NIS2

Zarząd odpowiada osobiście. Co musisz wiedzieć o NIS2 zanim zrobi to za Ciebie regulator

11 min czytania
NIS2cyberbezpieczeństwoAI Act

Przez lata cyberbezpieczeństwo było problemem działu IT. Coś się zepsuło - IT naprawiło. Ktoś kliknął w zły link - IT pouczyło. Audyt bezpieczeństwa? Do technicznych.

To się skończyło.

Dyrektywa NIS2 przenosi odpowiedzialność za cyberbezpieczeństwo wprost na zarząd. Nie na CISO, nie na administratora sieci, nie na zewnętrzną firmę IT. Na ciebie - jako członka organu zarządzającego. Osobiście. Z możliwością zawieszenia w pełnieniu funkcji włącznie.

Napisałem ten artykuł dla właścicieli firm i osób decyzyjnych, które słyszały o NIS2, ale jeszcze nie wiedzą, co konkretnie ich dotyczy i kiedy. Bez prawniczego żargonu. Z konkretnymi liczbami i datami.

Czym jest NIS2 i skąd się wzięła

NIS2 to unijna dyrektywa z 2022 roku, która zastąpiła regulację z 2016. Stara wersja była zbyt miękka - dawała krajom dużą swobodę interpretacji, przez co poziom cyberbezpieczeństwa w Europie był mocno nierówny. Jeden kraj wdrażał przepisy rygorystycznie, drugi symbolicznie, trzeci w ogóle.

Nowa wersja to zmienia. Jest twarda, szeroka i - co najważniejsze - nakłada konkretne obowiązki z konkretnymi karami.

W Polsce dyrektywa wchodzi w życie przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, w skrócie UKSC. Na początku 2026 roku ustawa była w finalnej fazie prac parlamentarnych.

Czy twoja firma w ogóle podpada?

Główne kryterium to wielkość i sektor. NIS2 obejmuje co do zasady wszystkie średnie i duże firmy działające w sektorach uznanych za krytyczne. Średnia firma według unijnej definicji to powyżej 50 pracowników lub powyżej 10 mln euro rocznego obrotu.

Sektory kluczowe - najwyższy reżim nadzoru: energetyka (prąd, gaz, ropa, ciepłownictwo, wodór), transport we wszystkich formach, bankowość, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa (data center, chmura, DNS), administracja publiczna, przestrzeń kosmiczna.

Sektory ważne - nieco łagodniejsze wymogi, ale te same obowiązki w praktyce: poczta i kurierzy, gospodarka odpadami, produkcja chemikaliów i żywności, urządzenia medyczne, dostawcy usług cyfrowych - platformy, marketplace, wyszukiwarki.

Jeśli twoja firma produkuje żywność na skalę przemysłową, zarządza siecią ciepłowniczą, obsługuje klientów w sektorze zdrowia albo jest dostawcą oprogramowania dla podmiotów z którejkolwiek z tych list - jesteś w zakresie dyrektywy. Niektóre firmy wpadają pod NIS2 niezależnie od wielkości - jeśli są jedynym dostawcą usługi w kraju albo ich awaria mogłaby wywołać efekt domina w całej branży.

Sprawdź w 3 krokach

Czy NIS2 dotyczy twojej firmy?

Co konkretnie musisz wdrożyć

Artykuł 21 dyrektywy wymienia dziesięć obszarów, które każdy objęty nią podmiot musi pokryć. Nie ma tu opcjonalności.

Zacznę od rzeczy, które brzmią oczywiste, a w praktyce oczywiste nie są. Polityka analizy ryzyka - to nie jest "robimy backup i mamy antywirusa". To formalne udokumentowanie wszystkich zasobów IT, przypisanie do nich zagrożeń i ocena prawdopodobieństwa ich wystąpienia. Metodologicznie. Z podpisem zarządu.

Obok tego: procedury obsługi incydentów. Firma musi wiedzieć - zanim coś się stanie - co robi, gdy wykryje atak. Kto podejmuje decyzje, kto kontaktuje się z regulatorem, w jakim czasie. I to nie dokument w szufladzie. Przetestowany plan, sprawdzony co najmniej raz w symulacji.

Ciągłość działania to kolejny obszar, który większość firm ma pozornie pokryty. Backup jest? Jest. Ale czy jest odizolowany od sieci tak, żeby ransomware go nie zaszyfrował razem z resztą danych? Czy ktoś sprawdził w tym roku, że przywrócenie z backupu faktycznie działa i ile trwa? To jest poziom, którego NIS2 wymaga.

