Firma produkcyjna z Dolnego Śląska przez trzy lata ignorowała kolejne projekty ustawy implementującej dyrektywę NIS2. Termin transpozycji minął 17 października 2024 r. Polska wciąż nie uchwaliła dedykowanej ustawy – ale podmioty kluczowe już dziś ponoszą ryzyko, bo dyrektywa wywołuje skutek bezpośredni w relacjach z organami nadzoru. Brak wdrożenia to nie tylko grzywna. To odpowiedzialność osobista zarządu i nieodwracalna utrata certyfikatów zamówień publicznych.

NIS2 – dyrektywa (UE) 2022/2555 – nakłada na podmioty kluczowe obowiązek wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa oraz zgłaszania incydentów do właściwego CSIRT. Termin transpozycji do prawa polskiego upłynął 17 października 2024 roku. Do czasu uchwalenia krajowej ustawy stosuje się przepisy dyrektywy bezpośrednio, a organem nadzoru pozostaje CERT Polska działający przy UODO i CSIRT GOV przy ABW. Kary dla podmiotów kluczowych mogą sięgać 10 000 000 EUR lub 2% globalnego obrotu.

Ten przewodnik prowadzi przez cały proces wdrożenia: od identyfikacji statusu podmiotu kluczowego, przez analizę luk, po dokumentację, szkolenia i procedury zgłaszania incydentów. Każdy krok ma przypisany horyzont czasowy i szacunkowy budżet. Trzy scenariusze biznesowe – producent przemysłowy, firma IT oraz inwestor zagraniczny – pokazują, gdzie najczęściej pojawiają się pułapki.

Kto jest podmiotem kluczowym i jak to sprawdzić?

Status podmiotu kluczowego wynika z sektora działalności, wielkości organizacji oraz znaczenia dla ciągłości usług krytycznych. Dyrektywa NIS2 wprowadza dwie kategorie: podmioty kluczowe (essential entities) i podmioty ważne (important entities). Różnica przekłada się bezpośrednio na intensywność nadzoru i wysokość kar. Podmiot kluczowy podlega nadzorowi ex ante – organ może przeprowadzić audyt bez wcześniejszego incydentu.

Podmiotem kluczowym jest co do zasady każdy podmiot średni lub duży (powyżej 250 pracowników lub obrót powyżej 50 mln EUR) działający w sektorach: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna i przestrzeń kosmiczna. Dostawca usług DNS, operator centrum danych czy dostawca usług chmurowych spełnia kryterium niezależnie od liczby pracowników.

W praktyce – wiele firm o tym zapomina – wystarczy, że spółka zależna zagranicznego koncernu obsługuje infrastrukturę krytyczną w Polsce, by podlegać rejestracji w krajowym wykazie. Screening sankcyjny i analiza statusu regulacyjnego powinny być przeprowadzane łącznie – podmiot wpisany na listy sankcyjne nie uzyska certyfikatu bezpieczeństwa wymaganego przez NIS2. Rejestracja w wykazie prowadzonym przez ministra właściwego ds. cyfryzacji powinna nastąpić w ciągu 3 miesięcy od spełnienia kryteriów.

  • Sprawdź listę sektorów z Załącznika I i II do dyrektywy NIS2
  • Zweryfikuj progi: 250 pracowników lub 50 mln EUR obrotu
  • Uwzględnij spółki zależne i podmioty powiązane w grupie kapitałowej
  • Zbadaj, czy podmiot świadczy usługi wyłącznie w Polsce czy transgranicznie
  • Złóż zgłoszenie do krajowego organu w ciągu 3 miesięcy od ustalenia statusu

Jak przeprowadzić analizę luk i ocenę ryzyka?

Analiza luk (gap analysis) to fundament całego wdrożenia. Porównuje aktualny stan zabezpieczeń z wymaganiami NIS2 i normą ISO/IEC 27001. Wynik analizy określa zakres prac, harmonogram i budżet. Dla podmiotu kluczowego o przychodach 100 mln PLN koszt rzetelnej analizy luk wynosi zwykle od 40 000 do 120 000 PLN – zależnie od złożoności infrastruktury i liczby lokalizacji.

