Firma energetyczna z Mazowsza dostaje wezwanie od organu nadzoru. Pytanie jest jedno: gdzie jest Państwa polityka bezpieczeństwa sieci i systemów informatycznych? Brak odpowiedzi oznacza nie tyle mandat, co realne ryzyko zawieszenia działalności. NIS2 to nie kolejna unijna dyrektywa do zignorowania – to zmiana architektury odpowiedzialności za cyberbezpieczeństwo w całej organizacji.
Dyrektywa NIS2 (2022/2555) zobowiązuje podmioty kluczowe do wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa, zgłaszania incydentów oraz zapewnienia odpowiedzialności organów zarządzających. Termin transpozycji do prawa polskiego upłynął 17 października 2024 roku. Kary za naruszenia sięgają 10 000 000 EUR lub 2% globalnego obrotu rocznego – w zależności od tego, która kwota jest wyższa.
Poniższy przewodnik omawia, kogo obejmuje NIS2 w Polsce, jakie obowiązki ciążą na podmiotach kluczowych, gdzie firmy popełniają najkosztowniejsze błędy i jak przygotować się do kontroli. Treść jest przeznaczona dla działów prawnych, compliance i zarządów – nie dla teoretyków.
Kogo obejmuje NIS2 i jak Polska wdraża dyrektywę?
Dyrektywa NIS2 dzieli podmioty na dwie kategorie: kluczowe i ważne. Podmioty kluczowe to te, których zakłócenie działania wywołałoby poważne skutki dla bezpieczeństwa publicznego, gospodarki lub infrastruktury krytycznej. Należą do nich m.in. operatorzy energetyczni, wodociągowi, transportowi, dostawcy usług cyfrowych oraz sektor bankowy i ochrony zdrowia. W Polsce za nadzór odpowiada przede wszystkim CSIRT NASK, CSIRT GOV oraz sektorowe organy właściwe wyznaczone przez ministra właściwego ds. informatyzacji.
Polska miała obowiązek transponować NIS2 do 17 października 2024 roku. Krajowa ustawa o cyberbezpieczeństwie (KSC) jest nowelizowana – projekt ustawy wdrażającej NIS2 przeszedł kolejne etapy legislacyjne w 2024 i 2025 roku. Do czasu wejścia w życie nowelizacji KSC podmioty stosują przepisy przejściowe, ale obowiązki wynikające z dyrektywy są już egzekwowalne przez organy nadzoru na podstawie bezpośredniego skutku unijnego. W praktyce – wiele firm o tym zapomina – brak krajowej ustawy nie zwalnia z obowiązku dostosowania się.
Próg kwalifikacji do kategorii podmiotów kluczowych zależy od sektora i rozmiaru. Co do zasady: organizacje zatrudniające powyżej 250 pracowników lub generujące powyżej 50 mln EUR przychodu są automatycznie objęte reżimem podmiotów kluczowych. Mniejsze podmioty mogą zostać zakwalifikowane decyzją organu nadzoru, jeśli ich rola w ekosystemie jest istotna. Warto skonfrontować strukturę grupy kapitałowej z listą sektorów załącznika I do dyrektywy – zanim zrobi to organ.
Regulacja krzyżuje się z innymi reżimami unijnymi. DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku i pokrywa sektor finansowy – banki, ubezpieczycieli, firmy inwestycyjne nadzorowane przez KNF. Podmioty finansowe stosują DORA jako lex specialis wobec NIS2. Podobnie AI Act (Rozporządzenie UE 2024/1689) nakłada wymogi bezpieczeństwa na systemy sztucznej inteligencji wysokiego ryzyka, co wpływa na ocenę ryzyka ICT w kontekście NIS2. RODO (Rozporządzenie UE 2016/679) i nadzór UODO pozostają równolegle stosowane – incydent cyberbezpieczeństwa bardzo często jest jednocześnie naruszeniem ochrony danych.
Jakie obowiązki ciążą na podmiotach kluczowych po wdrożeniu NIS2?
Podmiot kluczowy ma cztery filary obowiązków: zarządzanie ryzykiem, środki techniczne i organizacyjne, zgłaszanie incydentów oraz odpowiedzialność organów zarządzających. Każdy filar ma konkretne terminy i wymogi formalne. Brak wdrożenia choćby jednego z nich wystarczy do wszczęcia postępowania przez organ nadzoru.
Zarządzanie ryzykiem oznacza przeprowadzenie formalnej analizy ryzyka cyberbezpieczeństwa i aktualizowanie jej co najmniej raz w roku. Analiza musi obejmować łańcuch dostaw – dostawców sprzętu, oprogramowania i usług chmurowych. To właśnie ten wymóg zaskoczy firmy, które do tej pory prowadziły audyty wyłącznie wewnętrzne. Podmiot kluczowy odpowiada nie tylko za siebie, ale i za podatności swoich dostawców.
