Na papierze procedura wygląda prosto: zidentyfikuj zagrożenia, wdróż środki, zgłoś incydent. W praktyce – wiele firm o tym zapomina – dyrektywa NIS2 nakłada na podmioty kluczowe obowiązki, których niedopełnienie może zamknąć drogę do zamówień publicznych i narazić zarząd na osobistą odpowiedzialność finansową. Termin transpozycji minął 17 października 2024 r. Polska wciąż finalizuje krajowe przepisy wdrożeniowe, ale organy nadzorcze już prowadzą czynności sprawdzające.
Dyrektywa NIS2 (Dyrektywa UE 2022/2555) zobowiązuje podmioty kluczowe do wdrożenia zarządzania ryzykiem cyberbezpieczeństwa, zgłaszania incydentów i weryfikacji łańcucha dostaw. Transpozycja do polskiego porządku prawnego powinna nastąpić do 17 października 2024 roku. Kary za naruszenia mogą sięgać 10 000 000 EUR lub 2% globalnego obrotu – w zależności od tego, która kwota jest wyższa.
Ten przewodnik przeprowadza Państwa przez cztery etapy wdrożenia NIS2: klasyfikację podmiotu, budowę systemu zarządzania ryzykiem, procedury zgłaszania incydentów oraz audyt łańcucha dostaw. Omawiam trzy scenariusze biznesowe i najczęstsze błędy. Wskazuję też, gdzie NIS2 przecina się z RODO, AI Act i DORA.
Czy Twoja spółka jest podmiotem kluczowym – jak przeprowadzić klasyfikację?
Odpowiedź na to pytanie jest pierwszym i najważniejszym krokiem. NIS2 dzieli podmioty na kluczowe i ważne – różnica dotyczy zarówno intensywności nadzoru, jak i wysokości kar. Podmiot kluczowy podlega nadzorowi ex ante, podmiot ważny – ex post. To fundamentalna różnica w codziennym funkcjonowaniu działu compliance.
Podmiotem kluczowym jest co do zasady podmiot działający w jednym z jedenastu sektorów wysokiego ryzyka, który jednocześnie spełnia próg wielkości: zatrudnia powyżej 250 osób lub osiąga roczny obrót przekraczający 50 mln EUR. Sektory kluczowe obejmują energetykę, transport, bankowość, infrastrukturę rynków finansowych, sektor zdrowia, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, przestrzeń kosmiczną oraz administrację publiczną. Część podmiotów jest klasyfikowana jako kluczowe niezależnie od rozmiaru – dotyczy to operatorów infrastruktury krytycznej wskazanych przez właściwy organ krajowy.
W Polsce organem wiodącym pozostaje CERT Polska działający przy CSIRT GOV, koordynowany przez Agencję Bezpieczeństwa Wewnętrznego (ABW). Ministerstwo Cyfryzacji prowadzi rejestr podmiotów kluczowych i ważnych. Wpis do rejestru nie jest dobrowolny – podmiot ma obowiązek samorejestracji w terminie wyznaczonym przez przepisy krajowe, który wedle projektu polskiej ustawy ma wynosić 3 miesiące od spełnienia przesłanek.
Trzy pytania pomocnicze przy klasyfikacji:
- Czy spółka działa w sektorze wymienionym w Załączniku I do NIS2?
- Czy spełnia progi wielkości (250+ pracowników lub obrót powyżej 50 mln EUR)?
- Czy jest operatorem wskazanym przez ABW lub inny organ sektorowy jako podmiot infrastruktury krytycznej?
Jeśli odpowiedź na pierwsze dwa pytania brzmi „tak", spółka niemal na pewno jest podmiotem kluczowym. Błędna klasyfikacja – czyli pominięcie obowiązku rejestracji – jest traktowana jako naruszenie samo w sobie. Organy nadzorcze mogą nałożyć karę już za sam brak wpisu, zanim jeszcze zbadają stan techniczny systemów.
Jakie środki techniczne i organizacyjne musi wdrożyć podmiot kluczowy?
NIS2 wymaga wdrożenia proporcjonalnych środków zarządzania ryzykiem cyberbezpieczeństwa. Proporcjonalność oznacza uwzględnienie rozmiaru podmiotu, stopnia ekspozycji na ryzyko oraz prawdopodobnych skutków incydentu. Dyrektywa wskazuje dziesięć minimalnych obszarów – każdy z nich wymaga udokumentowania w polityce bezpieczeństwa.