Ocena ryzyka musi obejmować co najmniej: zagrożenia dla sieci i systemów informatycznych, ryzyko łańcucha dostaw, ryzyko związane z dostawcami zewnętrznymi oraz ryzyko fizyczne dla infrastruktury. Dyrektywa NIS2 wprost wymaga udokumentowanej metodyki oceny ryzyka. Brak dokumentacji – nawet przy faktycznie wdrożonych zabezpieczeniach – stanowi naruszenie i może skutkować karą.

Scenariusz pierwszy: producent z Wielkopolski. Spółka zatrudniająca 400 osób, produkująca komponenty dla sektora energetycznego, odkryła podczas analizy luk, że jej systemy OT (technologia operacyjna) były całkowicie odizolowane od polityki bezpieczeństwa IT. Sieć przemysłowa nie miała segmentacji, a dostęp zdalny dostawców maszyn nie był logowany. Naprawa tych luk zajęła 9 miesięcy i kosztowała około 280 000 PLN. Gdyby doszło do incydentu przed wdrożeniem, organ nadzoru mógłby nałożyć karę do 10 mln EUR i zobowiązać zarząd do osobistego wyjaśnienia zaniedbań.

Ocena ryzyka powinna być aktualizowana co najmniej raz w roku oraz po każdym istotnym incydencie lub zmianie infrastruktury. Warto połączyć ją z oceną wymaganą przez RODO (Rozporządzenie UE 2016/679) – oba akty nakładają na administratora obowiązek analizy ryzyka dla przetwarzanych danych, choć zakres przedmiotowy jest różny. Integracja obu procesów redukuje koszty o 20–35%.

Jakie środki techniczne i organizacyjne są obowiązkowe?

Dyrektywa NIS2 wymaga wdrożenia środków proporcjonalnych do ryzyka. Nie jest to jednak dowolność – art. 21 dyrektywy wskazuje dziesięć kategorii obowiązkowych środków. Podmiot kluczowy musi wdrożyć wszystkie dziesięć. Brak choćby jednej kategorii stanowi naruszenie niezależnie od poziomu pozostałych zabezpieczeń.

Obowiązkowe kategorie środków obejmują: politykę bezpieczeństwa i analizę ryzyka, obsługę incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, bezpieczeństwo w procesie nabywania i utrzymywania systemów, ocenę skuteczności środków, podstawowe praktyki higieny cybernetycznej i szkolenia, kryptografię i szyfrowanie, bezpieczeństwo zasobów ludzkich oraz uwierzytelnianie wieloskładnikowe. Każda kategoria wymaga osobnej procedury i dowodów jej stosowania.

Scenariusz drugi: firma IT z Warszawy. Spółka świadcząca usługi zarządzanego bezpieczeństwa (MSSP) dla klientów z sektora finansowego podlega NIS2 jako dostawca usług zarządzania ICT. Podczas audytu CSIRT GOV stwierdzono brak formalnej procedury weryfikacji podwykonawców. Firma korzystała z trzech dostawców infrastruktury chmurowej bez pisemnych umów zawierających klauzule bezpieczeństwa. Uzupełnienie klauzul bezpieczeństwa w umowach SaaS trwało 6 tygodni i wymagało renegocjacji z dostawcami zagranicznymi. Brak takich klauzul to naruszenie art. 21 ust. 2 lit. d dyrektywy NIS2.

Uwierzytelnianie wieloskładnikowe (MFA) jest wymagane dla wszystkich dostępów administracyjnych i zdalnych. To minimum. W praktyce podmioty kluczowe wdrażają MFA dla całej organizacji – koszt dla firmy 300-osobowej to zwykle od 15 000 do 45 000 PLN rocznie za licencje. Rejestracja i zarządzanie tożsamością (IAM) to osobna pozycja budżetowa. Regulacje powiązane – DORA (Rozporządzenie UE 2022/2554) dla sektora finansowego i AI Act (Rozporządzenie UE 2024/1689) dla systemów AI wysokiego ryzyka – nakładają dodatkowe warstwy wymagań technicznych, które warto zintegrować z polityką NIS2 od razu, by uniknąć podwójnych kosztów wdrożenia.

Jak działa procedura zgłaszania incydentów i jakie są terminy?

