Cyberbezpieczeństwo przestało być wyłącznie domeną działów IT i stało się jednym z kluczowych obszarów zarządzania ryzykiem w przedsiębiorstwach.
Wraz z wejściem w życie przepisów wdrażających dyrektywę NIS 2 firmy działające w wielu sektorach gospodarki muszą zmierzyć się z nowymi obowiązkami dotyczącymi ochrony systemów informatycznych, raportowania incydentów oraz zarządzania bezpieczeństwem w całym łańcuchu dostaw.
O tym, kogo obejmą nowe regulacje, jakie konsekwencje grożą za ich nieprzestrzeganie oraz jak przygotować organizację do nadchodzących zmian, opowie nam pan mec. Kamil Cymerman.
Pan mec. Kamil Cymerman jest autorem bloga Spółka za granicą.
Redakcja: Czym właściwie jest dyrektywa NIS 2 i dlaczego mówi się o niej jako o jednej z najważniejszych regulacji ostatnich lat w obszarze cyberbezpieczeństwa?
Kamil Cymerman [K.C.]: Dyrektywa dotycząca sieci i systemów informacyjnych, powszechnie znana jako NIS 2, jest aktem prawnym Unii Europejskiej, określającym zasady i wymagania dotyczące cyberbezpieczeństwa oraz systemów i sieci teleinformatycznych. Zastąpiła wcześniejszą dyrektywę NIS i obowiązuje od początku 2023 roku.
Dyrektywa NIS 2 podnosi wspólny unijny poziom ambicji w zakresie cyberbezpieczeństwa poprzez szerszy zakres, jaśniejsze zasady i silniejsze narzędzia nadzoru.
Dyrektywa NIS 2 to jedna z najważniejszych regulacji unijnych ostatnich lat w obszarze cyberbezpieczeństwa przedsiębiorstw. Wprowadza realne obowiązki, które wpływają na strukturę organizacyjną firm, odpowiedzialność zarządu oraz relacje biznesowe. Jej celem jest zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej poprzez rozszerzenie katalogu podmiotów objętych regulacją oraz nałożenie konkretnych, egzekwowanych obowiązków organizacyjnych i technicznych.
Nowe przepisy nie są jedynie kosmetyczną aktualizacją – to rewolucja, która nakłada na zarządy firm bezpośrednią odpowiedzialność, wprowadza surowe kary finansowe i wymusza kompleksowe podejście do zarządzania ryzykiem. W Polsce dyrektywa została wdrożona ustawą z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026 roku.
Jakie branże i przedsiębiorstwa najczęściej będą objęte nowymi obowiązkami wynikającymi z NIS 2?
[K.C.]: NIS 2 dotyczy dwóch grup podmiotów: kluczowych, takich jak energetyka, transport, sektor bankowy (finanse), opieka zdrowotna, oraz ważnych, do których należą m.in. usługi pocztowe, gospodarowanie odpadami, produkcja chemikaliów i żywności.
Rozszerzeniu uległ katalog sektorów objętych dyrektywą NIS 2 – obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej, w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę i usługi kurierskie oraz administracji publicznej, produkcję produktów o krytycznym znaczeniu, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności.
Nowe zasady dyrektywy NIS 2 będą miały zastosowanie do wszystkich regulowanych dostawców usług, czyli nie tylko do podmiotów wywodzących się z Unii, lecz także do jednostek prowadzących działalność w UE i spełniających kryteria Komisji Europejskiej dotyczące średnich lub dużych przedsiębiorstw, czyli takich, które zatrudniają więcej niż 50 pracowników i osiągają obroty w wysokości co najmniej 10 milionów euro. Co warto zaznaczyć – ustawa wdrożeniowa w Polsce za dostawcę usług zarządzanych w zakresie cyberbezpieczeństwa uznaje już małego przedsiębiorcę (czyli od ok. 10 zatrudnionych osób i 2 mln EUR obrotu).
W praktyce oznacza to, że regulacją objęte są nie tylko duże korporacje, ale również średnie i małe przedsiębiorstwa, a w określonych przypadkach także mniejsze podmioty, jeżeli ich działalność ma kluczowe znaczenie dla danego sektora. NIS 2 wprowadza zasadę, zgodnie z którą decydujące znaczenie ma rodzaj prowadzonej działalności, a nie wyłącznie wielkość przedsiębiorstwa.
Warto podkreślić, że zgodnie z NIS 2 podmiot musi samodzielnie dokonać określenia w zakresie czy przynależy do określonego sektora na podstawie faktycznie wykonywanej działalności spółki, a nie tylko na podstawie kodów PKD.
Dlaczego NIS 2 nie jest wyłącznie „problemem firm IT”, ale także zwykłych spółek operacyjnych?
[K.C.]: To kulturowa zmiana, gdzie cyberbezpieczeństwo przestaje być postrzegane wyłącznie jako problem działu IT, a staje się elementem nadzoru korporacyjnego, równie ważnym jak finanse czy zgodność z prawem.
Oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie problemem działu IT, a staje się jednym z kluczowych obszarów zarządzania ryzykiem w firmie.
Kluczowym argumentem jest tu efekt kaskadowy regulacji. Przedsiębiorstwa formalnie nieobjęte zakresem ustawy o KSC będą musiały dostosować swoje systemy i procesy bezpieczeństwa, jeśli chcą zachować konkurencyjność i utrzymać współpracę z większymi partnerami. Dyrektywa NIS 2 generuje tym samym efekt kaskadowy, tworząc presję regulacyjną, która dotyczy całego ekosystemu gospodarczego. Odpowiedzialność za cyberbezpieczeństwo przestaje być więc wyłącznie wewnętrzną kwestią organizacji i staje się wspólnym obowiązkiem uczestników sieci powiązań biznesowych.
