Kogo dotyczy NIS 2?

Kogo dotyczy NIS 2 - Coongi

Kogo dotyczy NIS 2 – to pytanie, w obliczu podpisania nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), urasta do rangi najważniejszego wyzwania biznesowego w 2026 roku. Skończył się czas oczekiwania na decyzję administracyjną, która potwierdzałaby listę obowiązków, wytycznych i dobrych praktyk, o których rozmawiano od dawna.

Wytyczne dotyczące wdrożenia NIS 2 zmieniają mechanizm samoidentyfikacji, przenosząc ciężar weryfikacji i odpowiedzialności prawnej bezpośrednio na kadrę zarządzającą. Wymaga to od zarządów samodzielnego ustalenia, czy ich organizacja jest firmą objętą dyrektywą. Podstawą zgodności z prawem staje się precyzyjne rozróżnienie podmiotów kluczowych od podmiotów ważnych.

Spis treści

ustawa o Krajowym Systemie Cyberbezpieczeństwa

Nowe ramy prawne - wdrożenie dyrektywy NIS 2

Znowelizowany Krajowy System Cyberbezpieczeństwa wprowadza fundamentalną zmianę w modelu kwalifikacji podmiotów. W poprzednim stanie prawnym (NIS 1) status Operatora Usługi Kluczowej nadawany był w drodze indywidualnej decyzji administracyjnej. Podmiot mógł pasywnie oczekiwać na oficjalne pismo od organu właściwego
ds. cyberbezpieczeństwa. Obecne przepisy znoszą ten tryb na rzecz mechanizmu samoidentyfikacji. Oznacza to, że ciężar ustalenia statusu prawnego spoczywa w 100% na przedsiębiorstwach i instytucjach.

kogo dotyczy NIS 2 - nowe ramy prawne

Podmioty objęte dyrektywą NIS 2 muszą samodzielnie zweryfikować, czy spełniają ustawowe kryteria, a następnie zgłosić ten fakt do odpowiedniego wykazu w ściśle określonym terminie. Zaniedbanie tego obowiązku generuje natychmiastowe ryzyko regulacyjne. Brak wpisu do rejestru grozi nałożeniem dotkliwych kar finansowych, nawet jeśli w organizacji nie doszło do żadnego incydentu bezpieczeństwa i posiada ona sprawne zabezpieczenia. Dlatego proces adaptacji należy rozpocząć od audytu wstępnego, który jednoznacznie potwierdzi lub wykluczy podleganie pod nowe regulacje, eliminując niepewność prawną.

Zakres dyrektywy a wielkość podmiotu. Kiedy MŚP wpada w rygor ustawy o KSC?

Analizując podmioty objęte przepisami, w pierwszej kolejności należy zweryfikować kryterium skali. Dyrektywa Parlamentu Europejskiego co do zasady celuje w podmioty średnie i duże. Nowe obowiązki dotyczą przedsiębiorstw zatrudniających powyżej 50 pracowników lub osiągających roczny obrót (bądź sumę bilansową) przekraczającą 10 mln EUR. Jest to podstawowy filtr, który teoretycznie wyłącza z regulacji sektor mikro i małych przedsiębiorstw.

Jednakże wielkość podmiotu nie jest jedynym kryterium decydującym. Ustawodawca przewidział szereg wyjątków, w których nawet mikroprzedsiębiorstwo podlega pod pełen zakres dyrektywy, jeśli świadczona przez nie usługa ma charakter krytyczny. Niezależnie od obrotów i zatrudnienia, ustawie podlegają podmioty:

  • Których zakłócenie działania miałoby istotny wpływ na bezpieczeństwo publiczne, bezpieczeństwo narodowe lub stwarzało zagrożenia zdrowia publicznego.
  • Będące jedynym dostawcą danej usługi kluczowej w państwie członkowskim (monopoliści regionalni lub krajowi).
  • Których zakłócenie działania mogłoby wywołać ryzyko systemowe o skutkach transgranicznych.

Mechanizm ten sprawia, że mały szpital powiatowy, nawet jeśli formalnie spełnia kryteria małego przedsiębiorstwa (np. ze względu na strukturę zatrudnienia opartą na kontraktach B2B), niemal zawsze zostanie objęty regulacją. W sektorze ochrony zdrowia ryzyko dla życia i zdrowia pacjentów jest nadrzędne wobec wskaźników ekonomicznych.

