Firma logistyczna z Wielkopolski dostaje wezwanie od UODO. Okazuje się, że po cyberataku na jej systemy IT nie powiadomiła odpowiednich organów w wymaganym terminie. Grozi jej nie tylko grzywna – traci kontrakt z zamawiającym sektora publicznego, bo nie spełnia nowych wymogów bezpieczeństwa. To nie jest scenariusz przyszłości. To dzieje się teraz.
Dyrektywa NIS2 (Dyrektywa UE 2022/2555) nakłada na podmioty kluczowe i ważne obowiązki w zakresie cyberbezpieczeństwa, zarządzania ryzykiem i zgłaszania incydentów. Termin transpozycji do prawa polskiego minął 17 października 2024 roku. Polska ustawa wdrożeniowa jest nadal procedowana, jednak obowiązki materialne wynikające z dyrektywy są już stosowane przez organy nadzoru.
Ten przewodnik wyjaśnia, kogo obejmuje NIS2, jakie obowiązki operacyjne nakłada na firmy, gdzie leżą praktyczne pułapki i jak przygotować się na kontrolę. Omawiamy też wymiar transgraniczny – szczególnie istotny dla grup kapitałowych działających w kilku krajach UE.
Kogo obejmuje NIS2 i jak to sprawdzić?
NIS2 rozszerza zakres podmiotowy w porównaniu z poprzednią dyrektywą NIS z 2016 roku. Obejmuje podmioty kluczowe i podmioty ważne w osiemnastu sektorach. To nie jest lista zamknięta dla dużych korporacji. W praktyce – wiele firm o tym zapomina – regulacja sięga głębiej niż jej poprzedniczka.
Podmioty kluczowe to operatorzy w sektorach: energia, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna i przestrzeń kosmiczna. Podmioty ważne obejmują m.in. usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję chemiczną, żywność, przemysł wytwórczy i dostawców usług cyfrowych.
Progi wielkościowe mają znaczenie. Co do zasady NIS2 obejmuje podmioty średnie (powyżej 50 pracowników lub obrót/suma bilansowa powyżej 10 mln EUR) oraz duże. Jednak dla niektórych sektorów – jak infrastruktura cyfrowa czy dostawcy usług DNS – progi nie obowiązują. Oznacza to, że nawet mała firma hostingowa może podlegać pełnym wymaganiom.
Jak to sprawdzić w praktyce? Trzy kroki:
- Ustal sektor działalności zgodnie z klasyfikacją NIS2 (Załączniki I i II do dyrektywy)
- Zweryfikuj progi wielkościowe: liczba pracowników, obrót, suma bilansowa
- Sprawdź, czy nie jesteś dostawcą dla podmiotu kluczowego – NIS2 wymaga zarządzania ryzykiem łańcucha dostaw
CERT Polska i Urząd Komunikacji Elektronicznej (UKE) pełnią kluczowe role w polskim ekosystemie nadzoru. Krajowy system cyberbezpieczeństwa (KSC) – będący polską implementacją NIS/NIS2 – pozostaje podstawą prawną do czasu uchwalenia nowej ustawy. Firmy działające równolegle w Polsce i w Niemczech lub Francji muszą pamiętać, że obowiązek rejestracji może dotyczyć każdej jurysdykcji z osobna.
Jakie obowiązki operacyjne nakłada NIS2 na firmy?
NIS2 nie jest dyrektywą "papierową". Wymaga wdrożenia konkretnych środków technicznych i organizacyjnych. Podmioty kluczowe mają 30 dni na zgłoszenie poważnego incydentu do właściwego CSIRT – a wstępne powiadomienie musi nastąpić w ciągu 24 godzin od wykrycia zdarzenia. Niedotrzymanie tego terminu to jeden z najczęstszych błędów.
Dyrektywa wskazuje dziesięć kategorii środków bezpieczeństwa, które podmiot musi wdrożyć. Należą do nich m.in.: polityki analizy ryzyka, obsługa incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, szyfrowanie, kontrola dostępu oraz wieloskładnikowe uwierzytelnianie. To nie jest lista życzeń – to wymagania minimalne.
