NIS2: Czy Twoja firma podlega nowym obowiązkom unijnym?

28 kwietnia, 2025

W świecie rosnących zagrożeń cyfrowych, Unia Europejska postanowiła wzmocnić wspólne ramy bezpieczeństwa cyfrowego, wprowadzając nową regulację – dyrektywę NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.). Zastępuje ona dotychczasową dyrektywę NIS z 2016 roku i znacząco rozszerza zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Chociaż dyrektywa zawiera dwie główne kategorie adresatów – tzw. podmioty kluczowe i podmioty ważne – nie oznacza to, że każda firma działająca w jednym z wymienionych sektorów automatycznie podlega obowiązkom wynikającym z NIS2.

Kiedy dyrektywa NIS2 ma zastosowanie? Nie tylko sektor, ale i skala działalności

Zgodnie z dyrektywą NIS2, objęte regulacją są podmioty średnie i duże, które prowadzą działalność w sektorach wymienionych w załączniku I (podmioty kluczowe) i załączniku II (podmioty ważne).

Podmioty kluczowe (essential entities)

Są to przedsiębiorstwa działające w sektorach o kluczowym znaczeniu dla funkcjonowania społeczeństwa i gospodarki. Należą do nich:

Energetyka – dostawcy energii elektrycznej, gazowej, ciepłowniczej;
Transport – operatorzy transportu kolejowego, lotniczego, morskiego i drogowego;
Bankowość i infrastruktura rynków finansowych;
Zdrowie – szpitale, laboratoria, producenci leków;
Woda pitna i ścieki;
Infrastruktura cyfrowa – dostawcy usług chmurowych, centrów danych, rejestry domen;
Administracja publiczna – w zależności od kraju, podmioty szczebla centralnego i regionalnego;
Przestrzeń kosmiczna.

Podmioty ważne (important entities)

To sektory, które nie są aż tak kluczowe jak powyższe, ale również mają wpływ na cyberbezpieczeństwo. Należą do nich:

Usługi pocztowe i kurierskie;
Gospodarka odpadami;
Produkcja i dystrybucja substancji chemicznych;
Produkcja i przetwarzanie żywności;
Podmioty wytwarzające wyroby medyczne, elektroniczne, maszyny, pojazdy, itd.

Kluczowe przesłanki objęcia obowiązkami:

1. Wielkość przedsiębiorstwa:

Dyrektywa stosuje się zasadniczo do przedsiębiorstw, które:

zatrudniają co najmniej 50 pracowników lub
osiągają roczny obrót lub całkowity bilans roczny przekraczający 10 milionów euro.

2. Dodatkowe kryteria dla małych podmiotów:

Nawet jeśli podmiot nie spełnia kryteriów wielkości, może zostać objęty dyrektywą, jeżeli:

pełni istotną funkcję społeczną lub gospodarczą (np. jest jedynym dostawcą danego typu usług w kraju lub regionie).
świadczy usługi dla administracji publicznej lub dla sektora bezpieczeństwa.
jego usługi są niezbędne dla utrzymania funkcjonowania podstawowych usług.

3. Wyłączenia:

Dyrektywa nie ma zastosowania do:

podmiotów prowadzących działalność w zakresie obronności.
wymiaru sprawiedliwości i organów ścigania, które pozostają poza zakresem regulacji.

Dopiero spełnienie obu przesłanek – działalność w odpowiednim sektorze i osiągnięcie minimalnej skali działalności – powoduje, że firma zostanie uznana za podmiot objęty obowiązkami wynikającymi z dyrektywy NIS2.

Jakie obowiązki nakłada dyrektywa NIS2?

Podmioty objęte dyrektywą, zarówno kluczowe, jak i ważne, są zobowiązane do wdrożenia szeregu środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberbezpieczeństwem oraz zapewnienia ciągłości działania usług.

Główne obowiązki podmiotów zgodnie z NIS2:

1. Ocena ryzyka i zarządzanie nim

Podmioty muszą regularnie identyfikować zagrożenia i wdrażać środki adekwatne do ryzyka, w tym:

polityki analizy ryzyka i bezpieczeństwa informacji,
środki zapobiegania incydentom oraz ich wykrywania i reagowania,
środki dotyczące bezpieczeństwa łańcucha dostaw,
szkolenia pracowników z zakresu cyberbezpieczeństwa,
stosowanie kryptografii i uwierzytelniania wieloskładnikowego.

2. Zgłaszanie incydentów bezpieczeństwa

Wstępne zgłoszenie incydentu poważnego (z istotnym wpływem na usługę) musi nastąpić w ciągu 24 godzin od jego wykrycia,
Raport końcowy – do 72 godzin od zgłoszenia wstępnego,
Sprawozdanie końcowe – najpóźniej w ciągu miesiąca od wykrycia incydentu,
Incydenty muszą być zgłaszane do właściwego CSIRT-u (Computer Security Incident Response Team) lub innego organu wskazanego przez państwo członkowskie.

3. Współpraca z organami nadzorczymi

Podmioty muszą:

umożliwiać przeprowadzanie audytów i kontroli,
dostarczać na żądanie dokumentację związaną z bezpieczeństwem systemów informacyjnych,
informować organy o istotnych zmianach mających wpływ na bezpieczeństwo usług.

4. Obowiązki kadry zarządzającej

Zarząd (lub inne osoby odpowiedzialne za kierowanie podmiotem) ponosi bezpośrednią odpowiedzialność za wdrożenie polityk zgodnych z dyrektywą (art. 20 ust. 1). Przewidziano również obowiązek szkoleń z zakresu cyberbezpieczeństwa dla osób decyzyjnych.

Jakie sankcje przewiduje dyrektywa NIS2?

Dyrektywa NIS2, zobowiązuje państwa członkowskie do wprowadzenia skutecznych, proporcjonalnych i odstraszających kar za naruszenie przepisów.

Najważniejsze sankcje, które mogą być stosowane:

1. Kary finansowe – ustalane przez każde państwo, ale dyrektywa wprowadza minimalne progi maksymalne:

dla podmiotów kluczowych: do 10 mln euro lub 2% rocznego światowego obrotu (jeśli wyższe),
dla podmiotów ważnych: do 7 mln euro lub 1,4% rocznego światowego obrotu (jeśli wyższe).

2. Środki nadzorcze:

nakaz wdrożenia określonych środków w określonym terminie,
czasowe zawieszenie działalności (w przypadku rażących naruszeń),
informowanie opinii publicznej o naruszeniach.

3. Odpowiedzialność kadry zarządzającej: Organy nadzorcze mogą nakładać sankcje osobiste na członków zarządu – np. czasowy zakaz pełnienia funkcji kierowniczych, jeżeli nie dopełnili oni obowiązków nadzoru i zarządzania ryzykiem.

Jak możemy Ci pomóc?

Nasza kancelaria może:

przeprowadzić audyt zgodności Twojej firmy z NIS2,
przygotować polityki i procedury bezpieczeństwa informacji,
wspierać Cię we wdrożeniu rozwiązań organizacyjnych i prawnych,
reprezentować Cię w kontaktach z organami nadzorczymi.