Firma energetyczna z Mazowsza otrzymuje pismo od organu nadzoru z pytaniem o dokumentację zarządzania ryzykiem ICT. Termin odpowiedzi – 14 dni. Dokumentacji nie ma. To nie jest scenariusz teoretyczny – to sytuacja, z którą podmioty kluczowe w Polsce mierzą się od wejścia w życie dyrektywy NIS2.
Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555) nakłada na podmioty kluczowe i ważne obowiązek wdrożenia kompleksowych środków zarządzania ryzykiem cyberbezpieczeństwa. Termin transpozycji do prawa polskiego upłynął 17 października 2024 roku. Kary dla podmiotów kluczowych mogą sięgać 10 000 000 EUR lub 2% globalnego obrotu rocznego – w zależności od tego, która kwota jest wyższa.
Ten przewodnik wyjaśnia, kto jest podmiotem kluczowym w rozumieniu NIS2, jakie obowiązki ciążą na organizacji, gdzie pojawiają się najczęstsze pułapki przy wdrożeniu w Polsce, oraz co zrobić w sytuacji transgranicznej. Znajdziesz tu też checklistę gotowości i odpowiedzi na pytania, które zadają klienci w pierwszej rozmowie z prawnikiem.
Kto jest podmiotem kluczowym według NIS2 – jak sprawdzić, czy Twoja spółka podlega dyrektywie?
Zakwalifikowanie do kategorii podmiotu kluczowego nie jest oczywiste. NIS2 obejmuje podmioty działające w 11 sektorach kluczowych – m.in. energetyce, transporcie, bankowości, infrastrukturze rynków finansowych, ochronie zdrowia, zaopatrzeniu w wodę pitną, infrastrukturze cyfrowej i administracji publicznej. Próg wielkości to co do zasady co najmniej 250 pracowników lub roczny obrót powyżej 50 mln EUR. Jednak dyrektywa przewiduje wyjątki – nawet mniejszy podmiot może zostać uznany za kluczowy ze względu na jego rolę systemową.
Organ właściwy w Polsce – w zakresie cyberbezpieczeństwa – to CSIRT NASK, CSIRT GOV oraz minister właściwy ds. cyfryzacji. Ostateczna lista podmiotów kluczowych i ważnych powstaje w wyniku procesu identyfikacji, który prowadzą organy sektorowe. W praktyce wiele spółek nie czeka na oficjalne powiadomienie, bo odpowiedzialność za brak wdrożenia powstaje z chwilą spełnienia kryteriów ustawowych – nie z chwilą wpisania na listę.
Warto spojrzeć na to przez pryzmat regulacji pokrewnych. DORA – Rozporządzenie UE 2022/2554 – obowiązujące od 17 stycznia 2025 r. – obejmuje podmioty finansowe i ich dostawców ICT. Część organizacji podlega jednocześnie NIS2 i DORA. W takim przypadku przepisy DORA mają pierwszeństwo w obszarze zarządzania ryzykiem ICT dla sektora finansowego, ale NIS2 nadal stosuje się w pozostałym zakresie.
Dla firm z sektora technologicznego istotne jest też rozróżnienie między NIS2 a AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r. Oba akty tworzą nakładające się warstwy obowiązków – szczególnie dla podmiotów wdrażających systemy sztucznej inteligencji w infrastrukturze krytycznej. Kancelaria IP Warszawa, doradzająca w obszarze regulacji technologicznych, wskazuje, że błędem jest traktowanie tych aktów jako alternatywnych.
Jakie obowiązki nakłada NIS2 na podmioty kluczowe w Polsce?
Podmiot kluczowy musi wdrożyć środki zarządzania ryzykiem cyberbezpieczeństwa w czterech głównych obszarach: polityki bezpieczeństwa systemów informacyjnych, zarządzania incydentami, ciągłości działania oraz bezpieczeństwa łańcucha dostaw. Każdy z tych obszarów wymaga udokumentowanych procedur – nie wystarczy wdrożenie techniczne bez warstwy prawnej i organizacyjnej.