Środki techniczne obejmują m.in.:
- polityki bezpieczeństwa systemów informatycznych i sieci,
- procedury zarządzania incydentami (wykrywanie, reagowanie, odtwarzanie),
- ciągłość działania i zarządzanie kryzysowe (backup, disaster recovery),
- szyfrowanie danych i uwierzytelnianie wieloskładnikowe (MFA),
- bezpieczeństwo łańcucha dostaw i umów z dostawcami ICT.
Zgłaszanie incydentów przebiega w trzech etapach. Wczesne ostrzeżenie trafia do właściwego CSIRT w ciągu 24 godzin od wykrycia incydentu. Zgłoszenie właściwe – w ciągu 72 godzin. Raport końcowy – w ciągu miesiąca od zgłoszenia właściwego. Terminy są restrykcyjne. Firma produkcyjna z Wielkopolski, która odkryła atak ransomware w sierpniu 2024 r., straciła prawie cały termin 24-godzinny, zanim wewnętrzny dział IT zdecydował się eskalować sprawę do zarządu – to klasyczny błąd proceduralny.
Odpowiedzialność organów zarządzających to novum, które wyróżnia NIS2 na tle poprzedniej dyrektywy. Członkowie zarządu mogą być osobiście pociągnięci do odpowiedzialności za zatwierdzenie środków zarządzania ryzykiem. Dyrektywa wymaga, by zarząd regularnie uczestniczył w szkoleniach z cyberbezpieczeństwa i aktywnie nadzorował wdrożenie. Nie wystarczy delegować temat do działu IT.
Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie wewnętrznego komitetu ds. cyberbezpieczeństwa z udziałem członka zarządu jako sponsora. Taka struktura dokumentuje zaangażowanie organu zarządzającego i stanowi dowód w ewentualnym postępowaniu nadzorczym.
Aby otrzymać ocenę gotowości Państwa organizacji na wymogi NIS2, napisz do info@kordeckipartners.com.
Konkretna sytuacja Państwa firmy wymaga indywidualnej analizy – szczególnie gdy działacie w kilku sektorach jednocześnie lub korzystacie z dostawców spoza UE. Brak udokumentowanej analizy ryzyka łańcucha dostaw jest najczęstszą przyczyną wszczęcia postępowania przez organ nadzoru, a konsekwencje są nieodwracalne.
Jeśli Państwa spółka spełnia progi kwalifikacji jako podmiot kluczowy – przeprowadzimy gap analysis, opracujemy polityki bezpieczeństwa i przygotujemy dokumentację dla organu nadzoru: info@kordeckipartners.com.
Gdzie firmy popełniają najkosztowniejsze błędy przy wdrożeniu NIS2?
Pierwsze i najczęstsze nieporozumienie: traktowanie NIS2 jak projektu IT. Dyrektywa jest aktem prawnym regulującym odpowiedzialność organizacyjną i zarządczą – nie tylko wymagania techniczne. Firmy, które zlecają wdrożenie wyłącznie działowi IT bez udziału prawników i compliance, produkują dokumentację, która nie przejdzie kontroli organu nadzoru.
Drugie błędne założenie dotyczy zakresu podmiotowego. Wiele grup kapitałowych zakłada, że skoro spółka matka jest podmiotem kluczowym, spółki zależne są automatycznie objęte jej politykami. To nieprawda. Każda jednostka prawna jest oceniana osobno. Spółka córka działająca w sektorze energetycznym, zatrudniająca 300 pracowników, musi mieć własną dokumentację NIS2 – niezależnie od grupy.
Trzeci błąd to niedoszacowanie wymagań wobec dostawców. Umowy z dostawcami ICT – chmurowymi, outsourcingowymi, software house'ami – muszą zawierać klauzule cyberbezpieczeństwa zgodne z NIS2. Podmioty kluczowe są odpowiedzialne za weryfikację, czy dostawcy spełniają minimalne wymagania. W praktyce większość umów zawartych przed 2024 rokiem takich klauzul nie zawiera. Przy okazji – redakcja klauzul umownych dla polskich umów to obszar, w którym błędy kosztują wielokrotnie więcej niż prewencyjna rewizja kontraktów.
Czwarty błąd: brak rejestru incydentów. Organ nadzoru może zażądać historii incydentów za ostatnie 3 lata. Firmy, które nie prowadziły systematycznej ewidencji, nie są w stanie wykazać, że reagowały prawidłowo na wcześniejsze zdarzenia. To nie tylko problem formalny – brak rejestru uniemożliwia obronę w postępowaniu.
