menu
Kontakt z nami +48 780 151 246
Nasze specjalizacje

Obowiązki wynikające z NIS 2 – 5 rzeczy, które Twoja firma musi wdrożyć

4 czerwca, 2025

Nowe przepisy dotyczące cyberbezpieczeństwa, wynikające z unijnej dyrektywy NIS 2 (Network and Information Security Directive), wkrótce staną się obowiązkowe również w Polsce. Mimo że krajowe regulacje są jeszcze w fazie przygotowań, już teraz warto zapoznać się z kluczowymi wytycznymi dyrektywy, które z dużym prawdopodobieństwem znajdą odzwierciedlenie w polskim prawie. Ich celem jest zwiększenie odporności firm na cyberataki, awarie i wycieki danych.

Wbrew powszechnym opiniom, nowe regulacje nie dotyczą wyłącznie sektora publicznego czy dużych korporacji. Obowiązkami wynikającymi z NIS 2 objętych zostanie wiele średnich przedsiębiorstw, szczególnie działających w sektorach takich jak:

  • Energetyki,
  • Transportu,
  • Opieki zdrowotnej,
  • Usług cyfrowych (dostawcy chmury, platformy e-commerce).

Konsekwencje braku zgodności:

Brak wdrożenia odpowiednich środków bezpieczeństwa może wiązać się z poważnymi konsekwencjami, w tym:

  • Kary finansowe: nawet do 10 milionów euro lub 2% rocznego obrotu (ostateczna wysokość będzie zależna od krajowej implementacji)
  • Odpowiedzialność członków zarządu:
    • Sankcje osobiste (finansowe),
    • Odpowiedzialność karna,
    • Zakaz pełnienia funkcji zarządzających.
  • Utrata kontrahentów, danych i reputacji.

5 obowiązków wynikających z NIS 2 – co Twoja firma musi zrobić?

Aby spełnić wymogi dyrektywy NIS 2, Twoja firma powinna wdrożyć następujące działania w poniższych obszarach:

I. Wdrożenie systemu zarządzania ryzykiem cyberbezpieczeństwa

Musisz zidentyfikować potencjalne zagrożenia dla swojej działalności i określić sposoby ich zapobiegania. Przykładowo, zadaj sobie pytania:

  • Czy masz pełną kontrolę nad dostępem do danych?
  • Czy korzystasz z aktualnych systemów antywirusowych i kopii zapasowych?

Przykładowe działania to wdrożenie uwierzytelniania wieloskładnikowego, stosowanie zasady najniższych uprawnień, monitorowanie nietypowych zachowań i ochrona punktów końcowych (endpointów).

II. Opracowanie i wdrożenie procedur reagowania na incydenty

Twoja firma musi być przygotowana na szybką i skuteczną reakcję w przypadku cyberataku, kradzieży danych klientów czy awarii serwera. Bez jasnych procedur ryzykujesz nie tylko chaos, ale i wysokie kary za brak reakcji.

Np. w przypadku ataku ransomware przykładowe działania obejmują natychmiastową izolację zainfekowanych systemów, aktywację planu odtwarzania z backupów oraz zgłoszenie incydentu do CSIRT.

III. Zgłaszanie poważnych incydentów do CSIRT i organów nadzorczych

W przypadku poważnego incydentu cyberbezpieczeństwa lub awarii, Twoja firma będzie zobowiązana do zgłoszenia go odpowiednim służbom (CSIRT):

  • Wstępne zgłoszenie w ciągu 24 godzin (forma elektroniczna)
  • Szczegółowy raport w ciągu 72 godzin (zawierający m.in.):
    • Charakterystykę incydentu,
    • Szacowane skutki,
    • Podjęte działania zaradcze.

IV. Wdrożenie polityki ciągłości działania

NIS 2 wymaga, aby Twoja firma była w stanie funkcjonować pomimo awarii. To oznacza nie tylko regularne tworzenie kopii zapasowych, ale także posiadanie kompleksowego planu awaryjnego (Business Continuity Plan – BCP). Plan BCP powinien określać m.in.:

  • Co robisz, jeśli system padnie?
  • Kto podejmuje decyzje?
  • Jak informujesz klientów?

V. Weryfikacja i nadzór nad dostawcami

Jeśli zlecasz obsługę IT, przechowywanie danych w chmurze lub inne usługi cyfrowe, musisz mieć pewność, że Twoi dostawcy spełniają te same standardy bezpieczeństwa. Umowy z kontrahentami powinny zawierać odpowiednie klauzule i procedury audytu, takie jak:

  • Klauzule umowne gwarantujące zgłaszanie incydentów,
  • Dostęp do wyników testów prewencyjnych.
  • Prawo do inspekcji.

Dlaczego warto działać teraz?

  • Unikniesz kar – nawet 2% rocznego obrotu to kwota, która może zagrozić stabilności firmy.
  • Ochronisz zarząd – świadome przygotowanie to najlepsza obrona przed odpowiedzialnością osobistą.
  • Zyskasz przewagę – firmy zgodne z NIS 2 będą lepiej postrzegane przez kontrahentów.

Jak możemy pomóc Twojej firmie?

W naszej kancelarii łączymy kompetencje prawne z praktycznym podejściem do technologii. Współpracujemy z zaufanym partnerem technologicznym, dzięki czemu możemy zaoferować:

  • Analiza zakresu obowiązywania – czy i jak NIS 2 dotyczy Twojej firmy.
  • Opracowanie dokumentacji – zgodnej z wymogami (polityki, procedury, plany).
  • Wsparcie operacyjne – wdrożenie konkretnych rozwiązań technicznych.
  • Szkolenia dla zarządu – jak uniknąć odpowiedzialności osobistej.
Zobacz również
Autor Łukasz Hirsch APLIKANT RADCOWSKI | MŁODSZY PRAWNIK