Podmioty kluczowe a podmioty ważne. Klasyfikacja według sektorów krytycznych

Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa, przyjęta przez Sejm w styczniu 2026 roku, wprowadza fundamentalny podział na dwie kategorie podmiotów, które zastępują dotychczasową definicję Operatora Usługi Kluczowej.
Klasyfikacja ta nie jest uznaniowa, lecz wynika wprost z przynależności do określonego sektora gospodarki oraz skali działalności. Rozróżnienie to jest fundamentem nowego systemu nadzoru, determinującym nie tyle „co” firma musi zrobić (gdyż wymogi bezpieczeństwa są zbliżone), ale „jak” będzie kontrolowana i karana.

Wymagania dyrektywy NIS 2 i podmioty kluczowe

Do tej grupy zaliczane są organizacje funkcjonujące w obszarach definiowanych jako sektory krytyczne dla funkcjonowania państwa i społeczeństwa. Są to podmioty o wysokim stopniu ryzyka, których zakłócenie miałoby natychmiastowe i katastrofalne skutki. Do grupy tej należą m.in.:

  • Sektor energetyki (elektrownie, operatorzy sieci przesyłowych),
  • Transport (lotniczy, kolejowy, wodny),
  • System ochrony zdrowia (szpitale, producenci leków),
  • Bankowość i infrastruktura rynków finansowych,
  • Infrastruktura cyfrowa (dostawcy usług chmurowych, centra danych).

Cechą wyróżniającą podmioty kluczowe jest objęcie ich nadzorem prewencyjnym. Oznacza to, że organ nadzorczy ma prawo przeprowadzić audyt bezpieczeństwa w dowolnym momencie, nawet jeśli w organizacji nie wystąpił żaden incydent. Ustawodawca wychodzi z założenia, że w tych sektorach prewencja jest jednym z metod dbania o bezpieczeństwo.

Kogo jeszcze dotyczy NIS 2 - podmioty ważne

Wytyczne dotyczące wdrożenia NIS 2 poza wspomnianymi już kluczowymi sektorami obejmuje również sektory ważne dla gospodarki, których paraliż, choć dotkliwy ekonomicznie, nie zagraża bezpośrednio bezpieczeństwu narodowemu w takim stopniu jak sektory krytyczne. Do tej grupy zaliczamy m.in.:

  • Sektor żywności (produkcja i dystrybucja masowa),
  • Przemysł (produkcja komputerów, pojazdów, maszyn),
  • Usługi pocztowe i kurierskie,
  • Gospodarkę odpadami.

W przypadku podmiotów ważnych stosuje się model nadzoru ex-post (reaktywny). Organ nadzorczy podejmuje działania kontrolne zazwyczaj dopiero w momencie, gdy otrzyma zgłoszenie o incydencie lub posiada uzasadnione podejrzenie, że podmiot nie przestrzega przepisów ustawy.

Istota podziału w świetle przepisów o KSC

Rozróżnienie na podmioty kluczowe i ważne wynika bezpośrednio z oceny krytyczności usług świadczonych przez daną organizację dla stabilności gospodarki i bezpieczeństwa publicznego. Intencją ustawodawcy przy implementacji dyrektywy NIS 2 było stworzenie mechanizmu, w którym rygor nadzorczy jest wprost proporcjonalny do potencjalnych skutków incydentu. Choć obie kategorie podmiotów zobligowane są do wdrażania adekwatnych środków zarządzania ryzykiem, to w przypadku podmiotów kluczowych – ze względu na systemowy charakter zagrożeń – przyjęto model zaostrzonej odpowiedzialności.

Różnica ta jest najbardziej widoczna w wymiarze sankcyjnym. Mechanizm karania został skonstruowany w sposób gradacyjny, aby zapewnić najwyższy poziom prewencji tam, gdzie ryzyko paraliżu usług jest największe. W praktyce oznacza to, że podmioty kluczowe muszą liczyć się z karami administracyjnymi sięgającymi pułapu 10 mln EUR lub 2% łącznego światowego obrotu rocznego. Dla podmiotów ważnych górna granica sankcji została ustalona na poziomie 7 mln EUR lub 1,4% obrotu. Taka dywersyfikacja ma na celu zmotywowanie sektorów najbardziej newralgicznych do priorytetowego traktowania inwestycji w cyberbezpieczeństwo.

Sektor zdrowia – priorytet w świetle Dyrektywy NIS 2

Sektor zdrowia został potraktowany przez ustawodawcę unijnego i krajowego w sposób absolutnie priorytetowy. Doświadczenia pandemii COVID-19 oraz rosnąca fala ataków ransomware na szpitale (zarówno w Polsce, jak i w Europie Zachodniej) wymusiły drastyczne rozszerzenie definicji podmiotów objętych regulacją. W reżimie NIS 1 status Operatora Usługi Kluczowej posiadały jedynie największe, wyselekcjonowane jednostki. Dyrektywa parlamentu europejskiego kończy z tym elitaryzmem. Zakres cyberbezpieczeństwa zgodny z NIS 2 dotyczy w praktyce każdego szpitala znajdującego się w Polsce.

kogo dotyczy NIS 2 - sektor ochrony zdrowia

Kogo dotyczy NIS 2 w sektorze ochrony zdrowia?

