Wdrożenie NIS2: co musisz wiedzieć, aby zachować zgodność w 2026 r.

29 kwietnia 2026 r.

5 minut czytania

Podsumuj za pomocą sztucznej inteligencji

Do tej pory większość osób prowadzących działalność gospodarczą w Europie słyszała akronim NIS2. To, czy coś z tym zrobili, to już inna kwestia.

Dyrektywa jest wdrażana do prawa krajowego we wszystkich 27 państwach członkowskich, przy czym niektóre kraje są na czele, a inne wciąż nadrabiają zaległości. Ale kierunek się nie zmienia: to, co kiedyś było dobrowolnymi wskazówkami dotyczącymi cyberbezpieczeństwa, teraz wiąże się z konsekwencjami prawnymi, określonymi ramami czasowymi i, jeśli jesteś kierownikiem, osobistą odpowiedzialnością.

Poniżej przedstawiam krytyczną ścieżkę do osiągnięcia zgodności z NIS2, abyś mógł jasno zrozumieć, jak radzić sobie z tą złożonością.

Stanislav Kazanov

Kierownik Działu Zrównoważonego Rozwoju

Stanislav wpisuje bezpieczeństwo i zrównoważony rozwój w DNA każdego systemu. Porusza się na przecięciu globalnej zgodności i ekologicznego przetwarzania danych, zapewniając, że infrastruktura jest zarówno kuloodporna przed zagrożeniami, jak i odpowiedzialna za środowisko.

Wyświetl profil

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 jest sztandarowym aktem prawnym UE mającym na celu podniesienie podstawowego poziomu cyberbezpieczeństwa.

W 2016 r. UE wydała pierwszą dyrektywę NIS, która była przyzwoitym początkiem, ale zakładała krajobraz zagrożeń, który teraz wygląda niemalże osobliwie. NIS2 wyciągnęła wnioski ze swojej poprzedniczki i zastąpiła ją szerszymi ramami z jednolitymi zasadami we wszystkich krajach, wyższymi standardami, większą liczbą sektorów i karami, które są na tyle spójne, że nie można szukać łagodniejszej jurysdykcji.

W rezultacie przedsiębiorstwa we wszystkich państwach członkowskich nie mogą już traktować cyberbezpieczeństwa jako działania typu “najlepszy wysiłek”. Muszą one dążyć do prawnie wiążące ramy z jasnymi oczekiwaniami dotyczącymi odporności, zgłaszania incydentów i tego, kto ponosi odpowiedzialność, jeśli coś pójdzie nie tak.

Lista kontrolna wdrożenia systemu NIS2: Podstawowe wymogi UE

Pobierz bezpłatną listę kontrolną zgodności z NIS2 i oceń swój obecny poziom gotowości. To prosty sposób na sprawdzenie, co jest już wdrożone, a co nadal wymaga uwagi.

Jak Polska wdrożyła NIS2

Polska przyjęła zaktualizowaną ustawę - zmiany w ustawie o krajowym systemie cyberbezpieczeństwa - na początku 2026 roku. Struktura jest zgodna z dyrektywą UE, ale dzieli nadzór w sposób odzwierciedlający lokalne rozwiązania instytucjonalne.

Na przykład CSIRT MON* nadzoruje podmioty związane z obronnością; CSIRT NASK** obejmuje krytyczną infrastrukturę cyfrową i administrację publiczną. Inne organy sektorowe nadzorują obszary takie jak energetyka, finanse, opieka zdrowotna i transport. Ponadto istnieje centralny rejestr dokumentujący, które podmioty są sklasyfikowane jako kluczowe lub ważne.

Począwszy od kwietnia 2026 r. przestrzeganie wymogów w zakresie sprawozdawczości, procedur nadzorczych i procedur egzekwowania prawa zgodnie z polskimi przepisami jest obowiązkowe.

Których firm to dotyczy?

Zakres jest szerszy niż wcześniej. Klasyfikacja zależy od dwóch czynników: sektora i rozmiaru, i wykracza poza tradycyjną infrastrukturę krytyczną.

NIS2 rozróżnia istotne podmioty, których zakłócenie miałoby poważny wpływ społeczny lub gospodarczy, oraz ważne podmioty, w przypadku których wpływ byłby znaczący, ale mniej krytyczny.

Istotne podmioty

Duże przedsiębiorstwa (ponad 250 pracowników, obrót ponad 50 mln euro) w kluczowych sektorach; lub średnie przedsiębiorstwa w sektorach krytycznych.

Energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, infrastruktura cyfrowa.

Ważne podmioty

Średnie przedsiębiorstwa (50-249 pracowników, obrót 10-50 mln euro) w kluczowych sektorach; lub dowolny podmiot (niezależnie od wielkości) w określonych sektorach.

Usługi pocztowe, gospodarka odpadami, chemikalia, żywność (duzi producenci i dystrybutorzy), produkcja (urządzenia medyczne, elektronika).

Nawet jeśli firma nie spełnia progów wielkości, władze mogą nadal określić ją jako “kluczową” lub “ważną” w oparciu o potencjalny wpływ zakłóceń w świadczeniu usług.

Kluczowe wymogi dotyczące cyberbezpieczeństwa w ramach NIS2

Zgodnie z dyrektywą będziesz działać w oparciu o podejście oparte na ryzyku, co oznacza, że podejmowane przez Ciebie środki powinny być proporcjonalne do wielkości firmy i zagrożeń, z jakimi może się ona spotkać. Są one zazwyczaj sformalizowane poprzez system zarządzania bezpieczeństwem informacji (ISMS). W tym zakresie będziesz wykonywać następujące czynności:

Przeprowadzanie regularnych ocen ryzyka
Utrzymywanie udokumentowanych polityk bezpieczeństwa, które formalizują role, obowiązki i kontrole organizacji.
Ustanowienie procesu postępowania w przypadku incydentów związanych z bezpieczeństwem, w tym zapobiegania, wykrywania, zgłaszania i reagowania w określonych ramach czasowych na powiadomienie organów.
Upewnij się, że zarządzanie kopiami zapasowymi, odzyskiwanie danych po awarii i plany zarządzania kryzysowego są wdrożone i działają podczas zakłóceń.
Przeprowadzanie należytej staranności i ciągłe monitorowanie dostawców, w tym ustalanie wymogów bezpieczeństwa i gromadzenie dowodów dotyczących dostawców.
Wdrożenie podstawowych zabezpieczeń systemu, takich jak kontrola dostępu, szyfrowanie, MFA i łatanie.
Zapewnienie pracownikom i kierownictwu szkoleń z zakresu ISMS oraz ustanowienie procedur bezpiecznego wdrażania i wycofywania pracowników.

Wsparcie ekspertów w zarządzaniu wymaganiami NIS2

Oceń luki w zgodności, wdrażaj kontrole i bądź gotowy do audytu dzięki Innowise.

Nowe terminy zapewnienia zgodności z NIS2

UE zobowiązała państwa członkowskie do transpozycji dyrektywy do dnia 17 października 2024 r. Niektóre z nich to zrobiły, a inne nie. Tak więc terminy zależą teraz od tego, gdzie jesteś zarejestrowany, ponieważ są one ustalane na szczeblu krajowym i różnią się w zależności od jurysdykcji.

Rejestracja podmiotu

Zazwyczaj dzieje się to w ciągu kilku miesięcy od wejścia w życie prawa krajowego lub gdy zostaniesz sklasyfikowany jako niezbędny lub ważny.

Środki bezpieczeństwa cybernetycznego

Oczekiwane od momentu, w którym prawo ma zastosowanie do użytkownika. W praktyce od pierwszego dnia, choć egzekwowanie przepisów przez organy nadzorcze może być stopniowe.

Pierwszy audyt zgodności

Jeśli zostaniesz wybrany, zwykle następuje to w ciągu 18 do 24 miesięcy, choć władze mogą działać szybciej w zależności od Twojego profilu ryzyka.

Terminy te są orientacyjne i mogą się różnić w zależności od tego, w jaki sposób każde państwo członkowskie wdraża i egzekwuje NIS2 na szczeblu krajowym, dlatego należy sprawdzić, co ma zastosowanie w danym kraju.

Kary za nieprzestrzeganie przepisów

W tym miejscu zaczyna się robić bardziej niuansowo. Dyrektywa określa dolną granicę i nie określa górnego pułapu: Państwa członkowskie muszą ustanowić minimalny poziom maksymalnych grzywien, ale zawsze mogą pójść wyżej, jeśli chcą. Zgodnie z art. 34 muszą one upewnić się, że grzywny są skuteczne, proporcjonalne i odstraszające. Mówiąc prostym językiem, wystarczająco duży, aby zranić, sprawiedliwy w stosunku do tego, co zrobiłeś źle, i wystarczająco poważny, aby nikt nie patrzył na to i nie myślał “warte ryzyka”.”

