NIS2 a obowiązki firmy: co musisz wiedzieć w 2026 roku

„Uwaga:” Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy dotyczące NIS2 są wdrażane etapami, a szczegółowe regulacje krajowe mogą się zmieniać. W sprawie konkretnych obowiązków Twojej firmy skonsultuj się z prawnikiem lub doradcą ds. cyberbezpieczeństwa. Aktualne przepisy weryfikuj na gov.pl oraz na stronach właściwych organów nadzorczych.

Dyrektywa NIS2 to najważniejsza zmiana w europejskim prawie cyberbezpieczeństwa od lat. Dotyczy tysięcy polskich firm — i to nie tylko gigantów z branży energetycznej czy telekomunikacyjnej. Jeśli prowadzisz firmę z 50 lub więcej pracownikami w jednym z 18 regulowanych sektorów, prawdopodobnie jesteś objęty nowymi przepisami. A termin rejestracji zbliża się nieuchronnie: październik 2026 roku.

Poniższy przewodnik wyjaśnia, co NIS2 oznacza w praktyce, kogo obejmuje i od czego zacząć.

Czym jest dyrektywa NIS2 i jak Polska ją wdraża?

NIS2 (Network and Information Security Directive 2) to unijna dyrektywa z października 2022 roku, która zastąpiła pierwszą dyrektywę NIS z 2016 roku. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej przez ujednolicenie wymagań, rozszerzenie zakresu podmiotów objętych regulacją i wprowadzenie surowych sankcji.

W Polsce NIS2 jest wdrażana przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Prace legislacyjne trwały przez kilkanaście miesięcy — projekt przeszedł przez liczne konsultacje społeczne. Ustawa nakłada na podmioty objęte przepisami konkretne obowiązki w zakresie zarządzania ryzykiem, zgłaszania incydentów i nadzoru łańcucha dostaw.

Co nowego w NIS2 względem starej dyrektywy?

• Szerszy zakres — NIS2 obejmuje 18 sektorów (poprzednia wersja obejmowała wybrane sektory krytyczne).
• Niższe progi — objęte są podmioty od 50 pracowników lub 10 mln EUR obrotu (wcześniej tylko duże firmy).
• Odpowiedzialność zarządu — zarządzający mogą ponosić osobistą odpowiedzialność za nieprzestrzeganie przepisów.
• Obowiązek zgłaszania incydentów — 24 godziny na wstępne zgłoszenie, 72 godziny na szczegółowy raport.
• Surowsze sankcje — do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych.

Kogo obejmuje NIS2? Podmioty kluczowe i ważne

NIS2 dzieli firmy na dwie kategorie w zależności od wielkości i sektora działalności.

Podmioty kluczowe (essential entities)

To organizacje o największym znaczeniu dla funkcjonowania państwa i gospodarki.

Progi wielkości:

• Co najmniej 250 pracowników, LUB
• Roczny obrót powyżej 50 mln EUR, LUB
• Suma bilansowa powyżej 43 mln EUR.

Sektory objęte jako podmioty kluczowe:

• Energetyka (energia elektryczna, gaz, ropa naftowa, ciepłownictwo, wodór)
• Transport (lotniczy, kolejowy, wodny, drogowy)
• Bankowość i infrastruktura rynku finansowego
• Ochrona zdrowia (szpitale, laboratoria, producenci leków, wyroby medyczne)
• Woda pitna i ścieki
• Infrastruktura cyfrowa (centra danych, CDN, dostawcy usług chmurowych, sieci komunikacyjne)
• Zarządzanie usługami ICT (dostawcy usług zarządzanych — MSP, MSSP)
• Administracja publiczna
• Przestrzeń kosmiczna

Podmioty ważne (important entities)

To firmy z tych samych lub pokrewnych sektorów, ale mniejsze lub z sektorów uznanych za mniej krytyczne.

Progi wielkości:

• Co najmniej 50 pracowników, LUB
• Roczny obrót powyżej 10 mln EUR.

Sektory dodatkowe objęte jako podmioty ważne:

• Usługi pocztowe i kurierskie
• Gospodarka odpadami
• Produkcja chemiczna
• Produkcja żywności i napojów
• Produkcja urządzeń medycznych, elektroniki, maszyn, pojazdów
• Dostawcy cyfrowi (platformy handlu online, wyszukiwarki, sieci społecznościowe)
• Badania naukowe

Wyjątki i podmioty niezależne od wielkości

Niezależnie od liczby pracowników i obrotu, NIS2 obejmuje:

• Kwalifikowanych dostawców usług zaufania,
• Rejestry nazw domen (TLD) i dostawców DNS,
• Operatorów sieci telekomunikacyjnych,
• Podmioty wyznaczone przez państwa członkowskie jako krytyczne niezależnie od rozmiaru.

