Cześć!
Czy chcesz, żebyśmy oddzwonili do Ciebie za darmo w 60 sekund?
TAK
Czy chcesz, żebyśmy oddzwonili do Ciebie za darmo w 60 sekund?
TAK 
Dyrektywa NIS2 wprowadza nowe, rozszerzone obowiązki w zakresie cyberbezpieczeństwa dla przedsiębiorstw działających w kluczowych i ważnych sektorach gospodarki. W 2026 roku rozpocznie się etap praktycznego wdrażania przepisów do polskiego porządku prawnego.
Dla zarządów firm oznacza to konieczność podjęcia działań organizacyjnych, prawnych i operacyjnych z odpowiednim wyprzedzeniem.
Poniżej przedstawiamy najważniejsze informacje dotyczące:
• zakresu podmiotowego NIS2
• harmonogramu wdrożenia w Polsce
• obowiązków przedsiębiorców
• systemu zgłoszeniowego S46
• odpowiedzialności zarządu
• sankcji finansowych
• rekomendowanych działań przygotowawczych
Nowa dyrektywa NIS2 znacząco rozszerza zakres regulacji w porównaniu do pierwszej dyrektywy NIS.
Zmiany obejmują:
• większą liczbę sektorów objętych regulacją
• rozszerzenie katalogu podmiotów zobowiązanych
• precyzyjne obowiązki zarządcze i nadzorcze
• obowiązkową samoidentyfikację przedsiębiorstw
• istotnie wyższe sankcje finansowe
Dyrektywa wymaga implementacji do prawa krajowego. Ustawa wdrażająca została przyjęta przez Sejm 23 stycznia 2026 r. i skierowana do podpisu Prezydenta (termin do 19 lutego 2026 r.). Po publikacji w Dzienniku Ustaw rozpoczną się terminy ustawowe dla przedsiębiorców.
Planowany przebieg procesu:
• miesiąc od publikacji – wejście ustawy w życie
• kolejny miesiąc – utworzenie wykazu podmiotów kluczowych i ważnych przez Ministra Cyfryzacji
• publikacja harmonogramu zgłoszeń do systemu S46
• 24–25 miesięcy okresu przygotowawczego przed rozpoczęciem egzekwowania kar
Czas wdrożeniowy obejmuje dwa cykle budżetowe. Dla wielu firm oznacza to konieczność zaplanowania inwestycji w systemy bezpieczeństwa, audyty oraz szkolenia.
Obowiązki wynikające z NIS2 dotyczą podmiotów z sektorów kluczowych i ważnych.
Do sektorów kluczowych należą m.in.:
• energetyka
• ochrona zdrowia
• administracja publiczna
• infrastruktura cyfrowa
• sektor kosmiczny
Sektory ważne obejmują m.in.:
• produkcję przemysłową
• chemikalia
• usługi pocztowe
• niektóre obszary energetyki
Klasyfikacja przedsiębiorstwa zależy od:
• kodów PKD wskazanych w ustawie
• liczby pracowników (uwzględnia również osoby współpracujące na B2B)
• obrotu i sumy bilansowej
Obowiązuje zasada samoidentyfikacji. Przedsiębiorca sam ustala, czy podlega przepisom.
Nowe przepisy obejmują kompleksowe wymagania w zakresie zarządzania cyberbezpieczeństwem.
Kluczowe obowiązki obejmują:
• wdrożenie systemu zarządzania ryzykiem IT
• stosowanie zabezpieczeń technicznych i organizacyjnych
• opracowanie i aktualizację polityk bezpieczeństwa
• regularne audyty bezpieczeństwa systemów informatycznych
• testowanie procedur reagowania na incydenty
• coroczne szkolenia z cyberbezpieczeństwa dla pracowników i kadry zarządzającej
• dokumentowanie działań szkoleniowych
• weryfikację niekaralności osób realizujących zadania z zakresu cyberbezpieczeństwa
• informowanie użytkowników o zagrożeniach
Rejestracja podmiotów kluczowych i ważnych będzie odbywać się przez system S46.
Wymagania obejmują:
• wskazanie co najmniej dwóch osób kontaktowych ds. cyberbezpieczeństwa
• podanie aktualnych danych kontaktowych
• złożenie oświadczenia kierownika pod rygorem odpowiedzialności karnej
• aktualizację wpisu przy każdej zmianie danych
Rejestr prowadzony będzie przez Ministra Cyfryzacji.
NIS2 wprowadza obowiązek zgłaszania poważnych incydentów w bardzo krótkich terminach.
Incydent poważny obejmuje m.in.:
• zakłócenie ciągłości usług
• istotne straty finansowe
• szkody materialne lub niematerialne
Zgłoszenia kierowane są do właściwych zespołów CSIRT sektorowych.
Obecnie funkcjonują m.in.:
• CSIRT KNF – sektor finansowy
• CSIRT Centrum e-Zdrowia – sektor medyczny
Zespoły analizują zgłoszenia, wydają ostrzeżenia i współpracują na poziomie krajowym oraz unijnym.
Kierownictwo podmiotu kluczowego i ważnego ponosi odpowiedzialność za realizację obowiązków wynikających z NIS2.
Zakres odpowiedzialności obejmuje:
• nadzór nad wdrożeniem systemu cyberbezpieczeństwa
• zapewnienie odpowiednich środków finansowych
• wyznaczenie osób odpowiedzialnych
• podpisanie zgłoszenia w systemie S46
• zapewnienie szkoleń dla kadry zarządzającej
Odpowiedzialność dotyczy całego zarządu zgodnie z ustawą o rachunkowości.
Dla podmiotów kluczowych:
• do 10 mln euro
• lub do 2% światowych przychodów (stosowana wyższa wartość)
Dla podmiotów ważnych przewidziane są kary niższe, jednak nadal istotne finansowo.
Możliwe są również:
• kary okresowe
• zawieszenie w pełnieniu funkcji zarządczych
• kary dla kierowników do 300% przeciętnego wynagrodzenia
Okres karencji wynosi 25 miesięcy od publikacji ustawy.
Rekomendowane działania:
Przeprowadzenie analizy, czy firma podlega NIS2
Weryfikacja kodów PKD i struktury zatrudnienia
Inwentaryzacja systemów IT
Opracowanie i aktualizacja polityk bezpieczeństwa
Przegląd umów z dostawcami pod kątem incydentów
Zaplanowanie budżetu na wdrożenie
Wdrożenie programu szkoleń
Przygotowanie do rejestracji w systemie S46
Monitorowanie komunikatów Ministerstwa Cyfryzacji
ZoriusPro współpracuje bezpośrednio z zarządami firm oraz dyrektorami finansowymi i operacyjnymi, przygotowując przedsiębiorstwa do obowiązków wynikających z NIS2.
Zakres wsparcia obejmuje:
• analizę kwalifikacji podmiotu jako kluczowego lub ważnego
• audyt gotowości organizacji
• przygotowanie dokumentacji i procedur
• wsparcie przy rejestracji w systemie S46
• opracowanie planu zarządczego wdrożenia NIS2
• integrację wymogów regulacyjnych z systemami ERP i procesami biznesowymi
• przygotowanie kadry zarządzającej do odpowiedzialności wynikającej z przepisów
Zespół ZoriusPro łączy kompetencje prawne, technologiczne i zarządcze. Pracujemy z przedsiębiorstwami średnimi i dużymi, które potrzebują uporządkowanego, bezpiecznego i zgodnego z przepisami modelu działania.
NIS2 wymaga strategicznego podejścia i właściwego nadzoru korporacyjnego.
W zespole ZoriusPro zajmuję się obsługą nowych klientów.