Bezpieczeństwo łańcucha dostaw to chyba największa nowość dla firm, które dotychczas nie miały z regulacjami cybernetycznymi do czynienia. Musisz oceniać swoich dostawców - zewnętrzne CRM, chmurę, firmę IT, każdego, kto ma dostęp do twoich systemów. Mieć w umowach zapisy o prawie do audytu, SLA przy incydencie, obowiązku informowania o podatnościach. To zmienia negocjacje z dostawcami.

Pozostałe obszary: ocena skuteczności wdrożonych środków przez niezależne audyty i testy penetracyjne (regularnie, nie jednorazowo), MFA jako standard dla wszystkich dostępów uprzywilejowanych i zdalnych, szyfrowanie danych w spoczynku i w ruchu, kontrola dostępu na zasadzie minimalnych uprawnień, szkolenia dla pracowników i - osobno - dla zarządu, oraz śledzenie podatności w używanych systemach i łatanie ich na czas.

Dziesięć obszarów. Żaden nie jest rocket science. Ale każdy wymaga czasu, dokumentacji i - przede wszystkim - tego żeby ktoś za to odpowiadał. I tu wracamy do zarządu.

Terminy w Polsce

Tu jest dobra wiadomość: masz czas. Ustawa przewiduje stopniowe wdrożenie po jej wejściu w życie.

Pierwsze 6 miesięcy to czas na samoidentyfikację - czy podpadasz, w jakiej kategorii, i zgłoszenie firmy do rejestru Ministra Cyfryzacji. Kto był już operatorem usług kluczowych - zostaje wpisany automatycznie.

Kolejne 12 miesięcy to czas właściwego wdrożenia - wszystkie środki z artykułu 21 muszą być gotowe. Równolegle w ciągu 12 miesięcy trzeba uruchomić komunikację z organami przez system S46, który służy do raportowania incydentów.

I najważniejsza informacja: przez pierwsze 24 miesiące od wejścia ustawy w życie obowiązuje okres ochronny przed karami finansowymi. Regulator może kontrolować, ale jeszcze nie karać. To okno, które warto wykorzystać. Ci, którzy zaczną teraz, zdążą spokojnie. Ci, którzy poczekają na ostatnią chwilę - będą mieli problem.

NIS2 a sztuczna inteligencja

Jeśli twoja firma korzysta z systemów AI - masz dwie regulacje naraz.

Unijny AI Act wszedł w życie równolegle z implementacją NIS2 i dotyczy bezpieczeństwa algorytmicznego. Większość firm nie tworzy AI - kupuje gotowe narzędzia i używa ich w swojej działalności. Chatboty, systemy rekomendacji, narzędzia do analizy danych - to wszystko wchodzi w zakres AI Act.

Gdzie te dwa akty prawne się krzyżują? W łańcuchu dostaw i w raportowaniu incydentów.

Jeśli używasz zewnętrznego systemu AI w procesach objętych NIS2 - musisz sprawdzić, czy ten dostawca ma certyfikaty zgodności z AI Act i czy zapewnia mechanizmy bezpiecznego aktualizowania modeli. To nie jest dobra wola - to obowiązek wynikający z NIS2 w zakresie bezpieczeństwa łańcucha dostaw.

Przy incydentach jest ciekawiej. Jeden techniczny problem z systemem AI może aktywować obowiązki raportowania z obydwu regulacji jednocześnie - z różnymi kryteriami i terminami. Organizacja musi mieć plan, który to synchronizuje.

Jest też druga strona medalu. AI samo w sobie jest podatnością. System AI można atakować przez zatruwanie danych treningowych - tak żeby model uczył się błędnych wzorców. Można go oszukać spreparowanymi danymi wejściowymi. Można ukraść parametry modelu i użyć do stworzenia "lustrzanej" kopii do testowania ataków poza zasięgiem twoich systemów obronnych. Każde z tych ryzyk musi znaleźć się w twojej analizie ryzyka z artykułu 21.

Z drugiej strony - AI jest też najskuteczniejszym narzędziem do spełnienia wymogów NIS2. Monitoring sieci w czasie rzeczywistym, analiza milionów logów dziennie, automatyczne tworzenie wstępnych raportów incydentów w wymaganym czasie 24 godzin - to są rzeczy, których człowiek nie jest w stanie robić samodzielnie przy dzisiejszej skali zagrożeń. ENISA, europejska agencja ds. cyberbezpieczeństwa, wprost mówi w wytycznych z 2025 roku: AI w obronie to już nie opcja, bo atakujący sami go używają do tworzenia złośliwego kodu i masowych kampanii phishingowych.

Co zarząd musi zrobić osobiście - i dlaczego to ważne

To jest największa zmiana w stosunku do wszystkich poprzednich regulacji.

NIS2 wprost nakłada na organy zarządzające obowiązek zatwierdzania środków zarządzania ryzykiem i nadzorowania ich wdrażania. Nie delegowania do IT. Zatwierdzania i nadzorowania. Osobiście.