Minimalny zakres środków obejmuje:
- polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
- obsługę incydentów (wykrywanie, reagowanie, odzyskiwanie),
- ciągłość działania i zarządzanie kryzysowe (backup, disaster recovery),
- bezpieczeństwo łańcucha dostaw i relacji z dostawcami,
- szyfrowanie, uwierzytelnianie wieloskładnikowe i bezpieczne komunikowanie się.
Firma produkcyjna z Dolnego Śląska, działająca w sektorze energetycznym, odkryła wiosną 2025 r., że jej umowy z dostawcami oprogramowania OT nie zawierają żadnych klauzul dotyczących incydentów bezpieczeństwa. Audyt łańcucha dostaw wykazał lukę w 14 z 17 kontraktów. Renegocjacja umów zajęła trzy miesiące i kosztowała ponad 80 000 PLN w samych honorariach prawnych. Wcześniejsze wdrożenie procedur pozwoliłoby uniknąć tego kosztu.
Wdrożenie NIS2 przecina się z kluczowymi klauzulami umów SaaS na polskim rynku. Dostawcy usług chmurowych i SaaS stają się elementem łańcucha dostaw podmiotu kluczowego. Umowa z dostawcą musi zawierać postanowienia o zgłaszaniu incydentów, prawie do audytu i minimalnych standardach bezpieczeństwa. Brak takich klauzul to naruszenie art. 21 ust. 2 lit. d NIS2.
Środki muszą być zatwierdzone przez organ zarządzający – w spółce z o.o. przez zarząd. Zgodnie z projektowaną polską ustawą wdrożeniową, zarząd odpowiada personalnie za niezapewnienie zgodności. To bezpośrednie przełożenie zasad znanych z art. 299 § 1 k.s.h. na grunt cyberbezpieczeństwa. Szkolenie zarządu z zakresu cyberbezpieczeństwa nie jest opcjonalne – NIS2 explicite je wymaga.
Przecięcie z RODO (Rozporządzenie UE 2016/679) jest tu nieuniknione. Incydent cyberbezpieczeństwa często jest jednocześnie naruszeniem ochrony danych osobowych. Procedury NIS2 i RODO należy zintegrować, aby uniknąć podwójnego raportowania do różnych organów – CSIRT i UODO – w różnych terminach.
Konkretna sytuacja Państwa firmy wymaga oceny, czy istniejące polityki bezpieczeństwa spełniają wymogi NIS2 i czy nie otwierają nieodwracalnej luki odpowiedzialności zarządu. Jeśli Państwa spółka działa w sektorze kluczowym i nie zakończyła mapowania środków – przeprowadzimy gap analysis i przygotujemy dokumentację: info@kordeckipartners.com.
Jak wygląda procedura zgłaszania incydentów i jakie są terminy?
Procedura zgłaszania incydentów jest jednym z najbardziej rygorystycznych elementów NIS2. Dyrektywa wprowadza trójstopniowy system powiadomień, z terminami liczonymi w godzinach – nie w dniach. Niedotrzymanie terminów jest traktowane jako odrębne naruszenie.
Harmonogram zgłoszeń wygląda następująco. W ciągu 24 godzin od wykrycia znaczącego incydentu podmiot kluczowy przekazuje wczesne ostrzeżenie do właściwego CSIRT. W ciągu 72 godzin składa pełne powiadomienie o incydencie zawierające wstępną ocenę skutków. W ciągu 1 miesiąca przekazuje sprawozdanie końcowe z analizą przyczyn i podjętymi działaniami naprawczymi.
Incydent jest „znaczący" jeśli spowodował lub może spowodować poważne zakłócenia operacyjne albo straty finansowe dla podmiotu, bądź dotknął inne osoby fizyczne lub prawne powodując znaczne szkody niemajątkowe lub majątkowe. Ocena „znaczącości" musi być dokonana szybko – w praktyce wymaga gotowego procesu decyzyjnego i wyznaczonej osoby odpowiedzialnej (CISO lub równoważnej funkcji).
