architecture 1842330 1280
Zmiany w podatkach w 2026 roku – przegląd kluczowych reform.
2025-12-08
Rozmowa pracowników 2
Jak prawidłowo zawrzeć i podpisać umowę elektroniczną w Polsce w 2026 roku?
2025-12-30

Dyrektywa NIS 2 w Polsce – kogo dotyczy i jakie wymogi nakłada dyrektywa?

Dyrektywa NIS 2, czyli w pełnym brzmieniu Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2), weszła w życie 16 stycznia 2023 r.

Państwa członkowskie miały obowiązek transpozycji dyrektywy do dnia 17 października 2024 r., przepisy wdrożeniowe miały zacząć obowiązywać od 18 października 2024 r.

Z uwagi na zakres dyrektywy oraz stosunkowo krótki okres jej implementacji w porządku wewnętrznym większość państw członkowskich nie wdrożyła przepisów w wymaganym czasie. Do tej grupy państw należy również Polska, która obecnie jest na etapie procedowania kolejnego projektu ustawy o zmianie ustawy o cyberbezpieczeństwie. Projekt ustawy wdrażającej został przyjęty przez rząd 21 października 2025 r., a skierowany do sejmu 7 listopada 2025 r.

Skontaktuj się z nami!

Kontakt

W związku z trwającymi pracami wdrożeniowymi, warto pochylić się już teraz nad tym, kogo dyrektywa może dotyczyć, a także jakie wymogi przewiduje. Należy jednak mieć na względzie, że zgodnie z wcześniejszymi zapowiedziami przedstawicieli rządu – polska ustawa może wdrożyć dyrektywę w szerszym zakresie. Sam projekt ustawy liczy 186 stron.

Cel dyrektywy NIS 2

Dyrektywa ma na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, aby poprawić funkcjonowanie rynku wewnętrznego.

Dyrektywa określa:

  • obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów, organów ds. zarządzania kryzysowego w cyberbezpieczeństwie, pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa (pojedyncze punkty kontaktowe) oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT);
  • środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów spoczywające na podmiotach w rodzaju tych, o których mowa w załączniku I lub II, jak również na podmiotach zidentyfikowanych jako podmioty o charakterze krytycznym na podstawie dyrektywy (UE) 2022/2557;
  • zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie;
  • obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.

Kogo dotyczy dyrektywa NIS 2?

Zgodnie z art. 2 ust.1 dyrektywy ma ona zastosowanie do podmiotów publicznych lub prywatnych, działających w obszarze sektorów wymienionych w załączniku I oraz załączniku II do dyrektywy – tj. sektorów kluczowych i ważnych. 

Przykładowe sektory działalności to m.in. energetyka, transport, opieka zdrowotna, sektor finansowy, czy też infrastruktura cyfrowa. 

Dodatkowym kryterium jest wielkość przedsiębiorstwa. Zgodnie z art. 2 dyrektywy ma ona zastosowanie do co najmniej średnich przedsiębiorstw zgodnie z rekomendacją Komisji z dnia 6 maja 2003 r. – tj. przedsiębiorstw zatrudniających więcej niż 50 pracowników lub z obrotem powyżej 10 mln euro. 

Jakie obowiązki przewiduje dyrektywa NIS 2?

Główne wymogi przewidziane w dyrektywie NIS 2 to:

  • Obowiązek zarządzania ryzykiem cybernetycznym, tj. obowiązek wdrożenia i stosowania odpowiednich środków technicznych i organizacyjnych adekwatnych do oceny ryzyka;
  • Wymóg wdrożenia odpowiednich polityk i procedur w zakresie zarządzania ryzykiem;
  • Zarządzanie incydentami i raportowanie do odpowiednich organów;
  • Obowiązek zapewnienia ciągłości działania przedsiębiorstwa, w tym planowanie awaryjne, tworzenie kopii zapasowych, odporność na zakłócenia;
  • Zapewnienie zgodności również w kontekście łańcuchów dostaw i usług zewnętrznych.

Dyrektywa nakłada na państwa członkowskie obowiązek wprowadzenia mechanizmów nadzoru i egzekwowania przepisów wdrożonych na podstawie dyrektywy NIS 2. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające. Zgodnie z art. 34 ust. 4 i 5 dyrektywy kary w przypadku podmiotów kluczowych mogą wynieść do 10 000 000 EUR lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy. Z kolei w przypadku podmiotów ważnych kary mogą wynieść 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa.

Nad czym warto się zastanowić w związku z dyrektywą NIS 2?

W przypadku gdy dany podmiot spełnia przesłanki art. 2 i 3 dyrektywy – tj. co do zasady sektor działalności przedsiębiorstwa został wymieniony w załączniku nr I i II do dyrektywy a także jest co najmniej średnim przedsiębiorstwem (z pewnymi wyjątkami) to już teraz warto przeprowadzić analizę ryzyka i zacząć prace nad wdrożeniem odpowiednich polityk i procedur, regulujących m.in. kwestie bezpieczeństwa, działanie na wypadek incydentów, czy też zasady raportowania.

Więcej o prawie nowych technologii przeczytasz na: https://kkplegal.pl/uslugi/prawo-nowych-technologii/ 

Adwokat
Krystyna Mazalik-Sumara 

Autor

Dyrektywa NIS 2 w Polsce – kogo dotyczy i jakie wymogi nakłada dyrektywa?

KKP Legal


2025-12-12

Skontaktuj się
z nami

kontakt
KKP logo ikona czerwone cropped