Kontakt
ro pl hu en

NIS2 – co to jest i jak zabrać się za wdrożenie

|

Dyrektywa NIS2 stała się elementem polskiego prawa. Nakłada na firmy z państw członkowskich Unii Europejskiej nowe obowiązki z zakresu cyberbezpieczeństwa. Sprawdź, kogo dotyczy NIS2, jakie obowiązki narzuca i jak przygotować swoją firmę na wdrożenie.

18 lutego 2026 roku zakończył się siedmioletni maraton legislacyjny. Prezydent podpisał nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażając tym samym unijną dyrektywę NIS2 do polskiego prawa. Polska była jednym z ostatnich krajów UE, które dopełniły tego obowiązku (pierwotny termin minął w październiku 2024 roku).

NIS2 obejmuje średnie przedsiębiorstwa z sektorów publicznych i prywatnych z państw członkowskich UE. Co to oznacza w praktyce? Liczba podmiotów objętych regulacjami z zakresu cyberbezpieczeństwa skoczy z zaledwie 400 do niemal 42 tysięcy firm i instytucji. Dla wielu z nich zegar już tyka – mają 6 miesięcy na rejestrację w wykazie podmiotów kluczowych i ważnych oraz 12 miesięcy na pełne wdrożenie środków zarządzania ryzykiem.

Kary za niedopełnienie obowiązków mogą sięgać 10 milionów euro lub 2% rocznego obrotu. Dlatego warto jak najszybciej sprawdzić, czy Twoja firma podlega pod NIS2 – i od czego zacząć przygotowania.

Co to jest NIS2?

Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2) to nowelizacja obowiązującego obecnie prawa dotyczącego ochrony danych przetwarzanych cyfrowo. Zastępuje ona poprzednią dyrektywę z 2016 roku – NIS (Network and Information Security) – rozszerzając jej zakres i wprowadzając bardziej rygorystyczne wymogi.

Wzmocnienie cyberodporności Unii Europejskiej ma zostać osiągnięte m.in. poprzez wdrożenie w krajach członkowskich jednolitego standardu bezpieczeństwa sieci oraz systemów informatycznych. Nowe prawo ma na celu zwiększenie odporności organizacji na cyberataki, a tym samym zmniejszenie ryzyka zakłóceń w funkcjonowaniu kluczowych usług i infrastruktury państw należących do UE. 

Dyrektywa określa cele związane z cyberbezpieczeństwem oraz obowiązki, jakie w tym kontekście zostają nałożone na organizacje podlegające NIS2. Nie zawiera jednak szczegółowych wytycznych na temat sposobów i rozwiązań, za pośrednictwem których firmy mają zapewnić bezpieczeństwo przetwarzanym danym. Daje im w tym zakresie pewną swobodę działania. Warto jednak pamiętać o tym, że środki podejmowane przez poszczególne podmioty muszą być proporcjonalne do zidentyfikowanych zagrożeń.

Bezpieczeństwo w NIS2 - działania w celu zarządzania ryzykiem

NIS2 – najważniejsze zmiany w pigułce

Najważniejsze różnice w stosunku do poprzedniej dyrektywy z 2016 roku:

  • Dramatycznie szerszy zakres – z 11 do 18 sektorów i obniżone progi kwalifikacyjne; liczba podmiotów w Polsce objętych NIS2 wzrasta z ok. 400 do niemal 42 tys.
  • Cyberbezpieczeństwo całego łańcucha dostaw – firmy muszą zarządzać ryzykiem także u swoich podwykonawców i dostawców.
  • Szkolenia pracowników – obowiązkowe szkolenia z cyberhigieny i zagrożeń cyfrowych dla całego zespołu.
  • Osobista odpowiedzialność zarządów – menedżerowie wyższego szczebla odpowiadają osobiście za szkody wynikłe z zaniedbań w obszarze cyberbezpieczeństwa.
  • Obowiązek raportowania incydentów – wstępne powiadomienie właściwego CSIRT w ciągu 24 godzin, pełne zgłoszenie w ciągu 72 godzin, raport końcowy w ciągu miesiąca.
  • Krajowe zespoły CSIRT – Polska musi utrzymywać CSIRT NASK, CSIRT GOV i CSIRT MON, które będą aktywnie wspierać podmioty objęte regulacją.

