Dyrektywa NIS2 to jedna z najważniejszych zmian regulacyjnych w obszarze cyberbezpieczeństwa w Unii Europejskiej w ostatnich latach. Przedsiębiorcy, menedżerowie IT i specjaliści ds. compliance w 2026 roku stoją przed koniecznością praktycznego wdrożenia jej wymogów — krajowe przepisy implementujące dyrektywę obowiązują we wszystkich państwach członkowskich, a pierwsze kontrole już trwają. Pytanie, które powraca w rozmowach z właścicielami firm brzmi: czy NIS2 dotyczy również mojej organizacji? W tym artykule rozwiewamy wątpliwości i pokazujemy konkretne kryteria, które przesądzają o podleganiu pod nowe regulacje.
Czym jest dyrektywa NIS2 i dlaczego zastąpiła NIS1
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, znana powszechnie jako NIS2, weszła w życie 16 stycznia 2023 roku, a państwa członkowskie miały obowiązek transponować jej przepisy do prawa krajowego do 17 października 2024 roku. W Polsce proces legislacyjny zakończył się przyjęciem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która w pełni obowiązuje od 2025 roku. Rok 2026 to zatem pierwszy pełny rok, w którym organy nadzorcze — w Polsce przede wszystkim CSIRT NASK oraz właściwe ministerstwa — prowadzą regularne audyty i kontrole zgodności z nowymi wymaganiami.
Głównym powodem zastąpienia pierwotnej dyrektywy NIS (przyjętej w 2016 roku) była fragmentacja wdrożenia w poszczególnych krajach UE. NIS1 obejmowała wąską grupę podmiotów — głównie operatorów usług kluczowych i dostawców usług cyfrowych — a państwa członkowskie znacząco różniły się w interpretacji tych pojęć. Skutek był taki, że podobne przedsiębiorstwa w Niemczech i w Polsce mogły podlegać zupełnie innym obowiązkom. NIS2 usuwa tę niespójność, rozszerzając jednocześnie katalog podmiotów objętych regulacją i zaostrzając wymagania w zakresie zarządzania ryzykiem, raportowania incydentów oraz odpowiedzialności zarządu.
Kluczowa zmiana filozoficzna polega na przejściu od podejścia sektorowego do podejścia opartego na wielkości i znaczeniu podmiotu. Oznacza to, że o podleganiu pod NIS2 nie decyduje już wyłącznie branża, ale przede wszystkim rozmiar organizacji oraz krytyczność świadczonych przez nią usług. Dla wielu firm oznacza to konieczność pierwszego w historii zmierzenia się z formalnymi wymogami cyberbezpieczeństwa.
Kogo dokładnie dotyczy NIS2 — podział na podmioty kluczowe i ważne
NIS2 wprowadza dwie zasadnicze kategorie podmiotów: kluczowe (essential entities) oraz ważne (important entities). Rozróżnienie to ma fundamentalne znaczenie praktyczne, ponieważ determinuje zarówno poziom wymagań bezpieczeństwa, jak i wysokość potencjalnych kar administracyjnych.
Podmioty kluczowe to organizacje działające w sektorach o najwyższym znaczeniu dla funkcjonowania państwa i gospodarki. Zalicza się do nich: energetykę (wytwarzanie, przesył, dystrybucja energii elektrycznej, gazu, ciepła, paliw), transport (lotniczy, kolejowy, wodny, drogowy — w zakresie zarządzania ruchem i infrastrukturą), bankowość i infrastrukturę rynków finansowych, ochronę zdrowia (szpitale, laboratoria diagnostyczne, podmioty prowadzące badania kliniczne), dostawców wody pitnej i odprowadzania ścieków, infrastrukturę cyfrową (dostawcy usług chmurowych, data center, sieci dostarczania treści, usługi zaufania, dostawcy DNS), zarządzanie usługami ICT (między przedsiębiorstwami — tzw. managed service providers i managed security service providers) oraz administrację publiczną na szczeblu centralnym i regionalnym.