Procedura zgłaszania incydentów to jeden z najbardziej rygorystycznych elementów NIS2. Podmiot kluczowy ma 24 godziny na wczesne ostrzeżenie do właściwego CSIRT od momentu powzięcia wiedzy o incydencie. W ciągu 72 godzin musi złożyć pełne zgłoszenie incydentu. Raport końcowy należy przekazać w ciągu miesiąca od zamknięcia incydentu. Terminy są nieprzekraczalne – opóźnienie samo w sobie stanowi naruszenie.

Incydentem w rozumieniu NIS2 jest każde zdarzenie, które zakłóca lub może zakłócić świadczenie usługi. Próba włamania, ransomware, awaria systemu krytycznego, utrata dostępności przez dostawcę chmury – wszystkie te zdarzenia mogą kwalifikować się jako incydent podlegający zgłoszeniu. Wewnętrzna procedura musi precyzyjnie określać, kto podejmuje decyzję o kwalifikacji zdarzenia jako incydentu. Decyzja ta powinna zapaść w ciągu 4 godzin od wykrycia.

Zgłoszenie do CSIRT GOV (dla podmiotów kluczowych z sektorów strategicznych obsługiwanych przez ABW) lub CSIRT NASK (dla pozostałych) musi zawierać: opis zdarzenia, dotknięte systemy, szacowaną liczbę użytkowników, geograficzny zasięg incydentu oraz podjęte działania zaradcze. Formularz zgłoszeniowy jest dostępny na platformie S46 prowadzonej przez CERT Polska. Podmiot musi mieć z góry wyznaczoną osobę kontaktową – punkt kontaktowy NIS2 – zarejestrowaną w systemie.

Scenariusz trzeci: inwestor zagraniczny wchodzący na rynek polski. Holenderska spółka przejmująca operatora telekomunikacyjnego w Polsce musi w ciągu 3 miesięcy od przejęcia zapewnić zgodność z NIS2 w polskiej jurysdykcji. Oznacza to rejestrację w krajowym wykazie, wyznaczenie polskiego punktu kontaktowego, przetłumaczenie i lokalizację globalnej polityki bezpieczeństwa oraz dostosowanie procedury zgłaszania incydentów do wymogów CSIRT GOV. Koszt lokalizacji dokumentacji dla firmy o 500 pracownikach w Polsce to od 60 000 do 150 000 PLN w pierwszym roku.

Często zadawane pytania

P: Czy polska firma musi czekać na krajową ustawę, żeby zacząć wdrożenie NIS2?

O: Nie. Termin transpozycji dyrektywy NIS2 minął 17 października 2024 roku i Polska jest w opóźnieniu. Dyrektywa wywołuje jednak skutek bezpośredni w zakresie, w jakim jej przepisy są bezwarunkowe i wystarczająco precyzyjne. Organy nadzoru – CSIRT GOV i CSIRT NASK – już teraz oczekują zgłoszeń incydentów i mogą przeprowadzać kontrole na podstawie dyrektywy. Wdrożenie należy rozpocząć natychmiast. Oczekiwanie na ustawę krajową nie stanowi okoliczności wyłączającej odpowiedzialność podmiotu kluczowego.

P: Ile kosztuje pełne wdrożenie NIS2 dla podmiotu kluczowego?

O: Koszt zależy od wielkości organizacji, sektora i aktualnego poziomu dojrzałości cyberbezpieczeństwa. Dla firmy zatrudniającej 200–500 pracowników, działającej w jednym sektorze objętym dyrektywą, całkowity koszt wdrożenia wynosi zazwyczaj od 300 000 do 800 000 PLN w pierwszym roku. Obejmuje to analizę luk, wdrożenie techniczne, szkolenia, dokumentację prawną i ustanowienie procedur. Coroczne utrzymanie zgodności to kolejne 15–25% tej kwoty. Firmy, które wcześniej wdrożyły ISO 27001, mogą obniżyć koszty o 30–40%, ponieważ wiele wymagań pokrywa się.

P: Czy zarząd odpowiada osobiście za brak wdrożenia NIS2?

