Cyberataki, takie jak ransomware czy wycieki danych, stały się codziennością. W odpowiedzi na rosnące zagrożenia Unia Europejska wprowadziła dyrektywę NIS 2, która znacząco poszerza i zaostrza wymagania swojej poprzedniczki – NIS 1. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej UE i ujednolicenie standardów.
Kluczowe zmiany w porównaniu do NIS 1
Znacznie szerszy zakres podmiotów
- NIS 1 obejmowała głównie operatorów usług kluczowych (energetyka, transport, bankowość) i dostawców usług cyfrowych.
- NIS 2 rozszerza listę do 18 sektorów, m.in. administracja publiczna (z wyjątkami, np. sądy czy parlamenty), produkcja żywności, gospodarka odpadami, usługi pocztowe, dostawcy chmury, sektor kosmiczny i wiele innych.
Nowa klasyfikacja podmiotów
- Zamiast dotychczasowego podziału wprowadzono dwie kategorie: podmioty kluczowe (essential entities – duże firmy z sektorów krytycznych) i podmioty ważne (important entities – średnie firmy z sektorów istotnych).
- Kryterium to tzw. size-cap rule – co do zasady obejmuje firmy zatrudniające co najmniej 50 osób i osiągające obrót powyżej 10 mln €.
- Wyjątki od size-cap rule: niektóre podmioty (np. dostawcy usług zaufania, operatorzy DNS/TLD, dostawcy usług chmurowych czy centra danych) podlegają NIS 2 niezależnie od wielkości.
Zaostrzone obowiązki w zakresie cyberbezpieczeństwa
Podmioty objęte NIS 2 muszą wdrożyć zaawansowane środki techniczne i organizacyjne takie jak:
- regularne analizy ryzyka i polityki bezpieczeństwa,
- szyfrowanie i uwierzytelnianie wieloskładnikowe,
- plany ciągłości działania i odtwarzania po awarii (BCP/DR),
- zarządzanie podatnościami i ich ujawnianie,
- szkolenia dla pracowników i kadry zarządzającej,
- bezpieczeństwo komunikacji i łańcucha dostaw.
Bardziej rygorystyczne terminy raportowania incydentów
Dla istotnych incydentów przewidziano:
- wczesne ostrzeżenie (early warning) – do 24 h,
- zgłoszenie incydentu (incident notification) – do 72 h,
- raport końcowy – w ciągu miesiąca od zgłoszenia.
Bezpieczeństwo łańcucha dostaw
Firmy muszą oceniać ryzyka u swoich dostawców i partnerów. To oznacza, że nawet MŚP nieobjęte bezpośrednio dyrektywą będą musiały spełniać jej wymogi, jeśli współpracują z podmiotem kluczowym.
Silniejszy nadzór i kary
- Krajowe organy nadzoru zyskują rozszerzone uprawnienia kontrolne.
- Dyrektywa przewiduje minimalny poziom maksymalnych kar:
- dla podmiotów kluczowych – co najmniej 10 mln € lub 2% rocznego globalnego obrotu,
- dla podmiotów ważnych – co najmniej 7 mln € lub 1,4% obrotu. Ostateczne zasady i wysokości sankcji określi prawo krajowe.
Odpowiedzialność zarządu
Organ zarządzający (management body) musi zatwierdzać i nadzorować środki cyberbezpieczeństwa oraz odbywać regularne szkolenia. W razie poważnych naruszeń wobec osób zarządzających mogą zostać zastosowane sankcje, w tym czasowy zakaz pełnienia funkcji kierowniczych (zwłaszcza w przypadku podmiotów kluczowych).
Terminy wdrożenia w Polsce
- Państwa UE miały czas do 17 października 2024 r. na implementację NIS 2.
- Polska wciąż nie zakończyła prac legislacyjnych – nowelizacja ustawy o KSC jest w toku. 7 maja 2025 r. Komisja Europejska skierowała do Polski uzasadnioną opinię za brak transpozycji. Harmonogram wejścia w życie krajowych przepisów nie jest jeszcze znany.
Jak możemy pomóc?
Nasza kancelaria oferuje kompleksowe wsparcie w przygotowaniu się do NIS 2:
- Audyt zgodności – ocenimy, czy Twoja firma spełnia wymagania.
- Przygotowanie dokumentacji – opracujemy polityki bezpieczeństwa i procedury reagowania na incydenty.
- Szkolenia – przeszkolimy zarząd i pracowników z nowych obowiązków i praktycznych aspektów cyberbezpieczeństwa.
- Wsparcie w rejestracji – pomożemy w formalnym zgłoszeniu do rejestru podmiotów kluczowych i ważnych (zakres i procedura zostaną określone w znowelizowanej ustawie o KSC).
Dlaczego warto działać już teraz?
- Unikniesz wysokich kar finansowych.
- Zminimalizujesz odpowiedzialność osobistą członków zarządu.
- Zachowasz konkurencyjność – kontrahenci w łańcuchu dostaw będą wymagać potwierdzenia zgodności.
- Podniesiesz realne bezpieczeństwo – koszt wdrożenia procedur jest zwykle niższy niż koszt skutków poważnego cyberataku.
