzy dostawcy chmury podlegają dyrektywie niezależnie od wielkości. To wyjątek, który zaskakuje wiele firm z sektora IT.

Równolegle warto śledzić harmonogram AI Act (Rozporządzenie UE 2024/1689). Systemy AI stosowane w infrastrukturze krytycznej są klasyfikowane jako wysokiego ryzyka i wymagają oceny zgodności. Podmiot kluczowy wdrażający AI w zarządzaniu siecią energetyczną lub systemach transportowych musi spełnić wymagania AI Act – niezależnie od NIS2. Szczegółowy harmonogram wdrożenia AI Act dla polskich firm opisujemy osobno.

Co zrobić w ciągu 30 dni?

Brak polskiej ustawy nie zwalnia z działania. Podmioty kluczowe, które nie rozpoczęły wdrożenia, ryzykują, że po uchwaleniu KSC znajdą się w sytuacji naruszenia od pierwszego dnia obowiązywania przepisów. Kara do 10 mln EUR lub 2% globalnego obrotu rocznego – przy braku jakiejkolwiek dokumentacji zarządczej – to scenariusz nieodwracalny.

Firma logistyczna z Mazowsza, działająca w transporcie kolejowym, przeprowadziła audyt luk NIS2 jesienią 2024 roku. Zidentyfikowała 14 obszarów wymagających korekty. Wdrożenie polityki zarządzania ryzykiem i procedury zgłaszania incydentów zajęło jej 8 tygodni. Firma z sektora energetycznego z Górnego Śląska zaczęła analogiczny proces dopiero w marcu 2025 roku – i nadal nie zakończyła mapowania łańcucha dostaw.

Kwestia ubezpieczenia od ryzyk cybernetycznych jest często pomijanym elementem przygotowań. Zarząd odpowiada osobiście za szkody wynikające z zaniedbania obowiązków NIS2. Więcej o tym, co powinien wiedzieć polski zarząd w kontekście ubezpieczenia odpowiedzialności, znajdą Państwo w osobnym opracowaniu.

Poniżej lista działań na najbliższe 30 dni:

  • Zidentyfikuj, czy spółka spełnia progi podmiotów kluczowych (sektor + wielkość)
  • Przeprowadź wstępną analizę luk wobec wymagań NIS2 (polityki, procedury, szkolenia)
  • Wdróż lub zaktualizuj procedurę zgłaszania incydentów z terminem 24/72 godzin
  • Uzyskaj uchwałę zarządu zatwierdzającą środki zarządzania ryzykiem cyberbezpieczeństwa

Konkretna sytuacja Państwa firmy wymaga oceny, czy spełnia ona progi i w jakim zakresie obecna dokumentacja jest niewystarczająca. Brak tej oceny dziś może oznaczać nieodwracalne naruszenie z chwilą wejścia w życie polskiej ustawy KSC.

Jeśli Państwa spółka działa w sektorze kluczowym i nie zakończyła jeszcze analizy zgodności z NIS2 – przeprowadzimy audyt luk, przygotujemy dokumentację zarządczą i wdrożymy procedurę incydentową: info@kordeckipartners.com.

Często zadawane pytania

P: Czy polska firma musi stosować NIS2, skoro ustawa KSC nie została jeszcze uchwalona?

O: Tak – w zakresie, w jakim dyrektywa wywołuje skutki bezpośrednie, podmioty kluczowe powinny już teraz wdrażać jej wymagania. Po uchwaleniu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa organy nadzorcze będą badać, czy podmiot podjął działania przed datą wejścia przepisów w życie. Brak dokumentacji z okresu przejściowego może być traktowany jako okoliczność obciążająca przy wymierzaniu kary.

P: Jak długo trwa wdrożenie NIS2 w podmiocie kluczowym?

O: Minimalny zakres – polityka ryzyka, procedura incydentowa, uchwała zarządu – można wdrożyć w ciągu 6 do 10 tygodni przy odpowiednim wsparciu prawnym i technicznym. Pełne wdrożenie obejmujące bezpieczeństwo łańcucha dostaw i szkolenia zarządu zajmuje zwykle od 3 do 6 miesięcy. Podmioty, które nie rozpoczęły jeszcze prac, powinny traktować każdy tydzień zwłoki jako zwiększone ryzyko sankcji.

P: Czy NIS2 dotyczy tylko dużych firm? Mamy 80 pracowników i działamy w sektorze zdrowia.

O: Próg dla podmiotów kluczowych to co do zasady 250 pracowników lub obrót powyżej 50 mln EUR. Przy 80 pracownikach spółka może kwalifikować się jako podmiot ważny – nie kluczowy – co oznacza niższy pułap kar (do 7 mln EUR lub 1,4% obrotu) i nieco łagodniejszy reżim nadzoru. Jednak sektor zdrowia jest sektorem o wysokiej krytyczności, więc organ nadzorczy może objąć spółkę rejestrem podmiotów ważnych niezależnie od wielkości. Weryfikacja statusu jest pierwszym krokiem.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, cyberbezpieczeństwa i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.