menuMENU

Dyrektywa NIS 2 - najważniejsze informacje

Dodany: 18.02.2026 10:03:52
514 wyświetleń

Dyrektywa NIS 2 (dyrektywa (UE) 2022/2555) została przyjęta w grudniu 2022 r. i weszła w życie 16 stycznia 2023 r. Zastąpiła pierwszą dyrektywę NIS z 2016 r. i ustanawia jednolite przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych w Unii Europejskiej. Celem dyrektywy jest podniesienie poziomu cyberbezpieczeństwa w całej UE poprzez rozszerzenie zakresu sektorowego, wprowadzenie jednolitych wymogów i ujednolicenie sankcji. Dyrektywa zobowiązuje państwa członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa oraz do wyznaczenia zespołów reagowania CSIRT i organów właściwych. Ma także wspierać współpracę i wymianę informacji poprzez sieć CSIRT i mechanizmy EU‑CyCLONe.

Termin wejścia w życie i transpozycja

  • Wejście w życie dyrektywy UE. Dyrektywa weszła w życie 16 stycznia 2023 r. i formalnie obowiązuje w porządku prawnym UE. Państwa członkowskie miały 21 miesięcy na jej implementację.
  • Transpozycja do prawa krajowego. Państwa członkowskie musiały transponować przepisy do prawa krajowego do 17 października 2024 r.; NIS1 została uchylona od 18 października 2024 r.. W wielu krajach prace wdrożeniowe się opóźniły.
  • Polska. Polska nie zdążyła z transpozycją do października 2024 r. Rządowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa został przyjęty 21 października 2025 r. i skierowany do Sejmu 17 listopada 2025 r. . Projekt zakłada miesięczne vacatio legis; po wejściu ustawy w życie podmioty będą miały 3 miesiące na zgłoszenie się do wykazu oraz 6 miesięcy na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI).

Podmioty objęte dyrektywą

Kategoria podmiotów

Dyrektywa wyróżnia dwie kategorie podmiotów, które muszą spełnić wymagania NIS 2:

Kategoria Główne sektory Próg wielkości Uwagi
Podmioty kluczowe (essential entities) sektor energii, transportu, bankowości i infrastruktury rynków finansowych, zdrowia, wody pitnej, infrastruktury cyfrowej, zarządzania usługami ICT, administracji publicznej, sektor kosmiczny; dodatkowo: zbiorowe odprowadzanie ścieków ≥ 250 pracowników
lub ≥ 50 mln € obrotu		 Surowszy nadzór.
Możliwość kontroli oraz wydawania wiążących poleceń.
Podmioty ważne (important entities) usługi pocztowe i kurierskie, gospodarka odpadami, chemikalia, żywność, działalność badawcza, wyroby medyczne, sprzęt elektroniczny, maszyny, pojazdy, platformy internetowe, wyszukiwarki, wybrane podmioty publiczne ≥ 50 pracowników
lub ≥ 10 mln € obrotu		 Nadzór reaktywny – kontrola po zgłoszeniu incydentu lub podejrzeniu naruszenia.

Uwaga: niektóre dostawcy usług kluczowych (np. publiczne sieci łączności, rejestr domen, zaufane usługi czy operatorzy DNS) podlegają obowiązkom NIS 2 niezależnie od wielkości firmy

Co trzeba zrobić – obowiązki podmiotów

Dyrektywa nakłada na podmioty kluczowe i ważne obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) i stosowania środków zarządzania ryzykiem. Przewiduje szczegółowy katalog wymagań, zwłaszcza w art. 21 dyrektywy oraz w projekcie polskiej ustawy. Najważniejsze obowiązki obejmują:

  1. Analiza ryzyka i polityki bezpieczeństwa – organizacja musi prowadzić systematyczną identyfikację, ocenę i ograniczanie ryzyk, opracować i aktualizować polityki bezpieczeństwa i procedury zarządzania.
  2. Procedury obsługi incydentów – konieczne jest przygotowanie procedur wykrywania, klasyfikacji i reakcji na incydenty, określenie ról i odpowiedzialności oraz utrzymanie ścieżki eskalacji.
  3. Ciągłość działania i zarządzanie kryzysowe – należy opracować i testować plany ciągłości działania i odzyskiwania po awarii (BCP/DRP) z określonymi RTO/RPO.
  4. Zarządzanie łańcuchem dostaw – obowiązek oceny i monitorowania bezpieczeństwa dostawców oraz usługodawców, w tym szyfrowania danych oraz testów podatności u dostawców.
  5. Bezpieczeństwo sieci i systemów w cyklu życia – integracja wymogów bezpieczeństwa w procesie projektowania, rozwoju, eksploatacji i utrzymania systemów, regularne patchowanie i testowanie.
  6. Ocena skuteczności środków – organizacja musi mierzyć i monitorować skuteczność wdrożonych środków (audyt, testy penetracyjne, audyty zgodności).
  7. Szkolenia i świadomość – zapewnienie obowiązkowych szkoleń z cyberbezpieczeństwa dla pracowników i kadry kierowniczej.
  8. Szyfrowanie i kryptografia – stosowanie zaawansowanych technik kryptograficznych, DLP i szyfrowania danych w spoczynku i w tranzycie.
  9. Polityki kontroli dostępu – wdrożenie systemów zarządzania tożsamością i uprawnieniami opartego na zasadzie najmniejszych uprawnień (RBAC) oraz wieloskładnikowej autentykacji.
  10. Bezpieczna komunikacja i monitorowanie sesji – stosowanie protokołów TLS/VPN oraz ciągłe monitorowanie aktywności użytkowników.

Obowiązki raportowania incydentów

Dyrektywa przewiduje trójstopniowe raportowanie incydentów:

  • Wczesne ostrzeżenie: podmiot kluczowy lub ważny musi przekazać zgłoszenie do właściwego CSIRT niezwłocznie, najpóźniej w ciągu 24 godzin od wykrycia incydentu.
  • Zgłoszenie incydentu: należy przesłać kompleksowy raport do CSIRT w ciągu 72 godzin od wykrycia incydentu.
  • Raport końcowy: finalne sprawozdanie ze szczegółami incydentu i działań naprawczych trzeba złożyć w ciągu jednego miesiąca.

Odpowiedzialność zarządu

Dyrektywa wprowadza odpowiedzialność kadry kierowniczej za zapewnienie zgodności z wymogami. Organy zarządzające muszą zatwierdzić środki zarządzania ryzykiem, nadzorować ich wdrożenie i podnosić swoje kompetencje w zakresie cyberbezpieczeństwa. Naruszenia mogą skutkować osobistymi konsekwencjami, w tym zakazem pełnienia funkcji zarządczych.

Konsekwencje braku zgodności

Dyrektywa przewiduje harmonizację sankcji we wszystkich państwach członkowskich. Sankcje obejmują:

  • Kary finansowe – dla podmiotów kluczowych do 10 mln € lub 2 % globalnego rocznego obrotu, zależnie od tego, która kwota jest wyższa; dla podmiotów ważnych do 7 mln € lub 1,4 % globalnego obrotu.
  • Środki administracyjne – organy nadzorcze mogą wydawać wiążące polecenia, nakazy naprawcze, przeprowadzać audyty i inspekcje oraz nakładać zobowiązania dotyczące dostosowania procesów.
  • Odpowiedzialność kadry kierowniczej – zarządzający mogą zostać zawieszeni lub zdyskwalifikowani z pełnienia funkcji kierowniczych w przypadku rażących naruszeń.
  • Inne skutki – poważne naruszenia mogą skutkować nakazem informowania odbiorców usługi o incydencie, tymczasowym wstrzymaniem świadczenia usługi lub odpowiedzialnością cywilnoprawną.