Główne obowiązki wynikające z NIS2

1. Zarządzanie ryzykiem cyberbezpieczeństwa

Firmy muszą wdrożyć odpowiednie i proporcjonalne techniczne i organizacyjne środki zarządzania ryzykiem. NIS2 wymienia konkretne obszary:

• Polityki bezpieczeństwa systemów informatycznych i analizy ryzyka,
• Obsługa incydentów (wykrywanie, reagowanie, odtwarzanie po awarii),
• Ciągłość działania i zarządzanie kryzysowe (backup, przywracanie, zarządzanie kryzysem),
• Bezpieczeństwo łańcucha dostaw,
• Bezpieczeństwo w pozyskiwaniu, rozwoju i utrzymaniu systemów,
• Polityki i procedury oceny skuteczności środków cyberbezpieczeństwa,
• Higiena cyberbezpieczeństwa i szkolenia pracowników,
• Polityki kryptografii i szyfrowania,
• Bezpieczeństwo zasobów ludzkich i kontrola dostępu,
• Uwierzytelnianie wieloskładnikowe (MFA) lub ciągłe (SSO tam, gdzie zasadne).

„Uwaga:” NIS2 stosuje podejście „wszystko co zasadne i proporcjonalne do ryzyka” — przepisy nie definiują jednej listy technologii, które musisz wdrożyć. Kluczowe jest udokumentowanie procesu analizy ryzyka i uzasadnienie podjętych decyzji.

2. Zgłaszanie incydentów

To jeden z najbardziej konkretnych obowiązków NIS2. Jeśli dojdzie do znaczącego incydentu (czyli takiego, który zakłóca lub może zakłócić świadczenie usług), firma musi:

Termin	Co zgłosić
24 godziny	Wstępne zgłoszenie do właściwego CSIRT (w Polsce: CERT Polska lub CSIRT sektorowy)
72 godziny	Szczegółowe zgłoszenie incydentu z aktualizacją oceny
1 miesiąc	Pełny raport końcowy z analizą przyczyn i podjętych działań

Znaczący incydent to taki, który powoduje poważne zakłócenie operacyjne, znaczne straty finansowe, wpływa na inne podmioty lub skutkuje znacznymi szkodami materialnymi lub niematerialnymi.

3. Bezpieczeństwo łańcucha dostaw

NIS2 wymaga, by firmy oceniały cyberbezpieczeństwo swoich dostawców — w szczególności dostawców oprogramowania, usług IT i infrastruktury. To obszar często pomijany przez MŚP, ale regulatorzy kładą na niego coraz większy nacisk (przypomnij sobie atak SolarWinds — wszystkie ofiary to były firmy, których dostawca był skompromitowany).

4. Odpowiedzialność zarządu

NIS2 explicite wskazuje, że organy zarządzające (zarząd, dyrekcja) muszą zatwierdzać środki zarządzania ryzykiem i mogą ponosić osobistą odpowiedzialność za naruszenia. Zarząd powinien być szkolony w zakresie cyberbezpieczeństwa.

Sankcje i kary

NIS2 znacząco podnosi poprzeczkę w zakresie sankcji w porównaniu do poprzedniej dyrektywy.

Kategoria	Maksymalna kara finansowa
Podmioty kluczowe	10 mln EUR lub 2% rocznego światowego obrotu (wyższa kwota)
Podmioty ważne	7 mln EUR lub 1,4% rocznego światowego obrotu (wyższa kwota)

Oprócz kar finansowych regulatorzy mogą zastosować:

• Nakazy audytu,
• Nakazy ograniczenia działalności,
• Publiczne ujawnienie naruszenia,
• Tymczasowy zakaz pełnienia funkcji zarządczych.

W Polsce organem nadzorczym ds. NIS2 jest przede wszystkim UODO (dla podmiotów przetwarzających dane osobowe) oraz właściwe organy sektorowe (UKE dla telekomunikacji, Urząd KNF dla finansów, Minister Zdrowia dla ochrony zdrowia itd.).

Termin rejestracji: październik 2026

Podmioty objęte ustawą o KSC muszą zarejestrować się w wykazie podmiotów kluczowych i ważnych do października 2026 roku. To termin wynikający z harmonogramu implementacji — ale warto pamiętać, że samo wpisanie do rejestru to dopiero początek. Pełne wdrożenie środków bezpieczeństwa może wymagać wielu miesięcy.

Jeśli masz już czerwiec 2026 i jeszcze nie zacząłeś — nie ma na co czekać.