Co to znaczy w praktyce: zarząd musi formalnie zaakceptować dokumenty polityki bezpieczeństwa. Musi wiedzieć, co w nich jest. I regularnie przechodzić szkolenia z zakresu ryzyk cybernetycznych - takie szkolenie musi obejmować jak cyberzagrożenia wpływają na działalność operacyjną firmy, nie tylko ogólne informacje o phishingu. Tego nie można delegować na pracownika.

Projekt polskiej nowelizacji UKSC przewiduje kary dla kierowników podmiotów kluczowych i ważnych do 300% miesięcznego wynagrodzenia przy rażących zaniedbaniach. Piszę to wyraźnie: 300% wynagrodzenia prezesa. Nie firmy - prezesa. A organy nadzorcze w UE zyskują prawo do czasowego zawieszenia członków zarządu w pełnieniu funkcji, jeśli podmiot nie zastosuje się do zaleceń pokontrolnych.

Przez lata zarządy ignorowały temat cyberbezpieczeństwa, bo nie ponosiły żadnych osobistych konsekwencji. Kilka anonimowych maili od IT, jakiś raport z audytu odłożony na bok, budżet obcięty przy pierwszej okazji. NIS2 to zmienia na poziomie systemowym - i to jest być może ważniejsze niż wszystkie techniczne wymogi razem wzięte.

Kary - ile można stracić

Podmioty kluczowe: do 10 mln euro lub 2% całkowitego rocznego obrotu - zależnie od tego, która kwota jest wyższa. Podmioty ważne: do 7 mln euro lub 1,4% obrotu.

Do tego wspomniana odpowiedzialność osobista kierownictwa.

Organy nadzorcze mogą przeprowadzać audyty i kontrole na miejscu, żądać dowodów wdrożenia, publicznie ogłaszać naruszenia. To ostatnie często boli bardziej niż kara finansowa - szczególnie jeśli firma pracuje z klientami instytucjonalnymi lub w przetargach publicznych.

Przez pierwsze 24 miesiące od wejścia ustawy w Polsce obowiązuje okres ochronny - kontrole są możliwe, ale kary nie. To okno, które warto mieć w głowie planując harmonogram.

Pułapka dla małych dostawców

Tu jest coś, o czym mało się mówi przy okazji NIS2.

Dyrektywa bezpośrednio dotyczy średnich i dużych firm. Ale przez wymóg bezpieczeństwa łańcucha dostaw wywiera realną presję na wszystkich dostawców tych firm - nawet mikro i małych.

Wyobraź sobie: dostarczasz specjalistyczne oprogramowanie do zarządzania procesami dla dużej sieci szpitali. Szpitale są podmiotami kluczowymi. Muszą więc ocenić bezpieczeństwo swoich dostawców - czyli ciebie. Jeśli nie spełniasz ich wymagań, możesz stracić kontrakt. Nie dlatego że regulator cię kontroluje - dlatego że twój klient jest kontrolowany i musi cię ocenić.

W ten sposób NIS2 staje się de facto standardem bezpieczeństwa dla całego ekosystemu dostawców w UE, niezależnie od wielkości firmy. Jeśli nie podpadasz bezpośrednio pod dyrektywę, twoi klienci mogą sprawić, że podpadniesz przez tylne drzwi.

Od czego zacząć

Jeśli masz wrażenie, że to dużo - masz rację. Ale jest sensowna kolejność.

Najpierw ustal, czy w ogóle podpadasz - jaki sektor, jaka kategoria, czy jesteś w łańcuchu dostaw dla podmiotów kluczowych. To nie jest oczywiste i warto to zrobić zanim zaczniesz cokolwiek wdrażać, bo zakres obowiązków jest różny.

Potem zrób uczciwy audyt luki: które z dziesięciu obszarów masz realnie pokryte, które są pozornie pokryte, które są puste. Większość firm ma coś z każdego obszaru, ale prawie żadna nie ma wszystkiego na poziomie wymaganym przez NIS2.

Z tego wychodzi plan - co wdrożyć najpierw, co zlecić zewnętrznie, co zbudować wewnętrznie. Priorytet na starcie to zwykle: polityka analizy ryzyka, procedury incydentowe, MFA i szkolenia zarządu. Reszta na kolejnych etapach.

Równolegle przejrzyj umowy z kluczowymi dostawcami - czy masz w nich prawo do audytu, obowiązek informowania o incydentach, SLA. Jeśli nie - renegocjuj przy najbliższej okazji.

I na końcu: dokumentacja. Wszystko co wdrażasz musi być udokumentowane. Regulator przy kontroli pyta o dowody, nie o deklaracje.

Czas do wdrożenia po wejściu ustawy to 12 miesięcy. Ale identyfikacja, audyt luki i plan - to można i warto zrobić już teraz.

