Firma IT z Trójmiasta dowiaduje się z pisma CERT Polska, że jej systemy zarządzania infrastrukturą krytyczną podlegają obowiązkowi rejestracji na podstawie dyrektywy NIS2. Termin transpozycji minął 17 października 2024 r. Polska ustawa wciąż nie jest uchwalona – a obowiązki wobec organów nadzoru narastają każdego dnia. Brak działania nie jest opcją neutralną. Każdy tydzień bez wdrożenia to rosnące ryzyko odpowiedzialności zarządu, utraty kontraktów publicznych i wykluczenia z europejskich łańcuchów dostaw.

NIS2 – dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 – zobowiązuje podmioty kluczowe i ważne do wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa, zgłaszania incydentów i rejestracji u właściwych organów. Termin transpozycji do prawa polskiego upłynął 17 października 2024 roku. Sankcje dla podmiotów kluczowych mogą sięgnąć 10 milionów EUR lub 2% globalnego obrotu.

Ten przewodnik omawia kolejno: zakres podmiotowy NIS2 w Polsce, obowiązki organizacyjne i techniczne, pułapki wdrożeniowe, perspektywę transgraniczną dla inwestorów zagranicznych oraz praktyczną listę kontrolną. Każda sekcja zawiera konkretny punkt odniesienia dla zarządu i działu prawnego.

Kogo obejmuje NIS2 i dlaczego zakres jest szerszy, niż myślisz?

NIS2 rozszerza krąg zobowiązanych podmiotów radykalnie w porównaniu z poprzednią dyrektywą. Obejmuje dwie kategorie: podmioty kluczowe (essential entities) i podmioty ważne (important entities). Przynależność do kategorii determinuje intensywność nadzoru i wysokość sankcji. Kluczowe podmioty podlegają nadzorowi ex ante, ważne – ex post, czyli po incydencie.

Sekcje objęte dyrektywą to m.in. energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna oraz przestrzeń kosmiczna. Do tej listy dodano nowe sektory: produkcja żywności, chemikalia, produkcja wyrobów medycznych, usługi pocztowe i kurierskie. Próg wejścia to średnie przedsiębiorstwo – co najmniej 50 pracowników lub roczny obrót powyżej 10 milionów EUR.

W praktyce – wiele firm o tym zapomina – sama przynależność do łańcucha dostaw podmiotu kluczowego może pośrednio narzucić obowiązki kontraktowe. Dostawca oprogramowania dla szpitala lub firmy energetycznej będzie musiał spełnić wymagania bezpieczeństwa wynikające z umów. To zjawisko tzw. kaskadowania NIS2. Dla polskich firm IT obsługujących sektor publiczny lub infrastrukturę krytyczną oznacza to konieczność weryfikacji każdego kontraktu pod kątem nowych wymogów.

W Polsce organem właściwym dla większości sektorów jest CERT Polska działający przy CSIRT GOV (Agencja Bezpieczeństwa Wewnętrznego) lub CSIRT NASK. Sektor finansowy nadzoruje KNF, który – podobnie jak w przypadku rozporządzenia DORA (Rozporządzenie UE 2022/2554) – wymaga oddzielnej rejestracji incydentów i planów ciągłości działania. Podmioty z nakładającymi się obowiązkami z DORA i NIS2 muszą skoordynować oba reżimy, unikając podwójnego raportowania.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie wewnętrznej analizy zakresu podmiotowego jeszcze przed uchwaleniem polskiej ustawy implementacyjnej. Dyrektywa wywołuje skutek bezpośredni w zakresie, w jakim jej przepisy są bezwarunkowe i wystarczająco precyzyjne. Czekanie na ustawę krajową grozi przekroczeniem terminów rejestracji.

Jakie obowiązki techniczne i organizacyjne nakłada NIS2?

NIS2 nakłada na podmioty objęte dyrektywą obowiązek wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa opartych na podejściu proporcjonalnym do ryzyka. Dyrektywa wskazuje minimalny katalog środków – ich brak może skutkować sankcją do 10 milionów EUR dla podmiotów kluczowych lub do 7 milionów EUR dla podmiotów ważnych. Zarząd odpowiada osobiście za zatwierdzenie tych środków i nadzór nad ich wdrożeniem.