Spółka IT z Trójmiasta, świadcząca usługi dla sektora bankowego, doświadczyła latem 2024 r. ataku ransomware. Brak wewnętrznej procedury spowodował, że powiadomienie do CSIRT trafiło po 96 godzinach zamiast 24. Organ nałożył karę administracyjną. Równocześnie klient bankowy aktywował klauzulę SLA dotyczącą cyberbezpieczeństwa i obciążył spółkę karą umowną. Łączny koszt przekroczył 500 000 PLN.
Wdrożenie procedury zgłaszania incydentów obejmuje: wyznaczenie punktu kontaktowego w CSIRT, opracowanie wewnętrznego playbooka incydentowego, integrację z procedurą RODO (72-godzinny termin zgłoszenia do UODO) oraz przeszkolenie zespołu SOC lub osoby pełniącej tę funkcję. Jeżeli spółka korzysta z zewnętrznego SOC, umowa z dostawcą musi precyzyjnie regulować przepływ informacji i odpowiedzialność za terminowe zgłoszenie.
Trzy scenariusze biznesowe: producent, spółka IT i inwestor zagraniczny
NIS2 nie działa w próżni – jej wymagania nakładają się na istniejącą strukturę prawną i operacyjną każdej firmy. Trzy poniższe scenariusze pokazują, gdzie wdrożenie jest proste, a gdzie pojawia się ryzyko nieodwracalnych konsekwencji.
Scenariusz 1: Producent w sektorze energetycznym. Spółka z o.o. zatrudniająca 400 osób, produkująca komponenty dla sieci energetycznej. Jest podmiotem kluczowym z mocy prawa. Główne wyzwanie: integracja systemów OT (operational technology) z wymogami NIS2. Systemy OT były projektowane bez uwzględnienia cyberbezpieczeństwa. Wdrożenie wymaga segmentacji sieci, inwentaryzacji aktywów i aktualizacji umów z 20+ dostawcami. Szacowany koszt wdrożenia: 300 000–600 000 PLN. Termin: pilny, organ nadzorczy ABW może wszcząć kontrolę w każdej chwili.
Scenariusz 2: Spółka IT świadcząca usługi zarządzane (MSP). Dostawca usług zarządzanych dla klientów z sektora finansowego. Podlega NIS2 jako podmiot ważny lub kluczowy w zależności od skali. Kluczowe ryzyko: odpowiedzialność łańcuchowa – incydent u MSP może być incydentem u klienta-podmiotu kluczowego. Umowy z klientami wymagają pilnej rewizji. Polska struktura holdingowa może być użyta do izolacji ryzyka – dedykowana spółka operacyjna dla usług regulowanych ogranicza ekspozycję grupy. Wdrożenie NIS2 należy skoordynować z wymogami DORA (Rozporządzenie UE 2022/2554), które obowiązuje od 17 stycznia 2025 r. i nakłada własne wymagania ICT na podmioty finansowe oraz ich dostawców.
Scenariusz 3: Zagraniczny inwestor wchodzący na rynek polski. Dla inwestora z Niemiec lub Skandynawii NIS2 jest dyrektywą unijną – ale implementacja krajowa różni się w szczegółach. Polska ustawa wdrożeniowa może wprowadzić surowsze wymogi niż minimalne unijne. Inwestor musi zidentyfikować, czy polska spółka zależna jest podmiotem kluczowym. Jeśli tak – polska spółka odpowiada samodzielnie przed polskimi organami. Wdrożenie NIS2 w polskiej spółce zależnej wymaga uwzględnienia specyfiki polskiego rejestru podmiotów i polskich procedur zgłaszania incydentów do CSIRT GOV.
We wszystkich trzech scenariuszach przecięcie z AI Act (Rozporządzenie UE 2024/1689) staje się istotne, gdy spółka używa systemów AI w procesach operacyjnych objętych NIS2. Systemy AI wysokiego ryzyka w infrastrukturze krytycznej wymagają oddzielnej oceny zgodności. Ochrona danych w systemach AI podlega jednocześnie RODO i AI Act – znak towarowy na oprogramowanie AI nie zwalnia z obowiązków compliance. Kancelaria IP Warszawa może doradzić w zakresie ochrony własności intelektualnej przy wdrożeniu.
Co sprawdzić przed audytem NIS2 – lista kontrolna
Organ nadzorczy może przeprowadzić kontrolę bez uprzedzenia. Podmioty kluczowe podlegają nadzorowi ex ante, co oznacza, że ABW lub właściwy organ sektorowy może zażądać dokumentacji w każdej chwili. Brak dokumentacji jest równoznaczny z brakiem wdrożenia – nawet jeśli środki techniczne faktycznie istnieją.