Nowelizacja ustawy o KSC wskazuje, że do kategorii podmiotów kluczowych w ochronie zdrowia zaliczamy nie tylko szpitale. Katalog ten został znacząco rozbudowany o ogniwa łańcucha dostaw leków i technologii. W świetle aktualnych przepisów dyrektywa NIS 2 odnosi się do:

  • Podmiotów leczniczych: Każda placówka medyczna (szpital) świadcząca świadczenia opieki zdrowotnej w warunkach szpitalnych.
  • Laboratoriów referencyjnych UE: Ośrodki badawcze pełniące funkcje nadzorcze i analityczne w skali unijnej.
  • Sektora farmaceutycznego: Podmioty prowadzące badania i rozwój produktów leczniczych (R&D) oraz wytwórcy produktów farmaceutycznych.
  • Producentów wyrobów medycznych: Firmy produkujące urządzenia krytyczne dla ratowania życia (w rozumieniu rozporządzenia o stanach zagrożenia zdrowia publicznego).

Cel regulacji: Ciągłość leczenia i bezpieczeństwo publiczne

Włączenie tak szerokiej grupy podmiotów ma dwa strategiczne cele. Po pierwsze, podmioty ochrony zdrowia muszą gwarantować ciągłość działania usług medycznych. Cyberzagrożenia nie mogą doprowadzić do sytuacji, w której SOR przestaje przyjmować pacjentów z udarem, bo system triażu został zaszyfrowany. Wytyczne dotyczące wdrożenia NIS 2 w szpitalu wskazują nie tylko na konieczność wdrożenia wysocespecjalistycznych zabezpieczeń systemów informatycznych chroniących oprogramowanie medyczne, ale także wymuszą konieczność zapewnienia ciągłości działania w sytuacji, gdy bezpieczeństwo systemów zostanie naruszone, a szpital odcięty od infrastruktury IT.

Po drugie, priorytetem staje się ochrona danych medycznych. W dobie cyfryzacji (EDM, e-Recepta, telemedycyna), integralność i poufność historii choroby pacjenta jest fundamentem zaufania do systemu opieki zdrowotnej. Ustawodawca uznaje, że bezpieczeństwo cyfrowe jest w tym sektorze nierozerwalnie związane z bezpieczeństwem fizycznym pacjenta. Nowa dyrektywa NIS 2 wskazuje na konieczność ochrony wrażliwych danych. Należy przez to rozumieć dane osobowe pacjentów, które zostały powierzone jednostkom medycznym w trakcie korzystania z usług medycznych.

Sektor energetyczny jako fundament infrastruktury krytycznej

Zadając sobie pytanie, kogo dotyczy NIS 2 w odniesieniu do energetyki, najkrótsza odpowiedź brzmi: każdego z nas. Sektor energetyczny jest absolutnym fundamentem stabilności państwa. Bez niego nie funkcjonują szpitale, banki, systemy łączności ani łańcuchy dostaw. Dlatego właśnie sektor energetyki jako infrastruktura krytyczna został w dyrektywie NIS 2 zdefiniowany niezwykle szeroko. Nowa regulacja obejmuje nie tylko tradycyjnych wytwórców i operatorów systemów przesyłowych, ale cały łańcuch wartości: od energii elektrycznej i ciepłownictwa, przez ropę naftową i gaz, aż po technologie przyszłości, takie jak wodór.

Istotną zmianą jest objęcie przepisami operatorów punktów ładowania pojazdów elektrycznych. Wraz z elektryfikacją transportu stają się oni krytycznym elementem sieci. Sektor ten jest szczególnie istotny, gdyż oddziałuje na inne sektory kluczowe dla gospodarki. Występuje tu ogromne ryzyko tzw. efektu kaskadowego, gdzie jeden udany cyberatak na mniejszy podmiot (np. farmę wiatrową) może zdestabilizować sieć przesyłową, paraliżując usługi w całym regionie.