Piąty błąd – pominięcie wymagań dotyczących ciągłości działania. NIS2 wymaga planów business continuity i disaster recovery, które są regularnie testowane. Plan leżący w szufladzie, nigdy niesprawdzony, nie spełnia wymogu dyrektywy. Spółka logistyczna z Dolnego Śląska wiosną 2025 r. przekonała się o tym, gdy organ nadzoru zakwestionował plany BCP jako nieaktualne po przejęciu nowego systemu ERP.
Jak wygląda wdrożenie NIS2 krok po kroku?
Wdrożenie NIS2 dla podmiotu kluczowego składa się z sześciu etapów. Całość – przy sprawnej organizacji – zajmuje od 3 do 6 miesięcy. Rozciąganie procesu powyżej roku to ryzyko, że organ nadzoru wyprzedzi organizację.
Etap pierwszy: klasyfikacja i ocena wstępna. Ustal, czy organizacja spełnia progi podmiotów kluczowych lub ważnych. Sprawdź, czy sektor działalności figuruje w załączniku I lub II do dyrektywy NIS2. Zidentyfikuj wszystkie jednostki prawne w grupie.
Etap drugi: gap analysis. Porównaj aktualny stan bezpieczeństwa z wymaganiami art. 21 dyrektywy NIS2. Gap analysis powinna obejmować dokumentację, procesy, technologię i umowy z dostawcami. Wynik to lista luk z priorytetyzacją według ryzyka.
Etap trzeci: opracowanie polityk i procedur. Przygotuj lub zaktualizuj politykę bezpieczeństwa informacji, procedury zarządzania incydentami, politykę zarządzania dostawcami oraz plan ciągłości działania. Dokumenty muszą być zatwierdzone przez zarząd.
Etap czwarty: wdrożenie środków technicznych. Wdróż MFA, szyfrowanie, systemy monitorowania (SIEM/SOC), segmentację sieci i zarządzanie podatnościami. Zintegruj narzędzia z procedurą zgłaszania incydentów.
Etap piąty: szkolenia zarządu i pracowników. NIS2 wymaga regularnych szkoleń dla organów zarządzających. Szkolenie musi być udokumentowane – data, zakres, lista uczestników.
Etap szósty: rejestracja i zgłoszenie do organu nadzoru. Podmioty kluczowe mają obowiązek zgłoszenia do właściwego organu nadzoru. Termin zgłoszenia to 3 miesiące od spełnienia progów kwalifikacji lub od wejścia w życie przepisów krajowych. Brak rejestracji jest samoistnym naruszeniem.
Co przygotować przed pierwszą kontrolą organu nadzoru:
- zatwierdzona przez zarząd polityka bezpieczeństwa sieci i systemów informacyjnych,
- dokumentacja analizy ryzyka (w tym łańcuch dostaw) z datą ostatniej aktualizacji,
- rejestr incydentów i dowody zgłoszeń do CSIRT,
- umowy z dostawcami ICT zawierające klauzule cyberbezpieczeństwa,
- dokumentacja szkoleń zarządu i kluczowych pracowników.
Jak NIS2 krzyżuje się z RODO, AI Act i DORA w polskich realiach?
Podmioty kluczowe działające w Polsce operują w środowisku czterech równoległych reżimów regulacyjnych. Zrozumienie ich wzajemnych relacji pozwala uniknąć duplikacji pracy i luk w compliance. Regulacja wyprzedza rynek – ale inteligentne wdrożenie pozwala obsłużyć kilka reżimów jedną architekturą dokumentacyjną.
RODO i NIS2 mają wspólny mianownik: incydent cyberbezpieczeństwa, który prowadzi do naruszenia poufności danych osobowych, uruchamia równolegle dwa obowiązki zgłoszeniowe. Do CSIRT – w ciągu 24 godzin. Do UODO – w ciągu 72 godzin od stwierdzenia naruszenia ochrony danych. Procedury można zintegrować w jednym procesie wewnętrznym, ale muszą trafiać do dwóch różnych organów. Firma, która zgłosi incydent tylko do CSIRT, narusza RODO. I odwrotnie.
DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku. Dla podmiotów finansowych nadzorowanych przez KNF – banków, firm inwestycyjnych, ubezpieczycieli – DORA jest lex specialis. Oznacza to, że spełnienie wymogów DORA co do zasady zaspokaja wymagania NIS2 w zakresie zarządzania ryzykiem ICT. Jednak DORA nie zwalnia z obowiązków rejestracyjnych i zgłoszeniowych wynikających z krajowej implementacji NIS2. Podmioty finansowe muszą więc prowadzić podwójną dokumentację.
AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 roku. Systemy AI wysokiego ryzyka – w tym te używane do zarządzania infrastrukturą krytyczną – muszą spełniać wymogi bezpieczeństwa i niezawodności zgodne z AI Act. W kontekście NIS2 oznacza to, że ocena ryzyka cyberbezpieczeństwa musi uwzględniać ryzyka specyficzne dla systemów AI. Podmiot kluczowy korzystający z AI do zarządzania siecią energetyczną lub wodociągową ma dodatkową warstwę obowiązków.
Obszar prawa własności intelektualnej i ochrony danych – w tym znak towarowy i inne aktywa niematerialne – też wchodzi w zakres oceny ryzyka, gdy dotyczy systemów przechowujących własność intelektualną lub dane handlowe. Praktyka IP/Tech w Polsce łączy doradztwo z zakresu prawa IT i cyberbezpieczeństwa z ochroną aktywów niematerialnych – co jest szczególnie istotne dla podmiotów z sektora technologicznego.
Uważamy, że firmy, które podejdą do NIS2, RODO i AI Act jako do jednego programu compliance, a nie trzech osobnych projektów, zaoszczędzą od 30% do 50% nakładu pracy. Wspólna architektura dokumentacyjna, jeden rejestr ryzyk i zintegrowana procedura zarządzania incydentami – to fundament efektywnego wdrożenia.
Konkretna sytuacja Państwa firmy wymaga oceny, które reżimy nakładają się w Państwa sektorze i jak zintegrować ich wymagania bez zbędnej duplikacji. Ryzyko nieodwracalnych konsekwencji finansowych i reputacyjnych rośnie proporcjonalnie do liczby reżimów, w których działacie bez spójnej architektury compliance.
Jeśli Państwa spółka działa jako podmiot kluczowy w sektorach objętych jednocześnie NIS2, DORA lub AI Act – przeprowadzimy mapowanie obowiązków regulacyjnych, opracujemy zintegrowaną architekturę dokumentacyjną i przygotujemy Państwa zarząd do odpowiedzialności osobistej wynikającej z dyrektywy: info@kordeckipartners.com.
Często zadawane pytania
P: Czy spółka zależna polskiej grupy kapitałowej musi osobno wdrożyć NIS2, skoro spółka matka już to zrobiła?
O: Tak. Każda jednostka prawna jest oceniana oddzielnie przez organ nadzoru. Spółka zależna działająca w sektorze kluczowym i spełniająca progi wielkościowe (powyżej 250 pracowników lub powyżej 50 mln EUR przychodu) musi posiadać własną dokumentację, polityki bezpieczeństwa i procedury zgłaszania incydentów. Polityki grupy mogą stanowić punkt wyjścia, ale muszą być formalnie przyjęte przez organy zarządzające spółki zależnej i dostosowane do jej specyfiki operacyjnej.
P: Ile kosztuje i jak długo trwa wdrożenie NIS2 dla podmiotu kluczowego?
O: Czas wdrożenia dla średniej wielkości podmiotu kluczowego wynosi od 3 do 6 miesięcy przy sprawnej organizacji. Koszty zależą od punktu startowego: firmy posiadające dojrzałe systemy zarządzania bezpieczeństwem informacji (ISO 27001) mogą ograniczyć nakład pracy o połowę. Firmy bez żadnej dokumentacji cyberbezpieczeństwa muszą liczyć się z pełnym programem wdrożeniowym. Koszt zewnętrznego wsparcia prawnego i doradczego waha się od kilkudziesięciu do kilkuset tysięcy złotych – w zależności od złożoności struktury i liczby sektorów regulowanych.
P: Czy brak krajowej ustawy wdrażającej NIS2 zwalnia z obowiązków wynikających z dyrektywy?
O: Nie. Termin transpozycji dyrektywy NIS2 upłynął 17 października 2024 roku. Opóźnienie w uchwaleniu krajowej ustawy nie zwalnia podmiotów z obowiązków wynikających z dyrektywy – organy nadzoru mogą egzekwować jej wymagania na podstawie bezpośredniego skutku prawa unijnego. Ponadto obecna ustawa o krajowym systemie cyberbezpieczeństwa pozostaje w mocy i nakłada własne obowiązki na operatorów usług kluczowych. Oczekiwanie na uchwalenie nowelizacji jest strategią wysokiego ryzyka.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń NIS2, DORA, AI Act i RODO dla podmiotów kluczowych i ważnych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.