Podmioty ważne obejmują szerszy wachlarz sektorów: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcję i dystrybucję chemikaliów oraz substancji niebezpiecznych, produkcję żywności na skalę przemysłową, produkcję wyrobów medycznych, sprzętu komputerowego, elektronicznego, optycznego i elektrycznego, produkcję pojazdów i maszyn, a także dostawców usług cyfrowych, takich jak wyszukiwarki internetowe, platformy handlowe i serwisy społecznościowe.
Ważna informacja praktyczna: niektóre podmioty — na przykład dostawcy usług zaufania, dostawcy publicznych sieci łączności elektronicznej, operatorzy DNS — są zawsze uznawane za kluczowe, niezależnie od swojej wielkości. To istotna pułapka dla mniejszych firm, które mogą zakładać, że ich rozmiar wyklucza je spod regulacji.
Kryterium wielkości — próg zatrudnienia i obrotu jako filtr decydujący
NIS2 posługuje się unijną definicją wielkości przedsiębiorstwa, odwołując się do zalecenia Komisji 2003/361/WE. Aby podlegać pod dyrektywę, podmiot działający w wymienionych sektorach musi przekroczyć określone progi.
Dla podmiotów kluczowych próg wynosi co najmniej 250 pracowników lub roczny obrót przekraczający 50 milionów euro przy sumie bilansowej powyżej 43 milionów euro. Dla podmiotów ważnych progi są niższe: co najmniej 50 pracowników lub roczny obrót powyżej 10 milionów euro przy sumie bilansowej przekraczającej 10 milionów euro.
Należy podkreślić, że są to progi alternatywne — wystarczy spełnić jeden z nich (liczbę pracowników LUB kryterium finansowe), by zostać objętym regulacją. Co więcej, do limitu zatrudnienia wlicza się wszystkich pracowników w grupie kapitałowej, a nie tylko pojedynczy podmiot prawny. Przedsiębiorstwa działające w ramach holdingów powinny więc analizować swoją sytuację na poziomie skonsolidowanym.
Istotnym wyjątkiem są mikro i małe przedsiębiorstwa — zgodnie z definicją unijną zatrudniające poniżej 50 pracowników i osiągające roczny obrót poniżej 10 milionów euro. Co do zasady są one wyłączone spod NIS2. Wyjątek stanowią jednak dostawcy publicznych sieci łączności elektronicznej, dostawcy usług zaufania, operatorzy DNS oraz podmioty, które jako jedyne w danym państwie świadczą usługę krytyczną — te organizacje podlegają NIS2 zawsze.
Sektory objęte regulacją — pełna lista i przykłady branżowe
Zakres sektorowy NIS2 jest znacznie szerszy niż w przypadku jej poprzedniczki. Poniżej przedstawiamy pełny katalog wraz z przykładami, które pomogą w samoocenie.
Sektor energetyczny obejmuje nie tylko gigantów pokroju PGE czy Tauron, ale także lokalnych operatorów sieci dystrybucyjnych, firmy zajmujące się magazynowaniem paliw, operatorów stacji ładowania pojazdów elektrycznych czy dostawców ciepła sieciowego. W transporcie regulacją objęci są zarządcy portów lotniczych, przewoźnicy kolejowi (zarówno pasażerscy, jak i towarowi), armatorzy, operatorzy terminali intermodalnych oraz dostawcy systemów inteligentnego transportu.
Sektor bankowości i infrastruktury finansowej to nie tylko banki, ale także izby rozliczeniowe, operatorzy systemów płatności (jak BLIK czy KIR), instytucje płatnicze oraz dostawcy usług technologicznych dla sektora finansowego. Ochrona zdrowia obejmuje szpitale — zarówno publiczne, jak i prywatne — laboratoria medyczne, podmioty prowadzące badania i rozwój leków, producentów wyrobów medycznych oraz dostawców systemów IT dla placówek medycznych.