Lista kontrolna przed audytem NIS2:
- Wpis do rejestru podmiotów kluczowych prowadzonego przez Ministerstwo Cyfryzacji – sprawdź, czy rejestracja została dokonana w terminie.
- Polityka zarządzania ryzykiem cyberbezpieczeństwa zatwierdzona przez zarząd – dokument musi być podpisany i datowany.
- Procedura obsługi incydentów z wyznaczonym punktem kontaktowym dla CSIRT GOV – playbook incydentowy z terminami 24h/72h/30 dni.
- Umowy z dostawcami ICT zawierające klauzule bezpieczeństwa, audytu i zgłaszania incydentów – co najmniej przegląd 10 kluczowych kontraktów.
- Dokumentacja szkoleń zarządu i kluczowego personelu z zakresu cyberbezpieczeństwa – lista obecności, program, data.
Wdrożenie NIS2 należy traktować jako proces ciągły, nie jednorazowy projekt. Regulacja wyprzedza rynek – za 12 miesięcy organy będą dysponować pełnymi uprawnieniami kontrolnymi i sankcyjnymi. Spółki, które wdrożą system teraz, unikną kosztownych retrospektywnych audytów. Te, które zwlekają, ryzykują karą do 10 000 000 EUR i utratą reputacji w przetargach publicznych – co jest konsekwencją nieodwracalną.
Konkretna sytuacja Państwa spółki wymaga oceny, które elementy listy kontrolnej są zrealizowane, a które generują nieodwracalne ryzyko odpowiedzialności zarządu. Jeśli Państwa podmiot kluczowy nie przeszedł jeszcze pełnego gap analysis NIS2 – przeprowadzimy audyt dokumentacji, przygotujemy polityki bezpieczeństwa i wesprzemy renegocjację umów z dostawcami: info@kordeckipartners.com.
Często zadawane pytania
P: Czy mała spółka IT zatrudniająca 50 osób podlega NIS2?
O: Co do zasady – nie, jeśli nie przekracza progu 250 pracowników i 50 mln EUR obrotu. Wyjątek stanowią podmioty wskazane przez organ krajowy jako krytyczne niezależnie od rozmiaru, np. jedyny dostawca danej usługi w regionie. Nawet jeśli spółka nie jest podmiotem kluczowym ani ważnym, jej klienci – podmioty kluczowe – będą wymagać spełnienia standardów NIS2 w umowach jako warunek współpracy. Wdrożenie uproszczonych środków bezpieczeństwa jest więc w praktyce koniecznością rynkową już od 2025 roku.
P: Ile kosztuje wdrożenie NIS2 dla podmiotu kluczowego?
O: Koszt zależy od stopnia dojrzałości cyberbezpieczeństwa w organizacji. Podmiot z istniejącym systemem ISO 27001 może wdrożyć NIS2 w ciągu 2–3 miesięcy przy nakładach rzędu 100 000–200 000 PLN (audyt, uzupełnienie polityk, szkolenia). Podmiot bez żadnej dokumentacji bezpieczeństwa powinien liczyć się z budżetem 400 000–800 000 PLN i harmonogramem 6–9 miesięcy. Do kosztów należy doliczyć bieżące utrzymanie systemu – szacunkowo 50 000–120 000 PLN rocznie.
P: Czy NIS2 i RODO to te same obowiązki i można je połączyć?
O: To powszechne nieporozumienie. NIS2 i RODO (Rozporządzenie UE 2016/679) mają różne cele i różne organy nadzorcze – odpowiednio CSIRT/ABW i UODO. Jednak incydent cyberbezpieczeństwa często jednocześnie stanowi naruszenie ochrony danych osobowych. Procedury zgłaszania incydentów można i należy zintegrować: artykuł 33 ustęp 1 RODO wymaga zgłoszenia naruszenia do UODO w ciągu 72 godzin, NIS2 wymaga wczesnego ostrzeżenia do CSIRT w ciągu 24 godzin. Zintegrowana procedura obsługi incydentów jest efektywniejsza i zmniejsza ryzyko rozbieżnych zgłoszeń.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń regulacyjnych w obszarze cyberbezpieczeństwa, ochrony danych i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.