Zagrożenie to nie jest teoretyczne. Polska energetyka, w tym sektor Odnawialnych Źródeł Energii (OZE), był już celem aktywnych działań wrogich grup. Dowodem na zasadność objęcia dyrektywą NIS 2 nie tylko największych przedsiębiorstw energetycznych jest komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa z 19.01.2026 roku, w którym czytamy:

Praca farm wiatrowych i fotowoltaicznych jest monitorowana i sterowana przez rozwiązania automatyki przemysłowej. Z powodu rozproszenia geograficznego urządzenia zainstalowane na tego typu obiektach umożliwiają zdalne zarządzanie parametrami pracy, diagnostykę, planowanie serwisu i reagowanie na zdarzenia – często z centralnych dyspozytorni lub przez zewnętrznych dostawców utrzymania. Mimo, że pojedynczo są to źródła o stosunkowo małych mocach, skoordynowane zakłócenie ich pracy może mieć poważne konsekwencje dla stabilności systemu elektroenergetycznego. Cyberbezpieczeństwo farm OZE ma więc znaczenie nie tylko dla pojedynczych firm będącej ich właścicielami, ale również dla operatorów sieci dystrybucyjnej i systemu przesyłowego oraz dla obywateli.

Źródło: Ministerstwo Cyfryzacji, Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa dotyczący cyberbezpieczeństwa OZE.

Dlatego właśnie podmioty z tego sektora muszą wdrożyć rygorystyczne procedury ochrony, obejmujące w równym stopniu klasyczne IT, jak i automatykę przemysłową (OT). Poziom bezpieczeństwa wszystkich firm zaangażowanych w wytwarzanie i dystrybucję energii ma kluczowe znaczenie dla bezpieczeństwa państwa.

Sektor transportu – ląd, woda i powietrze. Logistyka pod cyfrowym nadzorem

Sektor transportu zdefiniowano w ustawie kompleksowo, obejmując nie tylko przewoźników (lotniczych, kolejowych, wodnych i drogowych), ale przede wszystkim podmioty zarządzające infrastrukturą. Lista zawierająca odpowiedź na pytanie: kogo dotyczy NIS 2 w sektorze transportu jest długa.
Specjalne środki bezpieczeństwa w szczególności dotyczą portów lotniczych i morskich, zarządców infrastruktury kolejowej oraz podmioty odpowiedzialne za sieć dróg i autostrad. Utrzymanie drożności łańcuchów dostaw jest tu priorytetem, gdyż paraliż logistyczny oznacza natychmiastowe straty dla całej gospodarki i zalicza te podmioty do grupy kluczowych sektorów gospodarki.

Nowym, krytycznym obszarem regulacji są Inteligentne Systemy Transportowe (ITS). Współczesna logistyka nie opiera się już na infrastrukturze fizycznej, ale na zaawansowanych systemach IT sterujących ruchem i nawigacją. Cyfryzacja kolei czy automatyzacja kontroli ruchu lotniczego sprawia, że podatność na cyberataki drastycznie wzrosła. Zabezpieczenie warstwy cyfrowej jest niezbędne, aby zapobiec scenariuszom, w których ingerencja hakerska prowadzi do katastrof w ruchu lądowym lub powietrznym. Poziom cyberbezpieczeństwa sektora transportu jest tak samo newralgicznym czynnikiem, jak wspomniany powyżej sektor energetyczny, gdyż są to dziedziny życia gospodarcze mocno oddziałujące na wszystkie pozostałe obszary gospodarki i zarządzanie bezpieczeństwem w skali całego państwa.

Sektor bankowy i infrastruktury rynków finansowych

Dyrektywa NIS 2 nie mogła w żadnym stopniu ominąć sektora bankowego oraz sektor infrastruktury rynków finansowych (obejmujący m.in. kontrahentów centralnych i systemy obrotu) zajmują w dyrektywie parlamentu europejskiego pozycję specyficzną. Choć ustawa o KSC zalicza te podmioty do kategorii kluczowych, w praktyce zastosowanie ma tu zasada lex specialis (prawa szczególnego). Oznacza to, że nadrzędnym aktem prawnym regulującym obowiązki w zakresie cyberbezpieczeństwa dla instytucji finansowych jest unijne rozporządzenie DORA (Digital Operational Resilience Act).

W praktyce podmioty te podlegają pod dyrektywę NIS 2 w zakresie ogólnej klasyfikacji i nadzoru krajowego, jednak konkretne wymogi operacyjne takie jak zarządzanie ryzykiem ICT, testowanie odporności czy raportowanie incydentów realizowane są na podstawie przepisów DORA. Celem tego dualizmu prawnego jest uniknięcie dublowania obowiązków, przy jednoczesnym zapewnieniu maksymalnej ochrony stabilności systemu finansowego państwa przed rosnącymi cyberzagrożeniami. Taka konstrukcja prawna gwarantuje, że pieniądze i aktywa obywateli chronione są przez najbardziej rygorystyczne standardy techniczne w całej UE.