Zarząd odpowiada osobiście. Art. 20 dyrektywy NIS2 nakłada na organy zarządzające obowiązek zatwierdzania środków bezpieczeństwa i nadzoru nad ich wdrożeniem. Członkowie zarządu mogą być pociągnięci do odpowiedzialności osobistej za naruszenia. W Polsce, do czasu wejścia w życie nowej ustawy o KSC, odpowiedzialność ta realizuje się przez przepisy ogólne Kodeksu spółek handlowych – w szczególności art. 293 § 1 k.s.h. dotyczący odpowiedzialności za szkodę wyrządzoną spółce.
Producent z Dolnego Śląska, wiosną 2025 roku, wdrożył program zarządzania ryzykiem dostawców ICT. Kosztowało to ok. 80 tys. PLN, ale pozwoliło utrzymać certyfikację wymaganą przez głównego odbiorcę z sektora automotive. Bez tego wdrożenia groziła utrata kontraktu o wartości kilku milionów rocznie.
DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku i nakłada zbliżone wymagania na podmioty finansowe. Firmy z pogranicza sektora finansowego i technologicznego muszą analizować zakres obu regulacji łącznie. W praktyce – jeśli Twoja spółka jest dostawcą ICT dla banku lub ubezpieczyciela – podlega DORA jako krytyczny dostawca zewnętrzny, a jednocześnie może podlegać NIS2 jako podmiot ważny w sektorze infrastruktury cyfrowej. Dwie regulacje, jeden system zarządzania ryzykiem.
Warto też odnotować relację z RODO (Rozporządzenie UE 2016/679). Incydent bezpieczeństwa często jest jednocześnie naruszeniem ochrony danych osobowych. Wtedy biegną dwa terminy: 24 godziny do CSIRT (NIS2) i 72 godziny do UODO (RODO). Brak koordynacji między tymi ścieżkami to praktyczna pułapka dla wielu organizacji.
Gdzie firmy popełniają błędy przy wdrożeniu NIS2?
Złożoność NIS2 polega nie na samych wymaganiach, lecz na ich wzajemnym przenikaniu się z innymi regulacjami i z wewnętrznymi procesami firmy. Trzy obszary generują najwięcej problemów: klasyfikacja podmiotu, łańcuch dostaw i dokumentacja.
Błąd klasyfikacyjny jest kosztowny. Firma, która błędnie zakwalifikuje się jako "podmiot ważny" zamiast "kluczowy", zastosuje łagodniejszy reżim środków bezpieczeństwa. Organ nadzorczy może nakazać reklasyfikację – i wtedy firma ma problem: brak wymaganych środków, brak historii incydentów, brak udokumentowanych procedur. Kary administracyjne dla podmiotów kluczowych wynoszą do 10 mln EUR lub 2% światowego obrotu.
Łańcuch dostaw to niewidoczne ryzyko. NIS2 wymaga, żeby podmioty oceniały bezpieczeństwo swoich dostawców ICT. W praktyce oznacza to klauzule umowne, audyty i rejestry dostawców. Wiele firm podpisuje umowy IT bez jednego zdania o cyberbezpieczeństwie. To nieodwracalny błąd – renegocjacja kontraktów z dużymi dostawcami chmury może trwać miesiącami.
Dokumentacja to fundament obrony. Organ nadzorczy nie ocenia, czy firma "stara się" spełnić wymagania – ocenia, czy ma dowody. Polityki bezpieczeństwa, rejestry ryzyk, protokoły z testów penetracyjnych, logi systemów – to materiał dowodowy na wypadek kontroli. Brak dokumentacji = brak obrony.
Checklist – co przygotować przed kontrolą:
- Pisemna polityka zarządzania ryzykiem cyberbezpieczeństwa zatwierdzona przez zarząd
- Rejestr dostawców ICT z oceną ryzyka dla każdego z nich
- Procedura zgłaszania incydentów z wyznaczonymi osobami odpowiedzialnymi i terminami
- Dokumentacja testów bezpieczeństwa (penetracyjnych, podatności) z ostatnich 12 miesięcy
- Plan ciągłości działania i zarządzania kryzysowego zaktualizowany po ostatnim incydencie
AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 roku. Dla firm wdrażających systemy AI w obszarach wysokiego ryzyka – takich jak rekrutacja, scoring kredytowy czy zarządzanie infrastrukturą krytyczną – AI Act i NIS2 tworzą podwójny reżim compliance. Szczegółowe omówienie klasyfikacji systemów wysokiego ryzyka znajdą Państwo w naszym analizie: AI Act – klasyfikacja systemów wysokiego ryzyka.