Praktyczne pierwsze kroki dla MŚP

Poniższe działania to punkt startowy, nie pełna lista wymagań. Traktuj je jako mapę drogową do rozmowy z doradcą lub prawnikiem.

Krok 1: Sprawdź, czy i w jakiej kategorii podlegasz NIS2

Użyj listy sektorów i progów wielkości z poprzednich sekcji. Jeśli masz wątpliwości co do kwalifikacji, skonsultuj się z prawnikiem.

Krok 2: Wykonaj analizę ryzyka

Zinwentaryzuj systemy IT i dane, które przetwarzasz. Oceń, co by się stało, gdyby każdy z tych systemów przestał działać lub dane wyciekły. Na tej podstawie priorytetyzuj działania.

Krok 3: Wdróż podstawową higienę cyberbezpieczeństwa

To minimum, od którego warto zacząć niezależnie od NIS2:

• Regularne aktualizacje oprogramowania i systemów,
• Kopie zapasowe (3-2-1: 3 kopie, 2 nośniki, 1 off-site),
• Zarządzanie uprawnieniami (zasada minimalnego dostępu),
• Szkolenia pracowników z rozpoznawania phishingu,
• MFA na wszystkich krytycznych kontach.

Więcej o technicznych środkach ochrony znajdziesz w artykule Cyberbezpieczeństwo dla firm — przewodnik dla MŚP oraz w dziale /firmy/.

Krok 4: Opracuj procedurę zgłaszania incydentów

Zanim dojdzie do incydentu, musisz wiedzieć:

• Kto w firmie odpowiada za wykrywanie i zgłaszanie incydentów?
• Jak szybko możesz ocenić, czy incydent jest „znaczący” w rozumieniu ustawy?
• Kto i jak kontaktuje się z CERT Polska lub sektorowym CSIRT?

Krok 5: Oceń dostawców

Przejrzyj umowy z kluczowymi dostawcami IT. Czy zawierają klauzule dotyczące bezpieczeństwa? Czy dostawca ma wdrożone odpowiednie środki? Uwzględnij wymagania bezpieczeństwa przy zawieraniu nowych kontraktów.

Krok 6: Udokumentuj wszystko

Regulatorzy oczekują dowodów, że wdrożone środki są przemyślane i proporcjonalne do ryzyka. Dokumentuj polityki, procedury, wyniki analiz ryzyka, przeprowadzone szkolenia i podjęte decyzje.

Przydatne zasoby

Przy wdrażaniu NIS2 warto korzystać z oficjalnych źródeł — tam znajdziesz aktualne przepisy i wytyczne:

• gov.pl — oficjalne przepisy, nowelizacja ustawy o KSC, komunikaty Ministerstwa Cyfryzacji.
• cert.pl — zasoby CERT Polska, procedury zgłaszania incydentów, materiały edukacyjne.
• nask.pl — materiały badawcze i edukacyjne z zakresu cyberbezpieczeństwa.
• uodo.gov.pl — wytyczne UODO dotyczące przetwarzania danych, które często nakładają się z NIS2.

Co zrobić teraz?

Październik 2026 to realny termin, który wymaga działania już teraz. Oto Twoja lista priorytetów:

1. Zweryfikuj, czy podlegasz NIS2 — sprawdź liczbę pracowników, obrót i sektor działalności wobec progów opisanych w tym artykule.
2. Skonsultuj się z prawnikiem lub doradcą ds. cyberbezpieczeństwa — szczególnie jeśli masz wątpliwości co do kwalifikacji lub sektora. To inwestycja, która może zaoszczędzić ogromnych kar.
3. Sprawdź aktualny status przepisów na gov.pl — wdrożenie NIS2 jest procesem, a przepisy mogą się zmieniać.
4. Zacznij od analizy ryzyka — nawet prosty arkusz z listą systemów, danych i potencjalnych zagrożeń to lepszy punkt startowy niż żaden.
5. Wdróż podstawową higienę cyberbezpieczeństwa — kopie zapasowe, aktualizacje, MFA, szkolenia. To obowiązuje wszystkich, nie tylko podmioty NIS2.
6. Zaplanuj budżet — wdrożenie środków bezpieczeństwa kosztuje, ale kara za niedopełnienie może kosztować wielokrotnie więcej.

NIS2 może wydawać się biurokratycznym ciężarem, ale w istocie to wymaganie zrobienia czegoś, co i tak powinna robić każda odpowiedzialna firma: chronić swoje systemy, dane klientów i ciągłość działania. Dla wielu organizacji to dobry moment, by wreszcie potraktować cyberbezpieczeństwo poważnie — zanim zmusi do tego incydent lub regulator.