+48 (12) 430 61 31
Blog
/
Dyrektywa NIS2 w polskim porządku prawnym: Nowe obowiązki, terminy i odpowiedzialność firm

Dyrektywa NIS2 w polskim porządku prawnym: Nowe obowiązki, terminy i odpowiedzialność firm

Dyrektywa NIS2 w polskim porządku prawnym: Nowe obowiązki, terminy i odpowiedzialność firm.

Cyberbezpieczeństwo w Unii Europejskiej i Polsce wchodzi na zupełnie nowy poziom odpowiedzialności. 2 marca 2026 r. w Dzienniku Ustaw opublikowano nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża unijną dyrektywę NIS2.

Nowelizacja ta stanowi finalny etap transpozycji dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (tzw. dyrektywy NIS2) do krajowego systemu prawnego. Nowe przepisy wchodzą w życie po upływie miesiąca od dnia ogłoszenia, co wyznacza początek kwietnia 2026 r. jako moment powstania nowych obowiązków prawnych dla firm.

Kogo dotyczy NIS2? 

Ustawa wprowadza podział na podmioty kluczowe (strategiczne dla państwa) oraz podmioty ważne (istotne dla gospodarki). To na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy jego firma podlega pod te regulacje.

Podmioty Kluczowe (Essential Entities)

Sektory o najwyższym znaczeniu dla funkcjonowania państwa:

  • Energetyka (prąd, gaz, ciepło).
  • Transport (lotniczy, kolejowy, wodny, drogowy).
  • Bankowość i infrastruktura rynków finansowych.
  • Ochrona zdrowia (szpitale, producenci leków i wyrobów medycznych).
  • Infrastruktura cyfrowa (centra danych, dostawcy chmury, usługi zaufania).
  • Woda pitna i ścieki.
  • Administracja publiczna (rządowa) oraz Przestrzeń kosmiczna.

Podmioty Ważne (Important Entities)

Sektory istotne, ale o nieco mniejszym ryzyku systemowym:

  • Usługi pocztowe i kurierskie.
  • Gospodarowanie odpadami.
  • Produkcja i dystrybucja żywności oraz chemikaliów.
  • Produkcja wyrobów elektronicznych, maszyn i pojazdów.
  • Dostawcy usług cyfrowych (wyszukiwarki, platformy handlowe).

Jaki jest termin wejścia w życie nowych przepisów?

Nowelizacja ustawy o KSC, wdrażającej dyrektywę NIS2, została podpisana przez Prezydenta RP w lutym 2026 r. i opublikowana na początku marca. Przepisy zaczynają obowiązywać z dniem 3 kwietnia 2026 r. Do tego dnia należy dostosować organizację do nowych standardów cyberodporności.

Jakie są terminy w harmonogramie wdrożenia?

Ustawodawca przewidział precyzyjne ramy czasowe dla realizacji poszczególnych obowiązków:

  • 3 października 2026 r. – upływ terminu na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych prowadzonego przez Ministra Cyfryzacji;
  • 3 kwietnia 2027 r. – ostateczny termin na wdrożenie systemowych środków zarządzania ryzykiem oraz procedur ochrony informacji;
  • 3 kwietnia 2028 r. – termin przeprowadzenia pierwszego obowiązkowego audytu cyberbezpieczeństwa (dla podmiotów kluczowych) oraz moment zakończenia moratorium na większość administracyjnych kar pieniężnych.

Jakie konkretne obowiązki nakłada dyrektywa NIS2 na organizacje w zakresie zarządzania ryzykiem oraz dokumentowania procedur bezpieczeństwa?

Podmioty objęte dyrektywą są zobligowane do wdrożenia kompleksowych środków technicznych i organizacyjnych, które mają na celu zminimalizowanie wpływu incydentów na świadczone usługi. 

Do kluczowych zadań należy przeprowadzenie szczegółowego audytu systemów informatycznych, opracowanie planów ciągłości działania (Disaster Recovery) oraz wdrożenie polityk bezpieczeństwa łańcucha dostaw. 

Organizacje muszą również dbać o monitorowanie podatności oraz regularne szkolenie personelu, przy czym każda decyzja dotycząca środków ochrony powinna być poprzedzona rzetelną analizą kosztów i korzyści. 

Co więcej, dyrektywa kładzie nacisk na szybkość przepływu informacji, wymagając od podmiotów zgłaszania poważnych incydentów do właściwych organów w bardzo krótkich reżimach czasowych, co ma umożliwić skoordynowaną reakcję na poziomie krajowym i unijnym.

Na czym polega nowy mechanizm raportowania incydentów?

Zgodnie z dyrektywą NIS 2 oraz znowelizowaną ustawą o KSC, podmioty są zobowiązane do raportowania wyłącznie „incydentów poważnych”, czyli takich, które powodują dotkliwe zakłócenia operacyjne lub znaczne szkody. Proces ten jest wieloetapowy:

  1. Wczesne ostrzeżenie: w ciągu 24 godzin od wykrycia incydentu.
  2. Zgłoszenie incydentu: pełna informacja w ciągu 72 godzin.
  3. Raport końcowy: sporządzany w terminie do jednego miesiąca.

Czym jest procedura „Dostawcy Wysokiego Ryzyka” (DWR)?

Jest to mechanizm pozwalający Ministrowi Cyfryzacji na wydanie decyzji o uznaniu dostawcy sprzętu lub oprogramowania za zagrożenie dla bezpieczeństwa państwa. W takim przypadku podmioty kluczowe i ważne są zobligowane do wycofania produktów tego dostawcy ze swojej infrastruktury w określonym terminie (do 7 lat), bez prawa do odszkodowania. Dostawca ma prawo zaskarżyć decyzję do sądu administracyjnego.