Infrastruktura cyfrowa to jeden z najszybciej rosnących segmentów: dostawcy usług chmurowych (IaaS, PaaS, SaaS), operatorzy centrów danych kolokacyjnych i hostingowych, dostawcy sieci CDN, rejestratorzy domen, dostawcy certyfikatów kwalifikowanych. Sektor zarządzania usługami ICT obejmuje firmy świadczące outsourcing IT, managed services, helpdesk oraz — co szczególnie istotne — usługi z zakresu cyberbezpieczeństwa (MSSP, SOC-as-a-Service).
Produkcja przemysłowa w ujęciu NIS2 to producenci wyrobów medycznych, sprzętu komputerowego i elektronicznego, urządzeń elektrycznych i optycznych, pojazdów silnikowych i maszyn. W praktyce regulacją może być objęty każdy większy zakład produkcyjny w tych branżach — od fabryki komponentów elektronicznych po producenta sprzętu AGD.
Sektor spożywczy w NIS2 dotyczy wyłącznie przetwórstwa i dystrybucji hurtowej na skalę przemysłową — lokalna piekarnia czy restauracja nie podlegają regulacji, ale duży koncern spożywczy już tak.
Praktyczne obowiązki wynikające z NIS2 — co konkretnie trzeba wdrożyć
Podleganie pod NIS2 nie jest stanem deklaratywnym — wiąże się z konkretnym zestawem obowiązków, które organizacja musi spełnić. Ich zakres został szczegółowo określony w artykułach 20 i 21 dyrektywy.
Po pierwsze, podmiot musi przyjąć i wdrożyć politykę zarządzania ryzykiem w cyberbezpieczeństwie. Nie chodzi o dokument napisany na potrzeby audytu, ale o realnie funkcjonujący system obejmujący: identyfikację aktywów i ryzyk, analizę wpływu na ciągłość działania, ochronę fizyczną i środowiskową, bezpieczeństwo łańcucha dostaw (w tym weryfikację dostawców), kontrolę dostępu, zarządzanie podatnościami, kryptografię i szyfrowanie danych.
Po drugie, obowiązkowe staje się raportowanie incydentów. NIS2 wprowadza trzystopniowy system zgłoszeń: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia poważnego incydentu, pełne zgłoszenie w ciągu 72 godzin, a następnie raport końcowy w ciągu miesiąca. Dla porównania, RODO przewiduje 72 godziny na cały proces — NIS2 jest więc znacząco bardziej wymagający.
Po trzecie, dyrektywa nakłada osobistą odpowiedzialność na członków zarządu. Organ zarządzający musi zatwierdzać politykę cyberbezpieczeństwa, aktywnie nadzorować jej wdrażanie, a także przechodzić regularne szkolenia w tym zakresie. Członkowie zarządu ponoszą osobistą odpowiedzialność za zaniedbania — w polskim prawie implementacja przewiduje kary administracyjne nakładane bezpośrednio na osoby pełniące funkcje zarządcze.
Po czwarte, organizacje zobowiązane są do prowadzenia ciągłego monitoringu i regularnych testów bezpieczeństwa — audytów, testów penetracyjnych, ćwiczeń z reagowania na incydenty. Nie wystarczy jednorazowe wdrożenie; niezbędne jest utrzymanie ciągłości.
Kary za nieprzestrzeganie NIS2 w 2026 roku — skala sankcji i pierwsze przypadki
System sankcji w NIS2 został zaprojektowany tak, by był odczuwalny — ma motywować zarządy do priorytetowego traktowania cyberbezpieczeństwa. Dla podmiotów kluczowych kara może wynieść maksymalnie 10 milionów euro lub 2% całkowitego rocznego obrotu światowego — w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych górny pułap to 7 milionów euro lub 1,4% rocznego obrotu światowego.