Minimalny katalog obowiązków obejmuje:

  • polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
  • procedury obsługi incydentów (wykrywanie, reagowanie, odtwarzanie),
  • zarządzanie ciągłością działania i planowanie odtwarzania po awarii,
  • bezpieczeństwo łańcucha dostaw – w tym ocenę dostawców,
  • stosowanie kryptografii i szyfrowania tam, gdzie jest to uzasadnione.

Obowiązek zgłaszania incydentów jest trójstopniowy. Pierwsze powiadomienie (early warning) trafia do właściwego CSIRT w ciągu 24 godzin od wykrycia incydentu. Pełne zgłoszenie – w ciągu 72 godzin. Raport końcowy – nie później niż po miesiącu. Terminy te są analogiczne do tych znanych z RODO (Rozporządzenie UE 2016/679) przy naruszeniach ochrony danych osobowych, co ułatwia koordynację procedur wewnętrznych.

Zarząd – nie tylko CISO czy dział IT – musi zatwierdzić politykę bezpieczeństwa i przejść szkolenie z zakresu zarządzania ryzykiem cyberbezpieczeństwa. To novum w stosunku do poprzedniego reżimu. Członek zarządu, który nie zna polityki bezpieczeństwa własnej firmy, naraża się na osobistą odpowiedzialność administracyjną. W spółkach z o.o. rodzi to pytanie o podział kompetencji między zarząd a radę nadzorczą w kontekście art. 293 § 1 k.s.h.

Podmioty działające w sektorze finansowym muszą pamiętać, że DORA wprowadza własny, bardziej szczegółowy reżim zarządzania ryzykiem ICT. Dla banków i firm inwestycyjnych nadzorowanych przez KNF NIS2 stosuje się w zakresie nieregulowanym przez DORA. Koordynacja obu reżimów wymaga jednego zunifikowanego rejestru incydentów i jednej mapy ryzyka ICT – prowadzenie dwóch równoległych dokumentacji generuje nieuzasadnione koszty i ryzyko niespójności.

Wdrożenie środków technicznych warto połączyć z audytem zgodności z RODO. Wiele wymagań NIS2 – pseudonimizacja, szyfrowanie, zarządzanie dostępem – pokrywa się z wymaganiami PUODO. Synergia obu procesów skraca czas wdrożenia i obniża koszty zewnętrznych doradców nawet o 30%.

Gdzie firmy popełniają błędy przy wdrożeniu NIS2?

Najczęstszy błąd to założenie, że NIS2 dotyczy wyłącznie firm z sektora IT lub infrastruktury krytycznej. Producent żywności zatrudniający 200 osób z obrotem 15 milionów EUR i zakładem w województwie wielkopolskim może być podmiotem ważnym w rozumieniu dyrektywy. Brak rejestracji u właściwego organu to naruszenie samo w sobie – niezależnie od tego, czy doszło do jakiegokolwiek incydentu.

Drugi błąd to traktowanie wdrożenia NIS2 jako projektu jednorazowego. Dyrektywa wymaga ciągłego zarządzania ryzykiem, regularnych przeglądów polityk bezpieczeństwa i aktualizacji oceny ryzyka łańcucha dostaw. Firma z Mazowsza, która wiosną 2025 r. wdrożyła polityki bezpieczeństwa i uznała temat za zamknięty, może jesienią 2025 r. okazać się niezgodna – po zmianie kluczowego dostawcy oprogramowania.

Trzeci błąd dotyczy dokumentacji. Organy nadzoru – CSIRT GOV, CSIRT NASK, KNF – będą żądać dowodów wdrożenia, nie deklaracji. Polityka bezpieczeństwa musi być datowana, zatwierdzona przez zarząd i powiązana z konkretną oceną ryzyka. Dokument bez podpisów, bez daty przeglądu i bez listy systemów objętych polityką nie spełnia wymogów dyrektywy.

Czwarty błąd to nieuwzględnienie AI Act (Rozporządzenie UE 2024/1689) w kontekście systemów bezpieczeństwa. Jeśli firma wdraża systemy AI do monitorowania sieci lub wykrywania anomalii, może one podlegać klasyfikacji jako systemy wysokiego ryzyka. W takim przypadku wymagana jest ocena zgodności przed wprowadzeniem do użytku – co nakłada dodatkowe obowiązki dokumentacyjne i może opóźnić wdrożenie narzędzi bezpieczeństwa. Więcej o klasyfikacji systemów AI przeczytasz w naszym przewodniku: AI Act – klasyfikacja systemów wysokiego ryzyka.