Infrastruktura cyfrowa i zarządzanie usługami ICT

Infrastruktura cyfrowa to sektor o znaczeniu strategicznym, stanowiący techniczny fundament dla funkcjonowania wszystkich pozostałych branż od bankowości i medycyny po energetykę i administrację publiczną. Awaria w tym obszarze paraliżuje nie jedną firmę, ale całe ekosystemy gospodarcze. Dlatego ustawodawca zaliczył do grupy podmiotów kluczowych szeroki katalog dostawców B2B. Obowiązkiem ustawowym objęci zostali:

  • Operatorzy punktów wymiany ruchu internetowego i dostawcy usług DNS.
  • Operatorzy centrów danych (Data Centers).
  • Dostawcy usług chmurowych (Cloud Computing) i sieci dostarczania treści (CDN).
  • Dostawcy usług zaufania (podpis elektroniczny), gwarantujący wiarygodność obrotu prawnego.

Fundamentalną nowością dotyczącą cyberbezpieczeństwa dla tego obszaru gospodarki jest objęcie regulacją kategorii „Dostawcy usług zarządzanych z zakresu bezpieczeństwa”. Są to wyspecjalizowane firmy zewnętrzne, którym inne podmioty (np. szpitale czy fabryki) zlecają zarządzanie usługami cyberbezpieczeństwa (np. monitoring SOC, obsługa incydentów).
Ustawodawca uznał, że dostawcy usług cyfrowych w tym modelu, posiadając uprzywilejowany dostęp do infrastruktury wielu klientów jednocześnie, mogą stać się wektorem groźnego ataku łańcuchowego. Dlatego muszą oni spełniać równie rygorystyczne normy, co podmioty kluczowe, które chronią. Podmioty objęte dyrektywą, które decydują się na outsourcing w zakresie cyberbezpieczeństwa mają nie tylko prawo, ale i obowiązek oczekiwać spełnienia wszystkich najbardziej rygorystycznych wymagań dyrektywy NIS 2.

Sektor administracji publicznej – państwo na cyfrowym froncie

Kompletując listę obszarów sektorów objętych dyrektywą NIS 2 nie można pominąć administracji publicznej. Włączenie w ramy systemu cyberbezpieczeństwa szeroko rozumianej sfery budżetowej jest pewnym novum, który wynika z poziomu zagrożenia spowodowanego eventualnym atakiem. Sektor administracji publicznej przestaje być traktowany ulgowo. Zakres obowiązków związanych z zapewnieniem wysokiego poziomu cyberbezpieczeństwa jest na równi wysoki, jak w przypadku innych podmiotów objętych dyrektywą.
Nowe środki bezpieczeństwa dotyczą nie tylko szczebla centralnego (ministerstwa, agencje rządowe), ale również jednostki samorządu terytorialnego na szczeblu regionalnym. Ustawodawca uznał, że w dobie cyfryzacji usług (e-Urząd, mObywatel), urząd gminy czy starostwo powiatowe przetwarza dane równie wrażliwe, co bank. Tym samym Urząd Miasta, Starostwo Powiatowe, jak i Urząd Marszałkowski można uznać za podmioty krytyczne.

Kogo dotyczy NIS 2 - administracja publiczna

Celem tych zmian jest ochrona krytycznych rejestrów państwowych (np. PESEL, EGiB) oraz zapewnienie ciągłości obsługi obywatela. Jest to jednak obszar obarczony gigantycznym ryzykiem wdrożeniowym. Podmioty publiczne często operują na infrastrukturze typu legacy – przestarzałych systemach informatycznych, które nie zawsze są wspierane przez producentów. Skuteczne wdrożenie nowoczesnych systemów cyberbezpieczeństwa w takim środowisku wymaga nie tylko nakładów finansowych, ale przede wszystkim fundamentalnej zmiany w podejściu do modernizacji IT w sektorze publicznym.
Co więcej, sektor administracji publicznej w jednakowym stopniu wymaga głębokiej modernizacji technologicznej, co jednakowo szkoleń, procedur i budowania świadomości w zakresie cyberhigieny.

Sektor przestrzeni kosmicznej – nowy gracz wśród kluczowych sektorów

Włączenie sektora przestrzeni kosmicznej do dyrektywy NIS 2 jest dowodem na to, jak bardzo współczesna gospodarka uzależniła się od technologii satelitarnych. Ustawodawca zaliczył ten obszar do kategorii kluczowe sektory, koncentrując się przede wszystkim na operatorach infrastruktury naziemnej. Regulacja dotyczy podmiotów, które zarządzają stacjami kontroli, centrami przetwarzania danych oraz systemami niezbędnymi do świadczenia usług kosmicznych (eksploatacja satelitów).