Zarządzanie incydentami to element, który generuje największe ryzyko dla podmiotów nieprzygotowanych. NIS2 wymaga zgłaszania poważnych incydentów do właściwego CSIRT w ciągu 24 godzin od wykrycia (wstępne ostrzeżenie) oraz pełnego zgłoszenia w ciągu 72 godzin. Brak zgłoszenia lub jego opóźnienie stanowi samodzielną podstawę nałożenia kary – niezależnie od tego, czy incydent wyrządził realną szkodę.
Bezpieczeństwo łańcucha dostaw to obszar, który w Polsce jest najczęściej pomijany na etapie wdrożenia. Dyrektywa wymaga, by podmiot kluczowy oceniał praktyki bezpieczeństwa swoich bezpośrednich dostawców i usługodawców. W praktyce oznacza to konieczność wprowadzenia klauzul bezpieczeństwa do umów z podwykonawcami, przeprowadzenia audytów dostawców ICT oraz stworzenia rejestru zależności technologicznych. W pewnym sensie NIS2 "przenosi" obowiązki compliance na całą sieć kooperantów.
Odpowiedzialność osobista zarządu to element, który w Polsce budzi największe emocje. Dyrektywa NIS2 wprost przewiduje, że organy zarządzające podmiotów kluczowych mogą ponosić osobistą odpowiedzialność za naruszenia obowiązków cyberbezpieczeństwa. To nieodwracalna konsekwencja braku wdrożenia – nawet jeśli spółka zapłaci karę, organ nadzoru może nałożyć zakaz pełnienia funkcji zarządczych. Regulacja wyprzedza rynek, a zarządy, które jeszcze nie podjęły działań, działają na własne ryzyko.
Gdzie pojawiają się pułapki przy wdrożeniu NIS2 w Polsce?
Pierwsze wdrożenia NIS2 w Polsce ujawniły kilka powtarzających się błędów. Najczęstszy to traktowanie NIS2 jako projektu IT, a nie projektu prawno-organizacyjnego. Wdrożenie systemu SIEM (Security Information and Event Management) bez odpowiednich procedur prawnych, polityki bezpieczeństwa i rejestru incydentów nie spełnia wymagań dyrektywy. Organ nadzoru ocenia dokumentację – nie tylko infrastrukturę techniczną.
Drugi błąd to ignorowanie obowiązku szkolenia kadry zarządzającej. NIS2 wymaga, by organy zarządzające regularnie uczestniczyły w szkoleniach z zakresu cyberbezpieczeństwa. Brak dokumentacji takich szkoleń to jeden z pierwszych punktów kontroli podczas inspekcji. Spółka z branży transportowej z Wielkopolski odkryła to w marcu 2025 r. – podczas audytu stwierdzono, że ostatnie szkolenie zarządu odbyło się trzy lata przed wejściem w życie dyrektywy.
Trzecia pułapka dotyczy RODO (Rozporządzenie UE 2016/679) i jego relacji do NIS2. Wiele podmiotów zakłada, że posiadanie polityki RODO i procedur ochrony danych osobowych automatycznie spełnia wymagania NIS2 w zakresie bezpieczeństwa danych. To błąd – NIS2 ma szerszy zakres i obejmuje bezpieczeństwo sieci i systemów informacyjnych niezależnie od tego, czy przetwarzają dane osobowe. PUODO i organy nadzoru NIS2 to różne instytucje z różnymi kompetencjami.
Czwarty problem to brak rejestru aktywów. Bez inwentaryzacji systemów ICT nie można przeprowadzić rzetelnej analizy ryzyka. W praktyce – wiele firm o tym zapomina – rejestr aktywów jest punktem wyjścia dla całego programu compliance NIS2, a jego brak blokuje wszystkie kolejne etapy wdrożenia. Koszty naprawcze rosną wykładniczo, gdy zaczyna się od końca.
Jak NIS2 działa w kontekście transgranicznym – co powinien wiedzieć zagraniczny inwestor wchodzący na rynek polski?