O: Tak. Dyrektywa NIS2 wprost przewiduje odpowiedzialność osobistą członków organów zarządzających. Artykuł 20 dyrektywy nakłada na organy zarządzające obowiązek zatwierdzania środków zarządzania ryzykiem i nadzorowania ich wdrożenia. Organ nadzoru może zobowiązać podmiot kluczowy do czasowego zakazu pełnienia funkcji kierowniczych przez osobę odpowiedzialną za naruszenie. W polskich realiach – po uchwaleniu krajowej ustawy – odpowiedzialność zarządu będzie prawdopodobnie konstruowana analogicznie do mechanizmu z artykułu 116 paragrafu 1 Ordynacji podatkowej, czyli odpowiedzialności solidarnej za zaniedbania regulacyjne.

Jak wygląda harmonogram i co przygotować – lista kontrolna?

Pełne wdrożenie NIS2 dla podmiotu kluczowego zajmuje od 9 do 18 miesięcy. Harmonogram zależy od punktu startowego. Firma z certyfikatem ISO 27001 może zamknąć projekt w 9 miesiącach. Firma bez żadnej polityki bezpieczeństwa potrzebuje pełnych 18 miesięcy. Każdy tydzień opóźnienia zwiększa ryzyko – incydent podczas wdrożenia, przy braku formalnych procedur, może kosztować wielokrotnie więcej niż cały projekt wdrożeniowy.

Faza pierwsza (miesiące 1–3): identyfikacja statusu, rejestracja w wykazie, analiza luk, wyznaczenie punktu kontaktowego NIS2, powołanie wewnętrznego zespołu ds. cyberbezpieczeństwa. Faza druga (miesiące 4–9): wdrożenie środków technicznych, aktualizacja umów z dostawcami, opracowanie polityk bezpieczeństwa, szkolenia dla zarządu i pracowników. Faza trzecia (miesiące 10–18): testy procedur, audyt wewnętrzny lub zewnętrzny, certyfikacja, przygotowanie do kontroli organu nadzoru. Każda faza kończy się formalnym przeglądem dokumentacji.

Znak towarowy i ochrona danych (RODO) to elementy, które warto zintegrować z dokumentacją NIS2 już w fazie drugiej. Polityki bezpieczeństwa informacji powinny obejmować zarówno dane osobowe chronione przez RODO, jak i dane nieosobowe objęte NIS2. Kancelaria IP Warszawa z doświadczeniem w regulacjach cyfrowych może przeprowadzić przegląd całości dokumentacji w jednym projekcie. Unikasz w ten sposób sprzeczności między politykami i podwójnych kosztów doradztwa.

  • Ustal status podmiotu kluczowego lub ważnego i zarejestruj go w wykazie krajowym
  • Przeprowadź analizę luk według metodyki NIS2 i ISO/IEC 27001 w ciągu pierwszych 60 dni
  • Wyznacz punkt kontaktowy NIS2 i zarejestruj go w systemie CSIRT GOV lub CSIRT NASK
  • Wdróż wszystkie dziesięć kategorii środków z artykułu 21 dyrektywy NIS2
  • Przetestuj procedurę zgłaszania incydentów – symulacja co najmniej raz przed audytem

Ochrona danych i integracja z AI Act jest szczególnie istotna dla podmiotów kluczowych używających systemów AI do zarządzania infrastrukturą krytyczną. AI Act klasyfikuje takie systemy jako wysokiego ryzyka – wymagają oceny zgodności przed wdrożeniem i wpisu do unijnej bazy danych. Połączenie wymagań NIS2, AI Act i DORA w jednym projekcie wdrożeniowym – dla firm z sektora finansowego lub infrastruktury cyfrowej – to jedyna racjonalna ekonomicznie ścieżka.

Konkretna sytuacja Państwa firmy wymaga oceny, czy spełnia kryteria podmiotu kluczowego i w którym miejscu harmonogramu wdrożenia się znajduje. Brak formalnego statusu nie wyłącza odpowiedzialności – organ nadzoru może ustalić go z urzędu, a nieodwracalne skutki – kary, zakaz pełnienia funkcji, utrata kontraktów publicznych – następują zanim firma zdąży zareagować.

Jeśli Państwa spółka działa w sektorze objętym NIS2 i nie zakończyła jeszcze analizy luk ani rejestracji – przeprowadzimy ocenę statusu, przegląd dokumentacji i opracujemy harmonogram wdrożenia dostosowany do Państwa struktury: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń regulacyjnych NIS2, AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.