Co mogę dla ciebie zrobić

Opisałem to, z czym - jeśli prowadzisz firmę w sektorze objętym NIS2 - będziesz musiał się zmierzyć w ciągu najbliższych 12-18 miesięcy.

Pomagam firmom przejść przez ten proces: od sprawdzenia czy i w jakim zakresie podpadasz pod regulację, przez audyt luk, po wdrożenie konkretnych narzędzi i przygotowanie dokumentacji. W tym systemów AI do monitorowania sieci i raportowania incydentów - bo te rzeczy trudno dziś robić bez automatyzacji.

Nie musisz zatrudniać sztabu prawników i zewnętrznych konsultantów. Wiele z tych obowiązków można ogarnąć sprawnie, jeśli wiesz od czego zacząć.

Napisz do mnie. Zaczniemy od rozmowy, po której będziesz wiedzieć dokładnie gdzie stoisz.

Słownik pojęć

NIS2
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Zastąpiła dyrektywę NIS z 2016 roku.
UKSC
Ustawa o krajowym systemie cyberbezpieczeństwa. Polski akt prawny wdrażający unijne przepisy o cyberbezpieczeństwie. Nowelizacja z 2026 roku implementuje wymagania NIS2.
Podmiot kluczowy
Organizacja działająca w sektorze o najwyższym znaczeniu dla funkcjonowania państwa i gospodarki (energetyka, transport, zdrowie, bankowość). Podlega najsurowszemu nadzorowi i najwyższym karom.
Podmiot ważny
Organizacja z sektora istotnego, ale o nieco niższym priorytecie (gospodarka odpadami, produkcja żywności, usługi cyfrowe). Te same obowiązki co podmiot kluczowy, łagodniejsze kary.
Artykuł 21 NIS2
Kluczowy przepis dyrektywy określający dziesięć obowiązkowych środków zarządzania ryzykiem, które każdy objęty podmiot musi wdrożyć.
MFA
Uwierzytelnianie wieloskładnikowe. Logowanie wymagające oprócz hasła dodatkowego potwierdzenia tożsamości - np. kodu SMS, aplikacji mobilnej lub klucza sprzętowego. NIS2 wymaga MFA dla dostępów uprzywilejowanych i zdalnych.
Ransomware
Złośliwe oprogramowanie szyfrujące dane ofiary i żądające okupu za ich odblokowanie. Jedno z głównych zagrożeń, przed którymi chronić mają wymogi NIS2 dotyczące backupów i ciągłości działania.
CSIRT
Computer Security Incident Response Team. Krajowy zespół reagowania na incydenty bezpieczeństwa komputerowego. W Polsce działają CSIRT MON, CSIRT NASK i CSIRT GOV. Do nich trafiają zgłoszenia poważnych incydentów.
S46
System teleinformatyczny do komunikacji między podmiotami objętymi UKSC a organami nadzorczymi. Służy do raportowania incydentów i wymiany informacji z regulatorem.
ENISA
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa. Publikuje wytyczne techniczne dla podmiotów wdrażających NIS2, w tym szczegółowe zalecenia dotyczące zarządzania ryzykiem.
AI Act
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 w sprawie sztucznej inteligencji. Reguluje projektowanie, wdrażanie i użytkowanie systemów AI według poziomów ryzyka.
Łańcuch dostaw
W kontekście NIS2: wszyscy zewnętrzni dostawcy technologii, oprogramowania i usług IT, którzy mają dostęp do systemów lub danych organizacji. NIS2 wymaga oceny bezpieczeństwa każdego ogniwa.
Test penetracyjny
Kontrolowane symulowane włamanie do systemów organizacji, przeprowadzane przez specjalistów w celu wykrycia luk bezpieczeństwa zanim zrobi to rzeczywisty atakujący.
SLA
Umowne gwarancje dotyczące poziomu świadczonych usług, w tym czasu reakcji na incydenty. NIS2 wymaga, by umowy z dostawcami zawierały SLA w zakresie bezpieczeństwa.

Źródła i dokumenty

Dyrektywa NIS2 - tekst oficjalny:

Implementacja w Polsce:

Wytyczne techniczne:

Jarosław Cybulski
Jarosław Cybulski
Poprzedni wpis
Agent sprawl - cicha katastrofa, która czeka firmy wdrażające AI
Agenci AI

Agent sprawl - cicha katastrofa, która czeka firmy wdrażające AI

Następny wpis
Fundusze UE na AI i innowacje. Horyzont Europa 2026 dla firm
Fundusze UE

Fundusze UE na AI i innowacje. Horyzont Europa 2026 dla firm

You've successfully subscribed to cybulski.ai
Great! Next, complete checkout for full access to cybulski.ai
Welcome back! You've successfully signed in.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.