Co mają na celu zmiany legislacyjne?

Zmiany wprowadzane przez NIS2 są odpowiedzią na rozszerzony wachlarz zagrożeń cyfrowych, jakie pojawiły się w Europie w ostatnich latach. Cyberataki są coraz częstsze i coraz bardziej zaawansowane. NIS2 ma lepiej przygotować organizacje i społeczeństwo do radzenia sobie z rosnącymi zagrożeniami cybernetycznymi. I jednocześnie zapewnić ciągłość działania infrastruktury oraz usług, które są kluczowe dla prawidłowego funkcjonowania państwa.

Ujednolicenie przepisów w całej UE ma też ułatwić współpracę między krajami członkowskimi i zwiększyć skuteczność działań w kontekście ochrony danych. Ma to umożliwić szybszą i skuteczniejszą reakcję na incydenty, wymianę informacji o zagrożeniach oraz koordynację działań na poziomie europejskim.

Dyrektywa NIS2 – kogo dotyczy? Podmioty kluczowe i ważne

Pod nowe przepisy podlegają organizacje prywatne i publiczne, działające na terenie UE i świadczące usługi zaliczone do katalogu podstawowych. Ustawa wprowadza podział na podmioty kluczowe i podmioty ważne.

Kryterium kwalifikacji to przede wszystkim wielkość firmy i sektor, w którym działa:

  • Podmiot ważny: co najmniej 50 pracowników, roczny obrót lub suma bilansowa od 10 mln euro.
  • Podmiot kluczowy: co najmniej 250 pracowników, roczny obrót powyżej 50 mln euro lub suma bilansowa powyżej 43 mln euro.

Uwaga: firma może podlegać NIS2 niezależnie od wielkości, jeśli odgrywa krytyczną rolę w jednym z kluczowych sektorów.

Ważne: Ustawa nakłada obowiązek samoidentyfikacji, a więc to przedsiębiorstwa same muszą ocenić, czy są objęte regulacją.

NIS2 - zadbaj o bezpieczeństwo systemów informatycznych wykorzystywanych w firmie

Sektory kluczowe NIS2

Do tej grupy należą podmioty działające w sektorach o fundamentalnym znaczeniu dla prawidłowego funkcjonowania kraju, czyli:

  • Energia – wytwarzanie, przesył i dystrybucja energii elektrycznej, gazu ziemnego, ropy naftowej, energii cieplnej i wodoru.
  • Transport – transport lotniczy, kolejowy, wodny i drogowy, operatorzy infrastruktury transportowej.
  • Bankowość – instytucje kredytowe i inwestycyjne.
  • Infrastruktura rynku finansowego – giełdy papierów wartościowych, centralne depozyty papierów wartościowych, izby rozliczeniowe, systemy płatności i rozrachunku.
  • Zdrowie – szpitale, dostawcy usług medycznych, producenci i dystrybutorzy wyrobów medycznych, laboratoria.
  • Woda pitna – zaopatrzenie w wodę pitną.
  • Infrastruktura cyfrowa – dostawcy usług cyfrowych (np. usługi chmurowe, wyszukiwarki internetowe, platformy handlu elektronicznego), dostawcy publicznych sieci łączności elektronicznej, usługi rejestru nazw domen (DNS), dostawcy usług zaufania (np. podpis elektroniczny, pieczęć elektroniczna).
  • Administracja publiczna – administracja centralna i regionalna.
  • Sektor kosmiczny – operatorzy systemów satelitarnych, dostawcy usług startowych, producenci sprzętu kosmicznego.
  • Produkcja, przetwarzanie i dystrybucja żywności – producenci żywności, przetwórcy żywności, dystrybutorzy żywności.
  • Usługi pocztowe – operatorzy pocztowi świadczący usługi powszechne.
  • Zarządzanie odpadami – podmioty zajmujące się zbieraniem, transportem, odzyskiem i unieszkodliwianiem odpadów.