Firmy technologiczne i kancelarie prawne obsługujące sektor IT muszą też zadbać o ochronę własności intelektualnej w kontekście systemów bezpieczeństwa. Narzędzia i procedury wdrożone w ramach NIS2 mogą stanowić chroniony know-how. Więcej o ochronie IP w kontekście transgranicznym: praktyka IP/Tech w USA i UE.
Jak NIS2 działa w grupach kapitałowych i strukturach transgranicznych?
Dla grupy kapitałowej działającej w kilku krajach UE NIS2 oznacza jedno: każda spółka zależna jest oceniana osobno. Nie ma konsolidacji obowiązków na poziomie holdingu. Spółka córka zarejestrowana w Polsce podlega polskiemu organowi nadzoru – nawet jeśli jej centrum decyzyjne jest w Amsterdamie.
Jurysdykcja właściwa dla podmiotu jest co do zasady określana przez miejsce głównego zakładu w UE. Dla firm spoza UE świadczących usługi na terenie Unii – konieczne jest wyznaczenie przedstawiciela w jednym z państw członkowskich. To wymóg, który często jest pomijany przez azjatyckich i amerykańskich dostawców usług cyfrowych wchodzących na rynek polski.
Dla niemieckiego inwestora wchodzącego na rynek polski kluczowe jest rozstrzygnięcie, czy polska spółka zależna samodzielnie spełnia progi NIS2. Jeśli tak – polska spółka rejestruje się u polskiego organu nadzoru, wdraża własne procedury i raportuje incydenty do polskiego CSIRT. Centralne zarządzanie bezpieczeństwem z Frankfurtu jest możliwe – ale nie zwalnia polskiej spółki z obowiązków formalnych.
Koordynacja między jurysdykcjami wymaga ujednolicenia polityk bezpieczeństwa. Grupy kapitałowe często stosują jedną globalną politykę IT. Problem pojawia się, gdy lokalne przepisy wymagają specyficznych elementów – np. polskie przepisy o ochronie infrastruktury krytycznej mogą nakładać dodatkowe obowiązki ponad minimum NIS2. Warto mieć to odzwierciedlone w umowach wewnątrzgrupowych i politykach SLA.
Firma IT z Mazowsza, obsługująca klientów w Polsce, Czechach i Rumunii, latem 2024 roku przeprowadziła audyt struktury compliance w trzech jurysdykcjach. Wynik: trzy różne reżimy raportowania incydentów, dwa różne organy nadzoru właściwe dla tej samej grupy usług. Ujednolicenie kosztowało 6 tygodni pracy prawników i specjalistów IT – ale pozwoliło uniknąć trzykrotnego powiadamiania różnych organów przy każdym incydencie.
Relacja NIS2 z RODO jest szczególnie widoczna w kontekście transgranicznym. RODO przewiduje mechanizm "one-stop-shop" – jeden wiodący organ nadzorczy dla całej grupy. NIS2 takiego mechanizmu nie ma. To oznacza, że ten sam incydent może wymagać równoległego raportowania do organów w kilku krajach. Brak koordynacji zamyka drogę do skutecznej obrony w postępowaniu nadzorczym. Więcej o zarządzaniu umowami w kontekście compliance transgranicznego: przegląd kluczowych punktów umów dla podmiotów w Polsce.
Jakie kary grożą za naruszenie NIS2?
NIS2 wprowadza dwustopniowy system sankcji. Podmioty kluczowe mogą zostać ukarane grzywną do 10 mln EUR lub 2% całkowitego rocznego światowego obrotu – w zależności od tego, która kwota jest wyższa. Podmioty ważne: do 7 mln EUR lub 1,4% obrotu. To kwoty porównywalne z sankcjami RODO.
Odpowiedzialność osobista kadry zarządzającej to element, który wyróżnia NIS2 spośród wcześniejszych regulacji cyberbezpieczeństwa. Dyrektywa wprost przewiduje możliwość zakazania osobom fizycznym pełnienia funkcji kierowniczych w podmiotach kluczowych. W Polsce mechanizm ten będzie realizowany przez nową ustawę o KSC – projekt przewiduje sankcje dla osób odpowiedzialnych za naruszenie obowiązków nadzorczych.