Polski ustawodawca w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa przewidział również kary dla osób fizycznych pełniących funkcje kierownicze — mogą one sięgać kilkuset tysięcy złotych. Co więcej, organy nadzoru mają prawo wydawać nakazy zaprzestania działalności w przypadku rażących naruszeń stwarzających bezpośrednie zagrożenie dla bezpieczeństwa publicznego.
Rok 2026 przynosi już pierwsze efekty egzekwowania przepisów. Prezes Urzędu Komunikacji Elektronicznej oraz minister właściwy do spraw informatyzacji — jako organy nadzorcze dla sektora cyfrowego — prowadzą postępowania kontrolne. CSIRT-y sektorowe i CSIRT NASK aktywnie monitorują zgłaszalność incydentów, a brak zgłoszenia w wymaganym terminie jest jednym z najczęściej stwierdzanych naruszeń. Organy nadzoru nie ograniczają się przy tym do największych graczy — kontrole obejmują również średnie przedsiębiorstwa, które nie spodziewały się podlegania pod regulację.
Ważna przestroga praktyczna: kara finansowa to nie jedyne ryzyko. Upublicznienie informacji o naruszeniu — do czego organy mają prawo — może spowodować utratę zaufania klientów i kontrahentów, a to często dotkliwsza sankcja niż jakakolwiek grzywna.
Jak sprawdzić, czy Twoja firma podlega pod NIS2 — praktyczny algorytm decyzyjny
Praktyczne sprawdzenie podlegania pod NIS2 można przeprowadzić w czterech krokach.
Krok pierwszy — ustal, czy Twoja działalność mieści się w katalogu sektorów wymienionych w załącznikach I i II do dyrektywy. Przeanalizuj kody PKD swojej firmy, ale przede wszystkim faktyczny charakter świadczonych usług. Sama klasyfikacja statystyczna nie jest rozstrzygająca — decyduje rzeczywisty profil działalności.
Krok drugi — jeśli działasz w wymienionym sektorze, oblicz wielkość przedsiębiorstwa. Zsumuj zatrudnienie we wszystkich spółkach grupy kapitałowej (w przeliczeniu na pełne etaty) oraz sprawdź skonsolidowany obrót i sumę bilansową za ostatni zatwierdzony rok obrotowy. Pamiętaj, że progi zatrudnienia i finansowe są alternatywne.
Krok trzeci — nawet jeśli nie spełniasz progów wielkości, zweryfikuj wyjątki. Jesteś jedynym dostawcą danej usługi kluczowej w kraju? Prowadzisz rejestrację domen lub świadczysz usługi zaufania? Jako dostawca usług zarządzanych w sektorze ICT automatycznie kwalifikujesz się jako podmiot kluczowy, niezależnie od rozmiaru.
Krok czwarty — jeżeli wynik poprzednich kroków jest pozytywny, zarejestruj się we właściwym rejestrze podmiotów krajowego systemu cyberbezpieczeństwa. W Polsce rejestr prowadzony jest przez właściwy organ nadzoru sektorowego. Rejestracja powinna nastąpić niezwłocznie po stwierdzeniu podlegania — opóźnienia mogą być traktowane jako naruszenie.
W razie wątpliwości warto sięgnąć po zewnętrzny audyt prawny. Kluczesoft oferuje kompleksowe rozwiązania do zarządzania zgodnością z NIS2, w tym oprogramowanie do monitorowania aktywów, raportowania incydentów i zarządzania ryzykiem, które znacząco upraszcza proces dostosowania organizacji do wymogów dyrektywy.
Częste pytania
Czy NIS2 dotyczy firm zatrudniających mniej niż 50 pracowników?
Co do zasady nie — mikro i małe przedsiębiorstwa są wyłączone spod NIS2. Wyjątek stanowią dostawcy publicznych sieci łączności, usług zaufania, operatorzy DNS, firmy zarządzające usługami ICT oraz podmioty będące jedynymi dostawcami usługi kluczowej w danym państwie. Jeśli więc prowadzisz 20-osobową firmę świadczącą usługi SOC, prawdopodobnie podlegasz pod NIS2 jako podmiot kluczowy.