Stan wdrożenia w Polsce i praktyczne wskazówki

Polski projekt ustawy wdrażającej NIS 2 zakłada m.in.:

  • Krótki okres dostosowawczy – po publikacji ustawy w Dzienniku Ustaw przewidziano miesięczne vacatio legis. Podmioty będą miały 3 miesiące na zarejestrowanie się w wykazie oraz 6 miesięcy na wdrożenie SZBI.
  • Mechanizm samoidentyfikacji – podmioty mają same zgłaszać się do wykazu podmiotów kluczowych i ważnych, zamiast wyznaczania ich przez administrację.
  • Rozszerzenie sektorów – projekt polskiej ustawy powiększa liczbę sektorów objętych regulacją z 6 do 14.
  • System zarządzania bezpieczeństwem informacji – SZBI musi obejmować szacowanie ryzyka, polityki bezpieczeństwa, planowanie ciągłości działania, bezpieczeństwo łańcucha dostaw, procedury oceny skuteczności, praktyki kryptograficzne oraz obsługę incydentów.
  • Obowiązki raportowania – polski projekt ustawy powtarza unijny harmonogram 24 h/72 h/1 miesiąc w odniesieniu do zgłoszeń incydentów.

Rekomendacje dla przedsiębiorców

  • Samoocena – przeanalizować, czy przedsiębiorstwo kwalifikuje się jako podmiot kluczowy lub ważny (sektor i wielkość).
  • Rejestracja i monitorowanie prac legislacyjnych – śledzić postęp ustawy o krajowym systemie cyberbezpieczeństwa i przygotować się do rejestracji w wykazie.
  • Audyt cyberbezpieczeństwa – ocenić obecną infrastrukturę, polityki i procedury, zidentyfikować luki oraz opracować plan wdrożenia SZBI.
  • Szkolenia zarządu i pracowników – budować kulturę bezpieczeństwa, szkolić kadrę zarządzającą z wymogów NIS 2 oraz wdrażać programy podnoszące świadomość.
  • Współpraca z CSIRT – nawiązać kontakty z krajowym lub sektorowym zespołem CSIRT, aby uzyskać wsparcie przy raportowaniu incydentów i dzieleniu się informacjami.

Podsumowanie

Dyrektywa NIS 2 wprowadza znacznie szersze i bardziej rygorystyczne wymagania w zakresie cyberbezpieczeństwa niż jej poprzedniczka. Obejmuje więcej sektorów, wprowadza jednolite kary finansowe, wymusza zarządzanie ryzykiem na szczeblu kierowniczym i ustanawia precyzyjne procedury raportowania incydentów. Choć termin transpozycji upłynął w październiku 2024 r., w wielu państwach – w tym w Polsce – proces legislacyjny trwa, a podmioty muszą przygotować się na stosunkowo krótki czas na dostosowanie się po wejściu w życie przepisów. Systematyczne przygotowania, analizy ryzyka i budowa kultury bezpieczeństwa są kluczowe, aby sprostać wymaganiom NIS 2 i uniknąć dotkliwych sankcji.

Inne z kategorii Blog
Więcej w Blog

Masz pytania?

Skontaktuj się ze mną.

przemek szczyglowski avatar Przemysław Szczygłowski Inspektor Ochrony Danych

  664-996-994
        (nie odbieram? wyślij mi SMS lub e-mail)
  przemek@rodops.pl

  Pon-Pt: 800 - 1800 
       (nagły przypadek? dzwoń poza godzinami pracy)

Napisz przez formularz

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.
Wszystkie prawa zastrzeżone.
Tworzenie stron WWW by Doneta
Zamów rozmowę
Skontaktuj się z nami

Nasze biuro jest teraz zamknięte. Zostaw niżej swój numer telefonu, a oddzwonimy tak szybko jak to możliwe.

Jesteś 20 osobą, która uzupełniła dziś ten formularz.
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.