Czy małe i średnie przedsiębiorstwa (MŚP) mogą zostać objęte rygorami NIS2 pomimo mniejszej skali działania?

Choć co do zasady dyrektywa oraz znowelizowana ustawa o KSC koncentrują się na podmiotach średnich i dużych (zatrudniających powyżej 50 pracowników lub osiągających obroty powyżej 10 mln EUR), istnieją istotne wyjątki od tej reguły. Progi wielkościowe nie mają zastosowania do podmiotów, których działalność ma krytyczne znaczenie dla bezpieczeństwa publicznego lub gospodarki, niezależnie od ich rozmiaru. Dotyczy to w szczególności:

  • Dostawców publicznych sieci łączności elektronicznej oraz usług zaufania.
  • Rejestrów nazw domen najwyższego poziomu (TLD) oraz dostawców usług DNS.
  • Podmiotów administracji publicznej oraz jedynych dostawców usługi w danym państwie członkowskim, których zakłócenie mogłoby mieć skutki systemowe. 

Ważne! W marcu 2026 r. każda firma, nawet mikroprzedsiębiorstwo działające w infrastrukturze cyfrowej, musi dokonać rzetelnej weryfikacji swojego statusu, ponieważ błąd w ocenie nie zwalnia z odpowiedzialności za brak wpisu do wykazu.

W jaki sposób prawo unijne i polska ustawa definiują sektor MŚP na potrzeby klasyfikacji do dyrektywy NIS 2?

Definicja sektora MŚP opiera się na Zaleceniu Komisji 2003/361/WE i bierze pod uwagę dwa główne parametry: liczbę personelu oraz dane finansowe. Przyjmuje się, że:

  • Średnie przedsiębiorstwo: zatrudnia od 50 do 249 pracowników, a jego roczny obrót nie przekracza 50 mln EUR lub całkowity bilans roczny nie przekracza 43 mln EUR.
  • Małe przedsiębiorstwo: zatrudnia od 10 do 49 pracowników, a obrót lub bilans nie przekracza 10 mln EUR.
  • Mikroprzedsiębiorstwo: zatrudnia mniej niż 10 pracowników, a obrót lub bilans nie przekracza 2 mln EUR.

Jakie rygory odpowiedzialności przewidziano dla kadry zarządzającej?

Nowelizacja wprowadza osobistą odpowiedzialność kierownika podmiotu (np. członków zarządu) za realizację zadań z zakresu cyberbezpieczeństwa. Osoby te są ustawowo zobowiązane do odbycia specjalistycznych szkoleń. Za rażące uchybienia w nadzorze nad systemem zarządzania bezpieczeństwem informacji na osobę zarządzającą może zostać nałożona indywidualna kara finansowa.

Jakie sankcje finansowe grożą za nieprzestrzeganie przepisów?

System kar administracyjnych jest restrykcyjny i ma charakter samodzielnych środków karnych. Maksymalne wymiary kar mogą sięgać:

  • Dla podmiotów kluczowych: do 10 mln EUR lub 2% globalnego rocznego obrotu.
  • Dla podmiotów ważnych: do 7 mln EUR lub 1,4% globalnego rocznego obrotu.
  • W przypadkach szczególnych: organ może wymierzyć karę do 100 mln PLN, która w określonych warunkach nie podlega dwuletniemu okresowi karencji.

Autorzy: Natalia Ptaszek, Julia Armata.

Jak możemy pomóc Twojej firmie?

Jako kancelaria prawna specjalizująca się w prawie nowych technologii i bezpieczeństwie informacji, jak i dostarczająca wspólnie ze spółką technologiczną rozwiązania legaltech’owe,  oferujemy kompleksowe wsparcie w procesie wdrożenia wymogów z dyrektywy NIS 2 i polskiej ustawy KSC do struktury Twojego przedsiębiorstwa. Co istotne, w przeciwieństwie do większości kancelarii prawnych, na co dzień współpracujemy ze spółkami technologicznymi jako Cyberprawo w dostarczaniu rozwiązań, które spełniają wymogi technologiczne i prawne. Więcej szczegółów możesz poznać tutaj: Cyberprawo.

W ramach współpracy zapewniamy m.in.:

  • Audyt statusu podmiotu. Jednoznaczne określenie, czy Twoja firma podlega pod rygory dyrektywy NIS 2 i KSC.
  • Opracowanie dokumentacji tj.  przygotowanie polityk bezpieczeństwa, planów ciągłości działania oraz procedur zgłaszania incydentów.
  • Wsparcie w procesie rejestracji: przygotowanie i złożenie wniosku do wykazu podmiotów kluczowych i ważnych.
  • Wspólnie ze spółką technologiczną: zapewnienie oprogramowania do raportowania incydentów.

Jeśli jesteś zainteresowany_a naszym wsparciem we wdrożeniu dyrektywy NIS2 i polskiej ustawy KSC, skontaktuj się z nami: Kontakt.

Przyszłość na
Twoich warunkach
© 2023 Armata Legal. Branding and website by
© 2023 Armata Legal.
Branding and website by
Atelier XIV.
Polityka prywatności i cookies
sekretariat@armatalegal.com
+48 (12) 430 61 31
Nasza strona korzysta z cookies celem zapewnienia jej prawidłowego działania oraz w celach statystycznych. Klikając przycisk „Zamknij” lub kontynuując korzystanie z tej strony wyrażają Państwo na to zgodę. Szczegółowe informacje: Polityka prywatności i cookies.
Zamknij