Czy NIS2 zastępuje RODO?
Nie. NIS2 i RODO to dwa odrębne, choć uzupełniające się akty prawne. RODO dotyczy ochrony danych osobowych, NIS2 — cyberbezpieczeństwa sieci i systemów informacyjnych. Organizacja może podlegać obu regulacjom jednocześnie i musi spełniać wymagania każdej z nich niezależnie.
Od kiedy dokładnie obowiązują przepisy NIS2 w Polsce?
Polska zakończyła transpozycję dyrektywy NIS2 do prawa krajowego w 2024 roku, a obowiązek stosowania przepisów dla większości podmiotów wszedł w życie w 2025 roku. Rok 2026 to pierwszy pełny rok egzekwowania przepisów przez organy nadzoru — kontrole i postępowania administracyjne już trwają.
Co grozi firmie, która nie zgłosi incydentu w terminie?
Kara administracyjna może wynieść do 10 milionów euro lub 2% rocznego obrotu dla podmiotów kluczowych oraz do 7 milionów euro lub 1,4% obrotu dla podmiotów ważnych. Dodatkowo organy nadzoru mogą upublicznić informację o naruszeniu, co niesie ryzyko reputacyjne często dotkliwsze niż sama kara finansowa.
Czy NIS2 wymaga zatrudnienia inspektora ochrony danych lub CISO?
Dyrektywa nie nakazuje wprost utworzenia stanowiska CISO, ale wymaga wyznaczenia osoby odpowiedzialnej za nadzór nad cyberbezpieczeństwem oraz obowiązkowych szkoleń dla kadry zarządzającej. W praktyce większość średnich i dużych organizacji decyduje się na powołanie dedykowanego menedżera bezpieczeństwa informacji.
Jakie konkretnie zabezpieczenia techniczne trzeba wdrożyć?
NIS2 nie narzuca zamkniętej listy technologii — wymaga wdrożenia środków proporcjonalnych do zidentyfikowanego ryzyka. Obejmuje to szyfrowanie danych, zarządzanie tożsamością i dostępem, systemy wykrywania włamań, ciągłe monitorowanie, testy penetracyjne, kopie zapasowe oraz procedury ciągłości działania. W praktyce większość firm wdraża rozwiązania klasy SIEM, EDR, MFA oraz systemy zarządzania podatnościami.
Czy polskie spółki córki zagranicznych koncernów podlegają NIS2?
Tak. Decydujące jest miejsce prowadzenia działalności, nie siedziba właściciela. Polska spółka córka międzynarodowego holdingu działającego w sektorze objętym NIS2 podlega polskim przepisom implementującym dyrektywę i podlega nadzorowi polskich organów, o ile spełnia kryteria wielkościowe.
Czy NIS2 dotyczy administracji publicznej wszystkich szczebli?
Administracja centralna i regionalna podlega NIS2 jako podmiot kluczowy. Administracja lokalna — gminy, powiaty — co do zasady nie jest objęta regulacją, chyba że dana jednostka spełnia kryteria wielkościowe lub świadczy usługę uznaną za kluczową (na przykład będąc jedynym dostawcą wody w regionie).
Jakie są terminy audytów zgodności z NIS2?
Przepisy nakazują regularne przeglądy i audyty cyberbezpieczeństwa — co najmniej raz w roku dla podmiotów kluczowych i co najmniej raz na dwa lata dla podmiotów ważnych. Ponadto po każdym poważnym incydencie wymagany jest nadzwyczajny przegląd zastosowanych środków bezpieczeństwa.
Co z firmami produkcyjnymi spoza listy sektorów?
Podmioty produkcyjne z branż niewymienionych w załącznikach do NIS2 — na przykład meblarskiej, tekstylnej czy budowlanej — nie podlegają dyrektywie, nawet jeśli przekraczają progi wielkościowe. Decydujący jest więc przede wszystkim profil działalności, a dopiero w drugiej kolejności rozmiar firmy.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.