Sektory ważne NIS2

To sektory, które również mają istotne znaczenie dla społeczeństwa i gospodarki, choć zakłócenie ich działania miałoby mniej dotkliwe skutki niż w przypadku podmiotów kluczowych. Do tej grupy należą:

  • Poczta i kurierzy – usługi inne niż powszechne
  • Produkcja krytycznych produktów – substancje chemiczne, wyroby medyczne, sprzęt elektroniczny, maszyny, pojazdy
  • Usługi cyfrowe – platformy społecznościowe, centra danych, dostawcy Internetu
  • Badania i rozwój – podmioty prowadzące B+R w obszarach kluczowych dla bezpieczeństwa

Czy Twoja firma podlega pod NIS2?

Nowe prawo nakłada na firmy obowiązek samoidentyfikacji, co oznacza, że przedsiębiorstwa muszą samodzielnie ocenić, czy są objęte regulacjami wynikającymi z NIS2. 

Aby pomóc Ci w tej ocenie, przygotowaliśmy krótką ankietę, uwzględniającą najważniejsze elementy klasyfikacji:

Sprawdź, czy Twoja firma podlega NIS2

Odpowiedz na 3 pytania i poznaj odpowiedź

Przejdź do formularza

NIS2 – wymagania związane z cyberbezpieczeństwem

Firmy objęte NIS2 są zobowiązane do wdrożenia szeregu działań „technicznych, operacyjnych i organizacyjnych”, związanych z cyberbezpieczeństwem i zgłaszaniem incydentów. 

Działania mają być odpowiednie i proporcjonalne

Warto przy tym podkreślić, że środki te mają być „odpowiednie i proporcjonalne”. Oznacza to, że będą się one różnić w przypadku konkretnych przedsiębiorstw, a organizacje same muszą ocenić, jaki poziom ochrony będzie odpowiedni w kontekście występującego ryzyka cybernetycznego. 

Jak możemy przeczytać w samej dyrektywie: „Oceniając proporcjonalność tych środków, należycie uwzględnia się stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.”

NIS2 – obowiązkowe elementy cyberochrony

Nowe przepisy jasno określają zakres minimalnych działań, jakie mają podjąć przedsiębiorstwa, aby zapewnić sobie zgodność z NIS2. Należą do nich:

  • opracowanie polityki analizy ryzyka i bezpieczeństwa systemów informatycznych; 
  • obsługa incydentu; 
  • zapewnienie ciągłości działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; 
  • dbałość o bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami; 
  • zapewnienie bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie; 
  • opracowanie polityk i procedur służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie; 
  • zachowanie podstawowych praktyki cyberhigieny i przeprowadzanie szkoleń w zakresie cyberbezpieczeństwa; 
  • opracowanie polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania; 
  • zapewnienie bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami; 
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Twój zespół ma obowiązek aktualizować wiedzę o cyberbezpieczeństwie (podstawowe praktyki cyberhigieny, zasady szyfrowania, bezpieczeństwo zasobów ludzkich)

NIS2 w Polsce – obowiązki związane z dyrektywą i ważne terminy

Prezydent podpisał nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa 18 lutego 2026 roku. Ustawa wejdzie jednak w życie po upływie miesięcznego vacatio legis – czyli ok. marca/kwietnia 2026, licząc od daty ogłoszenia w Dzienniku Ustaw. Dopiero od tego dnia zaczną biec wszystkie terminy przejściowe.

Warto mieć to na uwadze przy kalkulowaniu terminów – rejestracja i wdrożenie nie liczą się od daty podpisu Prezydenta, lecz od daty wejścia ustawy w życie.

Do ok. września/października 2026 (6 miesięcy od wejścia w życie): rejestracja w wykazie podmiotów kluczowych i ważnych. To pierwszy obowiązek – musisz zgłosić swoją organizację do właściwego rejestru, zanim w ogóle zaczniesz wdrożenie.

Do ok. marca/kwietnia 2027 (12 miesięcy od wejścia w życie): pełne wdrożenie środków zarządzania ryzykiem. To główna część pracy – polityki bezpieczeństwa, procedury reagowania na incydenty, szkolenia, zabezpieczenie łańcucha dostaw.