Piąty błąd to brak koordynacji z działem prawnym przy ocenie łańcucha dostaw. Umowy z dostawcami ICT muszą zawierać klauzule bezpieczeństwa zgodne z NIS2. Istniejące kontrakty wymagają aneksowania. Termin na dostosowanie umów długoterminowych jest krótszy, niż się wydaje – zwłaszcza gdy dostawca jest podmiotem zagranicznym i wymaga negocjacji w obcym prawie.

Konkretna sytuacja Państwa firmy wymaga oceny, które z powyższych błędów już wystąpiły i jakie są ich konsekwencje dla dalszej zgodności. Brak działania zamyka drogę do kontraktów publicznych wymagających certyfikacji cyberbezpieczeństwa – a ta utrata jest nieodwracalna w perspektywie przetargowej.

W sprawie audytu zgodności NIS2 i analizy umów z dostawcami ICT – skontaktuj się: info@kordeckipartners.com.

Jak NIS2 wpływa na inwestorów zagranicznych i spółki transgraniczne?

Dla zagranicznego inwestora wchodzącego na rynek polski NIS2 tworzy dodatkową warstwę due diligence. Przy nabyciu udziałów w polskiej spółce z sektora objętego dyrektywą nabywca przejmuje pełną odpowiedzialność za zgodność z NIS2 – w tym za zaległości w rejestracji i niezgłoszone incydenty sprzed transakcji. Kwestia ta powinna być standardowym elementem każdego badania due diligence w transakcjach M&A w Polsce. Więcej o strukturyzacji transakcji przeczytasz tutaj: Share deal vs. asset deal – wybór struktury M&A.

Spółki z grup kapitałowych działających w kilku państwach UE muszą ustalić, w której jurysdykcji rejestrują się jako podmiot objęty NIS2. Zasada jest prosta: rejestracja w państwie członkowskim, w którym podmiot ma siedzibę lub – dla dostawców usług DNS, TLD, chmury obliczeniowej i podobnych – w państwie, gdzie wyznaczono przedstawiciela. Polska implementacja może wprowadzić własne kryteria lokalizacji dla podmiotów bez siedziby w UE.

Grupy kapitałowe z podmiotami w Polsce i Niemczech, Francji lub krajach bałtyckich muszą skoordynować polityki bezpieczeństwa na poziomie grupy. Niemcy transponowały NIS2 przez NIS2UmsuCG (Umsetzungsgesetz), który wprowadza dodatkowe wymagania dla operatorów infrastruktury krytycznej. Polska ustawa może różnić się w szczegółach implementacyjnych – co tworzy ryzyko niespójności w grupach wielonarodowych.

Firmy technologiczne z siedzibą poza UE, oferujące usługi w Polsce (SaaS, IaaS, PaaS), mogą podlegać NIS2 jako dostawcy usług zarządzanych (MSP) lub dostawcy usług bezpieczeństwa zarządzanego (MSSP). Obowiązek wyznaczenia przedstawiciela w UE i rejestracji u właściwego organu dotyczy podmiotów, które nie mają siedziby w UE, ale świadczą usługi na rzecz podmiotów objętych dyrektywą. Aspekty ochrony własności intelektualnej przy wchodzeniu na rynek polski omawia nasz artykuł: Strategia ochrony IP dla firm technologicznych w Polsce.

Inwestorzy z krajów spoza UE – w tym z Ukrainy i krajów WNP – powinni uwzględnić NIS2 w planowaniu struktury operacyjnej w Polsce. Polska ustawa implementacyjna może nakładać dodatkowe wymagania na podmioty z udziałem kapitału spoza EOG w sektorach wrażliwych – co powiązane jest z przepisami o kontroli inwestycji zagranicznych (ustawa o kontroli niektórych inwestycji).

Lista kontrolna NIS2 – co przygotować przed kontrolą?

Organy nadzoru – CSIRT GOV, CSIRT NASK i KNF dla sektora finansowego – będą weryfikować zgodność przez żądania informacyjne i kontrole na miejscu. Poniższa lista obejmuje minimum dokumentacyjne, które każdy podmiot objęty NIS2 powinien mieć gotowe w ciągu 90 dni od wejścia w życie polskiej ustawy implementacyjnej.