Ochrona ta jest niezbędna, ponieważ zakłócenie działania tej infrastruktury miałoby dewastujący wpływ na systemy nawigacji (GPS, Galileo) oraz łączność satelitarną. W dobie transportu intermodalnego precyzyjnego rolnictwa czy synchronizacji czasu w systemach bankowych, sygnał z kosmosu jest zasobem krytycznym. Jego utrata lub sfałszowanie (spoofing) mogłoby doprowadzić do paraliżu wielu innych usług kluczowych, dlatego sektor ten musi spełniać rygorystyczne normy bezpieczeństwa.

Sektory ważne: Żywność, chemia, odpady, poczta i usługi kurierskie

Katalog podmiotów podlegających ustawie zamykają tzw. sektory ważne. Choć awaria w tym obszarze rzadziej stwarza bezpośrednie zagrożenie życia, to podmioty objęte dyrektywą w tej grupie są kluczowe dla stabilności ekonomicznej i społecznej państwa. Zakres regulacji jest tu bardzo szeroki i obejmuje:

  • Sektor żywności: Dotyczy przedsiębiorstw zajmujących się produkcją, przetwarzaniem oraz dystrybucją żywności na skalę hurtową/przemysłową. Przepisy te mają chronić łańcuch dostaw przed zatruciem lub przerwaniem dostaw produktów pierwszej potrzeby.
  • Przemysł chemiczny: Produkcja i dystrybucja chemikaliów.
  • Gospodarka odpadami: Podmioty zajmujące się gospodarowaniem odpadami (z wyłączeniem prostych usług komunalnych, jeśli nie są krytyczne).
  • Produkcja przemysłowa: Bardzo istotna kategoria obejmująca producentów wyrobów medycznych, komputerów, wyrobów elektronicznych, optycznych, a także producentów pojazdów samochodowych i sprzętu transportowego.
  • Sektory objęte dyrektywą to również usługi pocztowe i kurierskie. W dobie e-commerce, operatorzy pocztowi stali się kręgosłupem handlu detalicznego. Zakłócenie ich systemów IT (np. sortowni paczek) paraliżuje tysiące sklepów internetowych i firm B2B, dlatego sektor ten musi wdrożyć adekwatne środki ochrony

Dla wielu firm produkcyjnych i logistycznych zaskoczeniem może być fakt, że jako sektory ważne podlegają tym samym wymogom zarządzania ryzykiem, co banki, choć pod lżejszym rygorem kar. Wytyczne dotyczące wdrożenia NIS 2 dla powyższych obszarów mają być kolejnym elementem budowania odporności cybernetycznej państw członkowskich Unii Europejskiej.
Wszystkie przedstawione obszary objęte dyrektywą NIS 2 są efektem, w jaki społeczeństwa i gospodarki się rozwijają oraz ich wzajemnego oddziaływania na siebie oraz bezpieczeństwo każdego człowieka. Dlatego nie może dziwić fakt, że tak wiele dziedzin naszego życia musi w swoim codziennym funkcjonowaniu uwzględniać możliwość wystąpienia cyberzagrożeń oraz podejmować próby przeciwdziałania im.

Pułapka łańcucha dostaw – czy jesteś dostawcą podmiotu kluczowego?

To jeden z najbardziej newralgicznych aspektów nowej regulacji, często pomijany w powierzchownych analizach. Nawet jeśli organizacja jest mała, nie widnieje w załącznikach do ustawy i teoretycznie nie jest firmą objętą dyrektywą, przepisy mogą dotyczyć takie przedsiębiorstwo w sposób pośredni. Jest to pułapka, w którą wpadnie wiele firm z sektora IT oraz usług B2B.
Świadczenie usług na rzecz podmiotów kluczowych i podmiotów ważnych wiąże się z osiągnięciem wspólnego poziomu cyberbezpieczeństwa z świadczeniobiorcami (szpitale, jednostki samorządu terytorialnego). Dyrektywa NIS 2 sprawia, że podmioty objęte przepisami muszą weryfikować, czy łańcuch dostaw IT jest odpowiednio zabezpieczony przed cyberzagrożeniami na całym odcinku.

kogo dotyczy NIS 2 - dostawca dla podmiotu kluczowego

Nowa dyrektywa i mechanizm przenoszenia odpowiedzialności

Mechanizm działania jest bezwzględny. Podmiot kluczowy (np. szpital, bank, operator energetyczny) ma ustawowy obowiązek zapewnić bezpieczeństwo łańcucha dostaw. Prawo zabrania mu współpracy z podmiotami, które generują ryzyko dla jego systemów. W praktyce oznacza to, że duży klient będzie wymuszał na swoich kontrahentach spełnienie wyśrubowanych norm bezpieczeństwa. Dotyczy to szerokiego grona podmiotów świadczących usługi:

  • Software House’ów tworzących i serwisujących oprogramowanie.
  • Firm serwisujących sprzęt (medyczny, przemysłowy).
  • Zewnętrznych kadr i płac.
  • A nawet firm sprzątających czy ochroniarskich, jeśli ich pracownicy mają fizyczny dostęp do serwerowni lub stref chronionych.