Do ok. marca/kwietnia 2027 (12 miesięcy od wejścia w życie): obowiązek raportowania poważnych incydentów przez nowy system S46. Do tego czasu firmy powinny mieć gotowe wewnętrzne procedury zgłaszania, bo po uruchomieniu platformy obowiązuje rygorystyczny termin 24 godzin na wstępne powiadomienie CSIRT.

Rok na wdrożenie brzmi komfortowo, ale w praktyce w większych organizacjach osiągnięcie pełnej zgodności zajmuje właśnie tyle – lub więcej. Do tego firmy doradcze i integratorzy są już mocno obciążeni, więc im szybciej zaczniesz, tym lepiej.

Co grozi za brak zgodności z NIS2?

Podmioty kluczowe mogą ponieść karę pieniężną w maksymalnej wysokości 10 mln euro za naruszenie wymagań dyrektywy NIS2. Alternatywnie kary administracyjne za naruszenie przepisów NIS2 mogą wynosić do 2% rocznego obrotu dla podmiotów kluczowych. Podmioty ważne mogą zostać ukarane grzywną w wysokości 7 mln euro (lub 1,4% łącznego obrotu) za naruszenie przepisów NIS2.

Co ważne, oprócz kar finansowych, na firmy mogą zostać nałożone również inne sankcje, takie jak na przykład:

  • nakaz podjęcia działań naprawczych lub wdrożenia określonych środków bezpieczeństwa,
  • zlecenie audytu bezpieczeństwa,
  • nakaz powiadamiania klientów o naruszeniu ich danych,
  • czasowe zawieszenie prowadzenia działalności,
  • zakaz udziału w przetargach publicznych.

Kary są zależne od skali naruszenia i możliwości finansowych podmiotu – mają być „skuteczne, proporcjonalne i odstraszające”.

NIS2 – od czego zacząć i na co zwrócić uwagę

Krok 1: ustal, czy podlegasz pod NIS2. Sprawdź wielkość firmy i sektor działalności. Pamiętaj o obowiązku samoidentyfikacji.

Krok 2: przeprowadź audyt stanu wyjściowego. Zinwentaryzuj systemy informatyczne, określ ich znaczenie dla ciągłości biznesu i zidentyfikuj słabe punkty. Bez tej analizy niemożliwe jest zaplanowanie wdrożenia.

Krok 3: wdróż bieżący monitoring. Dyrektywa kładzie szczególny nacisk na ciągłość nadzoru – nie wystarczy jednorazowa konfiguracja systemów. Zagrożenia trzeba wykrywać na bieżąco.

Krok 4: przygotuj procedury reagowania na incydenty. Pamiętaj o 24-godzinnym terminie na wstępne powiadomienie CSIRT. Procedury muszą być gotowe i przećwiczone – nie można ich improwizować w chwili ataku.

Krok 5: zadbaj o łańcuch dostaw. Przeanalizuj umowy z dostawcami i podwykonawcami pod kątem klauzul bezpieczeństwa. Warto rozważyć wprowadzenie „prawa do audytu” jako standardu w kontraktach.

Krok 6: przeprowadź szkolenia. Regularne szkolenia z cyberhigieny są obowiązkowe – i muszą objąć zarówno pracowników, jak i kadrę zarządzającą, która ponosi osobistą odpowiedzialność za naruszenia.

Dyrektywa NIS2- audyt bezpieczeństwa

Specjaliści FOTC pomogą Ci osiągnąć zgodność z NIS2

Jeśli Twoją firmę dotyczy NIS2, ale temat ten wydaje Ci się zbyt skomplikowany i nie wiesz, od czego zacząć wprowadzanie zmian, skontaktuj się z naszymi specjalistami. Inżynierowie FOTC pomogą Ci przenieść infrastrukturę do chmury Google. Zapewniona jest tu ciągłość działania systemów, a wyśrubowane standardy bezpieczeństwa w pełni zaspokajają wymogi nakładane przez NIS2. 