Dyrektywa dzieli to na dwa poziomy maksymalnych kar:

Dla istotnych podmiotów

≥ 10 mln euro

lub 2 procent całkowitego rocznego obrotu, w zależności od tego, która z tych wartości jest wyższa

Dla ważnych podmiotów

≥ 7 mln euro

lub 1,4% całkowitego rocznego obrotu, w zależności od tego, która z tych wartości jest wyższa

Aby zobaczyć, jak to działa w praktyce, weźmy Polskę jako przykład. Jej ustawodawstwo odzwierciedla progi NIS2. W przypadku większych organizacji stosuje się obliczenia oparte na obrotach, więc jeśli generujesz globalnie 1 miliard euro, 2% to 20 milionów euro. W przypadku poważnych naruszeń, które zagrażają obronie narodowej, bezpieczeństwu państwa lub bezpieczeństwu publicznemu, polskie prawo idzie dalej: grzywny do 100 milionów złotych (około 23 milionów euro).

Zupełnie inna skala, prawda? Tak więc nie tylko duzi gracze muszą martwić się o procent, ale każdy w niewłaściwym sektorze.

Dlaczego NIS2 jest ważną zmianą dla firm w Polsce?

Zmieniły się dwie rzeczy.

Po pierwsze, odpowiedzialność. Wcześniej, jeśli firma miała słabe zabezpieczenia, odpowiedzialność była często rozłożona na tyle, że żadna osoba nie czuła się narażona. Teraz zarządy ponoszą wyraźną odpowiedzialność. To zmienia sposób, w jaki te rozmowy przebiegają wewnętrznie.

Po drugie, skala. Tysiące polskich firm, które nigdy nie miały do czynienia z obowiązkowymi audytami w zakresie cyberbezpieczeństwa, teraz muszą się z nimi zmierzyć. A rygorystyczne 24-godzinne okna wczesnego ostrzegania i 72-godzinne okna formalnego raportowania oznaczają, że konieczne jest monitorowanie i wdrożenie procesów, zanim coś się wydarzy.

Badania pokaz że około połowa małych i średnich przedsiębiorstw ma wdrożone podstawowe mechanizmy kontroli bezpieczeństwa, a około połowa doświadczyła incydentu w ciągu ostatnich dwóch lat. Liczby te sugerują, że wiele organizacji zaczyna od zera.

* Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Ministerstwa Obrony Narodowej

** Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez Naukową i Akademicką Sieć Komputerową, krajowy instytut badawczy w Polsce

Więcej na ten temat

Blog

Poruszanie się po DORA: rozporządzenie UE w sprawie odporności cyfrowej

Blog

Cyberbezpieczeństwo w bankowości: znaczenie, zagrożenia, wyzwania

Blog

Jak zapobiegać naruszeniom danych w służbie zdrowia: najlepsze praktyki bezpieczeństwa

Skontaktuj się z nami

Umów się na rozmowę lub wypełnij poniższy formularz, a my odezwiemy się do Ciebie po przetworzeniu Twojego zgłoszenia.

Nazwa

Firma

E-mail

Telefon

Wiadomość

Wyślij nam wiadomość głosową

Załącz dokumenty

Prześlij plik

Można załączyć 1 plik o rozmiarze do 2 MB. Prawidłowe formaty plików: pdf, jpg, jpeg, png.

Klikając "Wyślij", wyrażasz zgodę na przetwarzanie Twoich danych osobowych przez Innowise zgodnie z naszą Politykę Prywatności w celu przekazania Ci odpowiednich informacji. Podając numer telefonu, zgadzasz się na kontakt za pośrednictwem połączeń głosowych, SMS-ów lub komunikatorów. Mogą obowiązywać opłaty za połączenia, wiadomości i transmisję danych.

Możesz także wysłać swoje zapytanie
na contact@innowise.com

Co dalej?

Po otrzymaniu i przetworzeniu zgłoszenia skontaktujemy się z Tobą, aby szczegółowo opisać projekt i podpisać umowę NDA w celu zapewnienia poufności.

Po zapoznaniu się z Twoimi potrzebami i oczekiwaniami, nasz zespół opracuje projekt wraz z zakresem prac, wielkością zespołu, wymaganym czasem i szacunkowymi kosztami.

Zorganizujemy spotkanie w celu omówienia oferty i ustalenia szczegółów.

Na koniec podpiszemy umowę, błyskawicznie rozpoczynając pracę nad projektem.