Nowe regulacje - nowe warunki współpracy

Dyrektywa NIS 2 to również nowe warunki biznesowe dla setek przedsiębiorstw funkcjonujących w ekosystemie podmiotów objętych przepisami o cybebezpieczeństwie. Konsekwencja rynkowa jest natychmiastowa. Dostawcy usług muszą liczyć się z tym, że w nowych przetargach i aneksach do umów pojawią się wymogi przedstawienia certyfikatów (np. ISO 27001) lub poddania się audytowi bezpieczeństwa ze strony klienta.
Firmy, które nie wdrożą odpowiednich środków technicznych i organizacyjnych, zostaną po prostu wykluczone z łańcuchów dostaw strategicznych sektorów gospodarki. Zgodność z NIS 2 staje się więc dla dostawców nie tyle obowiązkiem prawnym, co warunkiem utrzymania kontraktów.

Wymagania NIS 2 w praktyce. Od zarządzania ryzykiem po odpowiedzialność zarządu

Implementacja dyrektywy to definitywny koniec ery fasadowego bezpieczeństwa. Nowe przepisy precyzują konkretne wymagania, które wymuszają przejście od teoretycznych polityk do twardych zabezpieczeń technicznych. Fundamentem zgodności jest adekwatne zarządzanie ryzykiem – proces ten nie może opierać się na intuicji, lecz na cyklicznej, udokumentowanej analizie aktywów i podatności.
W warstwie infrastrukturalnej ustawa wprost wskazuje na konieczność stosowania kryptografii (szyfrowania danych spoczynkowych i w transmisji) oraz uwierzytelniania wieloskładnikowego (MFA). To ostatnie staje się obligatoryjnym standardem w dostępie do systemów krytycznych, skutecznie neutralizując ataki oparte na przejęciu tożsamości.

Kluczowym wyzwaniem operacyjnym są nowe standardy reakcji na zagrożenia. Procedura raportowania została drastycznie zaostrzona. Każda instytucja objęta dyrektywą ma zaledwie 24 godziny na wysłanie wczesnego ostrzeżenia do właściwego CSIRT (NASK, GOV lub MON) oraz 72 godziny na pełne zgłoszenie incydentu. Aby dotrzymać tych terminów, organizacja musi posiadać sprawne zarządzanie incydentami, wsparte monitoringiem sieci w modelu 24/7.
Równolegle ustawa nakłada rygorystyczny obowiązek zapewnienia ciągłości działania, co w praktyce wymusza posiadanie testowanych kopii zapasowych (najlepiej w modelu offline), gwarantujących odtworzenie danych nawet po skutecznym ataku ransomware.

Trzecim filarem jest rewolucja w podejściu do roli organów zarządzających. Członkowie zarządów i dyrektorzy nie mogą już zasłaniać się brakiem wiedzy technicznej czy delegowaniem zadań na dział IT. Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada na kadrę managerską ustawowy obowiązek odbycia szkoleń oraz aktywnego, osobistego nadzoru nad wdrażaniem środków bezpieczeństwa. Zarządzanie cyberbezpieczeństwem staje się tym samym integralną częścią ładu korporacyjnego, a nie tylko zagadnieniem technicznym.

ZOBACZ RÓWNIEŻ:

Sankcje i odpowiedzialność osobista. Dlaczego dyrektywa wprowadza tak surowy reżim?

Regulacje dotyczące cyberbezpieczeństwa wchodzą na poziom rygoru, który znamy dotychczas z RODO, a w wielu aspektach go przewyższają. Ustawodawca uznał, że model dobrowolności zawiódł, dlatego system sankcji został skonstruowany wielowarstwowo. Oprócz wspomnianych wcześniej dotkliwych kar finansowych, nowelizacja wprowadza mechanizmy uderzające bezpośrednio w decydentów.
Najbardziej dyscyplinującym narzędziem są nowe ryzyka nałożone na osoby fizyczne zarządzające organizacją. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa przewiduje precedensowe uprawnienia dla organów nadzorczych, włącznie z możliwością tymczasowego zawieszenia kierownika jednostki (np. prezesa spółki, dyrektora szpitala) w pełnieniu obowiązków, jeśli podmiot uporczywie uchyla się od usuwania nieprawidłowości. Oznacza to fundamentalną zmianę: za zaniedbania w obszarze IT zarząd odpowiada już nie tylko budżetem firmy, ale własną karierą zawodową i możliwością pełnienia funkcji kierowniczych.