Nasze usługi, które pomogą Ci osiągnąć zgodność z NIS2 to m.in.:

  • Migracja firmy do Google Workspace – Usługa spełnia wszelkie wymogi bezpieczeństwa potrzebne w przedsiębiorstwach, których dotyczą szczególne obostrzenia w zakresie ochrony przetwarzanych informacji. Dane są szyfrowane zarówno w spoczynku jak i podczas ich przesyłania. Zaś ciągłość działania systemów jest zapewniona przez SLA na poziomie 99,9999%.
  • Monitoring bezpieczeństwa Google Workspace – to usługa, dzięki której jesteś na bieżąco informowany o wszelkich poważnych zagrożeniach, jakie wystąpiły w instancji Google Workspace w Twojej firmie. Specjaliści FOTC monitorują bezpieczeństwo usługi w trybie 24/7, zaś odpowiednio skonfigurowane alerty (ustawione w celu zapobiegania wpływowi incydentów) umożliwiają natychmiastowe działania zapobiegawcze. Nasi inżynierowie opracowali też ścisłe procedury postępowania na wypadek wystąpienia incydentów bezpieczeństwa.
  • Szkolenia dla użytkowników i administratorów – swoim szerokim doświadczeniem w zakresie zabezpieczenia chmurowej infrastruktury klientów dzielimy się, prowadząc szkolenia dla administratorów i użytkowników Google Workspace.
  • Audyt bezpieczeństwa Google Workspace – przeprowadzany przez inżynierów FOTC audyt pozwala określić wyjściowy poziom ustawień Twojej instancji Google Workspace. Konfigurację oceniamy pod kątem zabezpieczenia danych przed wyciekami, cyberatakami oraz nieuczciwymi działaniami pracowników. Weryfikacja obejmuje szczegółową analizę nawet 237 punktów ryzyka w ramach jedenastu kluczowych obszarów.
Zadbaj o zgodność z NIS2

Pokażemy Ci, jak w prosty sposób
wypełnić zobowiązania regulacyjne

Umów konsultację

FAQ – najczęściej zadawane pytania o NIS2

Czy NIS2 obowiązuje już w Polsce? Prezydent podpisał nowelizację Ustawy o KSC 18 lutego 2026 roku. Ustawa wejdzie w życie po upływie miesięcznego vacatio legis – orientacyjnie w marcu/kwietniu 2026, po ogłoszeniu w Dzienniku Ustaw. Od tej daty biegną terminy: ok. 6 miesięcy na rejestrację w wykazie podmiotów (wrzesień/październik 2026) i ok. 12 miesięcy na pełne wdrożenie środków bezpieczeństwa (marzec/kwiecień 2027).

Co to jest NIS2 w skrócie? Unijna dyrektywa nakładająca na firmy i instytucje z 18 kluczowych sektorów obowiązki w zakresie cyberbezpieczeństwa: zarządzania ryzykiem, szkolenia pracowników, raportowania incydentów i zapewnienia ciągłości działania.

Kogo dotyczy dyrektywa NIS2? Dużych i średnich organizacji (50+ pracowników lub 10+ mln EUR obrotu) z 18 sektorów – od energetyki i transportu, przez bankowość i zdrowie, aż po sektor spożywczy, pocztowy i firmy z obszaru usług cyfrowych.

Jakie kary grożą za nieprzestrzeganie NIS2? Podmiotom kluczowym grozi do 10 mln EUR lub 2% rocznego obrotu. Podmiotom ważnym – do 7 mln EUR lub 1,4% obrotu.

Spis treści:
Co to jest NIS2?
Dyrektywa NIS2 – kogo dotyczy? Podmioty kluczowe i ważne
NIS2 – wymagania związane z cyberbezpieczeństwem
NIS2 w Polsce – obowiązki związane z dyrektywą i ważne terminy
Co grozi za brak zgodności z NIS2?
NIS2 – od czego zacząć i na co zwrócić uwagę
Specjaliści FOTC pomogą Ci osiągnąć zgodność z NIS2
FAQ – najczęściej zadawane pytania o NIS2

Wybierz Google Workspace z Oficjalnym Partnerem Google

Korzystaj ze zniżek, otrzymuj faktury w PLN i wsparcie w języku polskim.