Organy nadzoru mają też uprawnienia nakazowe. Mogą nakazać wstrzymanie certyfikacji, cofnięcie autoryzacji, a nawet tymczasowe zawieszenie działalności podmiotu kluczowego. To nieodwracalne konsekwencje dla firm zależnych od licencji lub certyfikatów branżowych. W sektorze zdrowia czy energetyki – utrata autoryzacji oznacza faktyczne zamknięcie działalności.
Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie środków NIS2 etapami – zaczynając od klasyfikacji podmiotu i audytu luk – niż oczekiwanie na finalne brzmienie polskiej ustawy. Przepisy dyrektywy są bezpośrednio stosowane w postępowaniach nadzorczych już teraz. Firmy, które czekają na "ostateczną wersję prawa", ryzykują odpowiedzialność osobistą zarządu i kary do 10 mln EUR. To ryzyko, którego nie można odwrócić po wszczęciu postępowania.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny zakresu obowiązków, terminów i ryzyk osobistych dla zarządu. Brak udokumentowanego wdrożenia NIS2 może prowadzić do nieodwracalnych sankcji – zarówno finansowych, jak i operacyjnych.
Jeśli Państwa spółka działa w sektorach objętych NIS2 i nie ma jeszcze udokumentowanej polityki bezpieczeństwa ani procedury zgłaszania incydentów – przeprowadzimy audyt luk compliance, klasyfikację podmiotu i opracujemy plan wdrożenia: info@kordeckipartners.com.
Często zadawane pytania
P: Czy mała firma technologiczna zatrudniająca 30 osób podlega NIS2?
O: Co do zasady NIS2 obejmuje podmioty średnie i duże – czyli powyżej 50 pracowników lub obrotu/sumy bilansowej powyżej 10 mln EUR. Jednak firmy świadczące usługi infrastruktury cyfrowej (np. hosting, DNS, rejestracja domen, CDN) podlegają NIS2 niezależnie od wielkości. Mała firma hostingowa z 15 pracownikami może być podmiotem kluczowym. Weryfikacja sektora działalności jest pierwszym krokiem – przed analizą progów wielkościowych.
P: Ile kosztuje wdrożenie NIS2 i jak długo trwa?
O: Koszt i czas wdrożenia zależą od dojrzałości istniejącego systemu zarządzania bezpieczeństwem. Dla podmiotu bez żadnych formalnych procedur – wdrożenie minimalne zajmuje od 3 do 6 miesięcy i kosztuje od kilkudziesięciu do kilkuset tysięcy złotych, w zależności od wielkości firmy. Podmioty posiadające certyfikat ISO 27001 mają znacznie prostszą drogę – wiele wymagań NIS2 pokrywa się z normą, co skraca czas wdrożenia do 4–8 tygodni. Ignorowanie kosztów wdrożenia jest błędem – są one nieporównywalnie niższe niż potencjalne kary do 10 mln EUR.
P: Czy NIS2 dotyczy tylko firm polskich, czy też zagranicznych działających w Polsce?
O: NIS2 dotyczy podmiotów świadczących usługi na terytorium UE – niezależnie od miejsca rejestracji. Firma zarejestrowana poza UE, która świadczy usługi objęte dyrektywą na rzecz podmiotów w Polsce, musi wyznaczyć przedstawiciela w jednym z państw członkowskich. Jurysdykcja właściwa jest co do zasady określana przez miejsce głównego zakładu w Unii. Brak przedstawiciela w UE jest samodzielnym naruszeniem dyrektywy i może skutkować zakazem świadczenia usług.
Konkretna sytuacja Państwa firmy – szczególnie jeśli działa w kilku jurysdykcjach lub jest dostawcą dla podmiotów kluczowych – wymaga indywidualnej oceny ryzyka. Opóźnienie w klasyfikacji i wdrożeniu zamyka drogę do skutecznej obrony w przypadku incydentu lub kontroli nadzorczej.
Jeśli Państwa spółka nie ma jeszcze przeprowadzonej klasyfikacji NIS2, a jej działalność obejmuje sektory objęte dyrektywą – przeprowadzimy analizę zakresu obowiązków, opracujemy dokumentację i wesprzemy zarząd w wypełnieniu wymogów nadzorczych: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do cyberbezpieczeństwa, regulacji cyfrowych i compliance IT. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.