Dla zagranicznego inwestora wchodzącego na rynek polski NIS2 tworzy dodatkową warstwę obowiązków regulacyjnych. Podmiot kluczowy z siedzibą w Polsce podlega polskim organom nadzoru – nawet jeśli należy do grupy kapitałowej z centralą w Niemczech czy Francji. Zasada jurysdykcji państwa siedziby oznacza, że polska spółka zależna musi samodzielnie zapewnić zgodność z NIS2 – nie może "odziedziczyć" certyfikatów ani polityk bezpieczeństwa od spółki matki bez ich dostosowania do polskiego prawa.
Grupy kapitałowe stają przed wyzwaniem koordynacji wdrożeń NIS2 w różnych państwach członkowskich. Dyrektywa jest zharmonizowana na poziomie UE, ale jej transpozycja różni się w szczegółach. Polska ustawa wdrażająca NIS2 – w toku legislacyjnym według stanu na marzec 2026 r. – może wprowadzać wymagania surowsze niż minimum dyrektywy. To ryzyko, które warto uwzględnić w planowaniu compliance grupowego.
Szczególna sytuacja dotyczy podmiotów, które jednocześnie podlegają NIS2 i innym regulacjom unijnym. Instytucje finansowe objęte DORA muszą skoordynować wymogi raportowania incydentów – 24-godzinny termin NIS2 i analogiczne wymogi DORA nie są identyczne. Podobnie, podmioty wdrażające systemy AI wysokiego ryzyka w infrastrukturze krytycznej muszą pogodzić wymogi AI Act z obowiązkami NIS2. Kwestia planowania podatkowego przy restrukturyzacji transgranicznej – choć pozornie odległa – nabiera znaczenia, gdy właśnie ze względu na NIS2 rozważa się zmianę struktury grupy kapitałowej.
Dla podmiotów spoza UE, które świadczą usługi na rzecz podmiotów kluczowych w Polsce, NIS2 tworzy pośrednie obowiązki przez wymagania dotyczące łańcucha dostaw. Dostawca z Ukrainy lub USA może być zobowiązany do spełnienia wymagań bezpieczeństwa narzuconych przez polskiego odbiorcę – pod rygorem rozwiązania umowy. To nowe realia rynkowe, które warto uwzględnić już na etapie negocjacji kontraktów.
Konkretna sytuacja Państwa firmy – szczególnie gdy obejmuje strukturę transgraniczną lub nakładanie się kilku reżimów regulacyjnych – wymaga indywidualnej oceny. Brak wdrożenia NIS2 w podmiocie kluczowym to nieodwracalne ryzyko: kary do 10 mln EUR, osobista odpowiedzialność zarządu i możliwy zakaz pełnienia funkcji zarządczych.
Jeśli Państwa spółka działa w sektorze kluczowym, zatrudnia powyżej 250 pracowników lub pełni rolę systemową w swojej branży – przeprowadzimy audyt gotowości NIS2, opracujemy dokumentację compliance i przygotujemy procedury zgłaszania incydentów: info@kordeckipartners.com.
Checklist gotowości NIS2 – co przygotować przed audytem?
Organ nadzoru podczas inspekcji sięga po konkretne dokumenty. Poniższa lista obejmuje minimum, które podmiot kluczowy powinien mieć gotowe przed jakimkolwiek kontaktem z organem nadzoru – lub przed dobrowolnym audytem wewnętrznym. Brak któregokolwiek z tych elementów to potencjalna podstawa do wszczęcia postępowania.
- Polityka bezpieczeństwa systemów informacyjnych – zatwierdzona przez zarząd, datowana, z harmonogramem przeglądów (co najmniej raz na 12 miesięcy).
- Rejestr aktywów ICT – inwentaryzacja systemów, sieci i usług cyfrowych z klasyfikacją krytyczności.
- Procedura zarządzania incydentami – zawierająca ścieżkę eskalacji, wzory zgłoszeń do CSIRT i terminy (24h / 72h / 30 dni).
- Dokumentacja szkoleń zarządu – listy obecności, programy szkoleń, daty – za ostatnie 24 miesiące.