Ostatnim, często niedocenianym wymiarem kary, jest utrata reputacji. Dyrektywa wprowadza mechanizm podawania do wiadomości publicznej informacji o naruszeniach (tzw. naming and shaming). Organ nadzorczy może opublikować komunikat wskazujący, że dana firma nie spełnia wymogów bezpieczeństwa lub dopuściła do incydentu przez swoje zaniedbania. W sektorach opartych na zaufaniu, takich jak medycyna, bankowość czy energetyka, taka oficjalna „anty-reklama” może przynieść straty wizerunkowe i biznesowe przewyższające wartość samej kary administracyjnej.

Czy warto samodzielnie szukać odpowiedzi na pytanie: kogo dotyczy NIS 2?

Wdrożenie ustawy o Krajowym Systemie Cyberbezpieczeństwa (będącej implementacją dyrektywy Parlamentu Europejskiego – NIS 2) należy traktować nie jako kolejny biurokratyczny obowiązek, ale jako próbę systemowego dostosowania odporności państwa do skali zagrożeń, które rosną w tempie wykładniczym.
Liczby nie kłamią, polska cyberprzestrzeń permanentnie jest atakowana, a incydenty dotykają już nie tylko banków, ale także infrastruktury komunalnej, którą przeciętny obywatel traktuje jako pewnik, który zawsze będzie poprawnie funkcjonował.

Skalę problemu dobitnie obrazuje serwis CyberDefence24, który pokrótce podsumował cyberzagrożenia, jakie miały miejsce w 2025 roku,powołując się na najnowsze raporty CERT Polska, mamy do czynienia z rekordową falą naruszeń, która nie oszczędza nikogo:

Celem cyberprzestępców stały się stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie (luty 2025) oraz Szczytnie (lipiec 2025), w tym polska elektrownia wodna. Opisywaliśmy również ataki na spalarnie odpadów, basen i fontannę (08.2025), małą elektrownię wodną (05.2025), kompresory i wentylację restauracji (08.2025).
Rok 2025 jednoznacznie potwierdził, że infrastruktura krytyczna w Polsce stała się realnym i systematycznym celem cyberataków. Szczególnie niepokojące jest to, że wiele z tych systemów było zabezpieczonych w sposób niewystarczający, co umożliwiało zdalną ingerencję w ich działanie.

Źródło: CyberDefence24, „Ataki na wodociągi, zhakowane firmy, wycieki haseł. Rekordowa liczba incydentów w Polsce”.

W tym gąszczu zagrożeń i nowych regulacji dotyczących bezpieczeństwa systemów informatycznych, tworzenia planów zapewniających ciągłość działania, kontrolowania łańcuchów dostaw i tworzenia nowych praktyk pracy (cyberhigiena), proces samoidentyfikacji staje się ogromnym wyzwaniem dla zarządów.
Niektóre firmy mogą błędnie zakładać, że skoro nie otrzymały oficjalnego pisma z ministerstwa, „problem” (dyrektywa NIS 2) ich nie dotyczy. To niebezpieczna iluzja. Zgodnie z ustawą, odpowiedzialność za weryfikację spoczywa wyłącznie na podmiocie. Złożone i wielowarstwowe wytyczne dotyczące wdrażania NIS 2 sprawiają, że samodzielna interpretacja przepisów przez dział IT lub wewnętrznego prawnika często kończy się błędami w kwalifikacji. Skutki są bolesne: albo narażenie na wielomilionowe kary za brak zgłoszenia, albo niepotrzebne „przepalanie” budżetu na zabezpieczenia, których ustawa wcale od nas nie wymaga.

Coongi - nowy partner na nowe czasy

W Coongi rozumiemy, że skuteczne cyberbezpieczeństwo to styk prawa, technologii oraz odpowiednich procedur. Dlatego oferujemy profesjonalną usługę identyfikacji statusu, opartą na głębokiej analizie prawno-technicznej. Jednoznacznie określimy, czy Twoja organizacja jest podmiotem kluczowym, ważnym, czy może wpada w rygor ustawy pośrednio jako dostawca usług w łańcuchu dostaw. Odpowiedź na pytanie kogo dotyczy NIS 2 wcale nie musi być łatwa i jednoznaczna w przypadku setek przedsiębiorstw współpracujących z sektorami krytycznymi.

Rekomendowanym punktem startu jest audyt zero. Zanim zaczniesz inwestować w drogi sprzęt, warto sprawdzić, w jakim stanie jest obecny system cyberbezpieczeństwa. Przeprowadzając wstępny audyt bezpieczeństwa, weryfikujemy rozbieżność między stanem faktycznym a wymogami ustawy.

Sprawdź Audyt zero
Sprawdź Audyt zero