  • Rejestracja: zgłoszenie do właściwego CSIRT lub organu sektorowego z danymi identyfikacyjnymi i opisem działalności.
  • Ocena ryzyka: udokumentowana analiza ryzyka cyberbezpieczeństwa zatwierdzona przez zarząd, z datą ostatniego przeglądu.
  • Polityki bezpieczeństwa: polityka bezpieczeństwa systemów informatycznych, polityka zarządzania incydentami, polityka ciągłości działania – wszystkie podpisane przez zarząd.
  • Procedura zgłaszania incydentów: wewnętrzna procedura z wyznaczonymi osobami odpowiedzialnymi i terminami (24h/72h/30 dni).
  • Umowy z dostawcami: zaktualizowane klauzule bezpieczeństwa w kontraktach ICT zgodne z wymaganiami NIS2.

Poza listą dokumentów – zarząd musi przejść szkolenie z zakresu cyberbezpieczeństwa. Nie jest to wymóg formalny pozostawiony do uznania firmy. Brak dokumentacji szkolenia zarządu to samodzielna podstawa do nałożenia kary administracyjnej. Dla spółek z o.o. i spółek akcyjnych warto rozważyć uchwałę zarządu zatwierdzającą politykę bezpieczeństwa – co tworzy dowód dla organu nadzoru i chroni członków zarządu przed zarzutem naruszenia art. 293 § 1 k.s.h.

Konkretna sytuacja Państwa firmy może wymagać oceny, czy istniejąca dokumentacja spełnia wymagania dyrektywy – a brak tej oceny przed kontrolą jest konsekwencją nieodwracalną dla reputacji i pozycji przetargowej spółki.

Jeśli Państwa spółka podlega NIS2 lub nie jest pewna swojego statusu – przeprowadzimy analizę zakresu podmiotowego, audyt dokumentacji i przygotowanie procedury zgłaszania incydentów: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała firma z branży IT musi rejestrować się w ramach NIS2?

O: Tak – jeśli zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót powyżej 10 milionów EUR i działa w sektorze objętym dyrektywą (np. infrastruktura cyfrowa, usługi zarządzane ICT). Firmy poniżej tego progu mogą mimo to podlegać obowiązkom kontraktowym jako podwykonawcy podmiotów kluczowych. Weryfikacja statusu powinna być pierwszym krokiem – przed analizą obowiązków merytorycznych. Rejestracja u właściwego CSIRT powinna nastąpić niezwłocznie po wejściu w życie polskiej ustawy implementacyjnej.

P: Czy NIS2 i RODO to te same obowiązki – czy trzeba wdrażać oba osobno?

O: To powszechne nieporozumienie. NIS2 i Rozporządzenie UE 2016/679 (RODO) to odrębne reżimy prawne z odrębnymi organami nadzoru. NIS2 nadzoruje CERT Polska i organy sektorowe, RODO – PUODO. Wymagania techniczne częściowo się pokrywają (szyfrowanie, zarządzanie dostępem, procedury incydentowe), co pozwala na synergię wdrożeniową. Jednak obowiązki raportowania incydentów różnią się: naruszenie ochrony danych osobowych zgłasza się do PUODO w ciągu 72 godzin, incydent NIS2 – do CSIRT w ciągu 24 godzin (wstępne powiadomienie). Zalecamy jedno zintegrowane podejście do dokumentacji, ale dwa odrębne procesy raportowania.

P: Ile kosztuje wdrożenie NIS2 i jak długo trwa?

O: Koszt zależy od wielkości organizacji, stopnia dojrzałości istniejących systemów bezpieczeństwa i liczby dostawców wymagających renegocjacji umów. Dla średniego przedsiębiorstwa z sektora IT typowy projekt wdrożeniowy trwa od 3 do 6 miesięcy i obejmuje audyt luk, opracowanie dokumentacji, szkolenie zarządu i aktualizację kontraktów. Firmy z zaległościami w dokumentacji RODO powinny liczyć się z dłuższym harmonogramem. Brak wdrożenia jest droższy – kara administracyjna dla podmiotu kluczowego może sięgnąć 10 milionów EUR lub 2% globalnego obrotu, w zależności od tego, która kwota jest wyższa.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do cyberbezpieczeństwa, ochrony danych i regulacji technologicznych, w tym NIS2, AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI. Doradza firmom technologicznym przy wdrożeniach NIS2, AI Act i DORA, a także przy ochronie IP na rynkach polskim i europejskim.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.