- Klauzule bezpieczeństwa w umowach z dostawcami ICT – standardowe zapisy dotyczące wymagań NIS2 wobec podwykonawców.
Przygotowanie tej dokumentacji zajmuje od 4 do 12 tygodni – w zależności od wielkości organizacji i stanu wyjściowego. Spółka IT z Trójmiasta, która rozpoczęła projekt compliance w sierpniu 2024 r., zdążyła zamknąć wszystkie elementy przed końcem roku, korzystając z zewnętrznego wsparcia prawnego i technicznego. Odkładanie wdrożenia na "po ustanowieniu polskiej ustawy" to błąd – obowiązki wynikają bezpośrednio z dyrektywy, a ustawa krajowa jedynie doprecyzuje szczegóły.
Wdrożenie NIS2 to też okazja do porządkowania relacji z zagadnieniami pokrewnymi – ochroną danych osobowych (RODO), zarządzaniem znakami towarowymi i aktywami cyfrowymi oraz zgodnością z AI Act w przypadku podmiotów wdrażających rozwiązania AI. Kancelaria IP Warszawa z doświadczeniem w regulacjach technologicznych może połączyć te obszary w jeden spójny program compliance.
Często zadawane pytania
P: Czy polska ustawa wdrażająca NIS2 jest już uchwalona i od kiedy obowiązuje?
O: Według stanu na marzec 2026 roku polska ustawa wdrażająca dyrektywę NIS2 pozostaje w toku legislacyjnym. Termin transpozycji upłynął 17 października 2024 roku. Brak krajowej ustawy nie zwalnia podmiotów kluczowych z obowiązków wynikających bezpośrednio z dyrektywy – organy nadzoru mogą stosować przepisy dyrektywy bezpośrednio lub na podstawie istniejącej ustawy o krajowym systemie cyberbezpieczeństwa. Podmiot kluczowy, który czeka na polską ustawę, naraża się na postępowanie nadzorcze już teraz.
P: Czy podmiot, który wdrożył RODO i ISO 27001, automatycznie spełnia wymagania NIS2?
O: Nie – to powszechne nieporozumienie. RODO (Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) chroni dane osobowe, a ISO 27001 to norma zarządzania bezpieczeństwem informacji. NIS2 ma szerszy zakres: obejmuje bezpieczeństwo sieci i systemów informacyjnych niezależnie od tego, czy przetwarzają dane osobowe. Posiadanie certyfikatu ISO 27001 może być traktowane jako element dowodowy przy ocenie zgodności, ale nie zastępuje formalnego wdrożenia NIS2 – w szczególności w zakresie zgłaszania incydentów, bezpieczeństwa łańcucha dostaw i odpowiedzialności zarządu.
P: Ile kosztuje wdrożenie NIS2 dla średniej wielkości podmiotu kluczowego?
O: Koszty wdrożenia NIS2 dla podmiotu zatrudniającego 250–500 pracowników wahają się zazwyczaj od 80 000 do 300 000 PLN – w zależności od stanu wyjściowego dokumentacji, złożoności infrastruktury ICT i zakresu koniecznych zmian umownych. Koszty prawne stanowią zazwyczaj 20–35% całości. Warto zestawić te kwoty z potencjalną karą do 10 000 000 EUR – ekonomika decyzji jest oczywista. Termin realizacji projektu compliance to 4–12 tygodni dla standardowego wdrożenia.
Konkretna sytuacja Państwa organizacji – zakres sektora, struktura grupy kapitałowej, stan dokumentacji – decyduje o tym, czy wdrożenie jest możliwe w ciągu 6 tygodni, czy wymaga dłuższego projektu. Niepodjęcie działań zamyka drogę do obrony przed organem nadzoru i naraża zarząd na osobistą odpowiedzialność.
Aby otrzymać ocenę gotowości NIS2 Państwa organizacji – napisz do info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji cyberbezpieczeństwa, ochrony danych i prawa technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji w zakresie wdrożeń NIS2, DORA, AI Act i RODO. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.