Pracodawcy, szczególnie ci działający w sektorach krytycznych, powinni zwrócić szczególną uwagę na bezpieczeństwo swoich dostawców oraz łańcuchów dostaw. Dyrektywa NIS 2 wprowadza obowiązek monitorowania ryzyka cyberzagrożeń także w kontekście podwykonawców i partnerów biznesowych. Firmy będą zobowiązane do współpracy z dostawcami w zakresie oceny ryzyka oraz wdrażania odpowiednich procedur ochrony przed cyberatakami.
Jakie nowe obowiązki w praktyce mogą być największym wyzwaniem dla przedsiębiorców po wdrożeniu NIS 2?
[K.C.]: Podmioty mają 12 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub ważny, aby wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) oraz wprowadzić procedury zarządzania ryzykiem i incydentami.
Obowiązkowe będzie wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT oraz regularnie ocenianie ryzyka wystąpienia incydentów.
Podmioty objęte NIS 2 będą zobowiązane do przekazania wstępnego zgłoszenia poważnego incydentu właściwemu organowi lub zespołowi CSIRT w bardzo krótkim terminie (co do zasady 24 godzin od wykrycia), a następnie do uzupełnienia informacji w kolejnych raportach. Wymóg ten ma umożliwić szybkie reagowanie na zagrożenia systemowe, ale jednocześnie rodzi dla przedsiębiorców ryzyko odpowiedzialności za opóźnienia lub nieprawidłowe raportowanie.
Dyrektywa podkreśla kluczową rolę czynnika ludzkiego w systemie ochrony informacji. Organizacje są zobowiązane do prowadzenia regularnych szkoleń z zakresu cyberhigieny, poruszających kwestie takie jak rozpoznawanie prób phishingu i innych form socjotechniki.
Wdrożenie dyrektywy NIS 2 wiąże się z szeregiem wyzwań dla przedsiębiorstw. Firmy muszą przygotować się na inwestycje w nowe technologie, audyty bezpieczeństwa oraz implementację zaawansowanych procedur zarządzania ryzykiem. Dodatkowo, przedsiębiorcy będą musieli dostosować swoje procedury sprawozdawcze, ponieważ niezgłoszenie incydentu bezpieczeństwa może wiązać się z poważnymi konsekwencjami finansowymi.
Jak wygląda kwestia odpowiedzialności zarządów i kadry kierowniczej za zgodność z nowymi przepisami?
[K.C.]: Unijna dyrektywa NIS 2 znacząco zmienia podejście do odpowiedzialności za cyberbezpieczeństwo w organizacjach. Ostateczna odpowiedzialność za bezpieczeństwo informacji spoczywa na organie zarządzającym (zarządzie) podmiotu, a niewywiązanie się z nowych obowiązków może skutkować dotkliwymi sankcjami, w tym osobistą odpowiedzialnością decydentów.
Zgodnie z nowymi przepisami UKSC ryzyko regulacyjne obciąża nie tylko organizację jako podmiot. Odpowiedzialności administracyjnej podlega również kierownictwo – na kierownika podmiotu mogą zostać nałożone sankcje, niezależnie od kar nakładanych na sam podmiot.
Co więcej, delegowanie obowiązków z zakresu cyberbezpieczeństwa, nawet formalne i do wyspecjalizowanych struktur nie zwalnia kierownictwa z odpowiedzialności. W przypadku wieloosobowych organów zarządzających ponoszą oni odpowiedzialność solidarną. Jeżeli nie została wyznaczona jednoznacznie osoba odpowiedzialna za obszar cyberbezpieczeństwa, odpowiedzialność ponoszą wszyscy członkowie organu.
Podmioty objęte NIS 2 są zobowiązane do edukowania personelu w obszarze cyberbezpieczeństwa, co więcej, corocznemu, obligatoryjnemu szkoleniu podlega również kierownictwo.
Czy polscy przedsiębiorcy mieli wystarczająco dużo czasu na przygotowanie się do wdrożenia NIS 2, biorąc pod uwagę opóźnienie implementacji dyrektywy w Polsce?
[K.C.]: W Polsce nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, mająca za zadanie implementację NIS 2, została podpisana przez Prezydenta RP w dniu 19 lutego 2026 roku. Opóźnienie implementacji o ponad rok w stosunku do unijnego terminu sprawiło, że przedsiębiorcy znaleźli się w trudnej sytuacji – z jednej strony dyrektywa formalnie obowiązywała już od października 2024 roku, z drugiej zaś krajowe przepisy wykonawcze nie były jeszcze gotowe. Oznacza to, że przedsiębiorstwa, które nie rozpoczęły przygotowań wcześniej, mogły nie zdążyć wdrożyć wszystkich wymaganych zmian w tak krótkim czasie.
W artykule Dyrektywa NIS 2 – nowe obowiązki w cyberbezpieczeństwie a struktury międzynarodowe biznesu podkreśla Pan, że NIS 2 to bardziej projekt prawny i organizacyjny niż technologiczny. Co to oznacza w praktyce?
[K.C.]: NIS 2 wprost wskazuje na odpowiedzialność zarządu i kadry kierowniczej za cyberbezpieczeństwo organizacji. Oznacza to konieczność nadzoru nad obszarem bezpieczeństwa IT, podejmowania decyzji w oparciu o ocenę ryzyka oraz zapewnienia odpowiednich zasobów na realizację wymagań regulacyjnych. Cyberbezpieczeństwo staje się elementem ładu korporacyjnego i powinno być uwzględniane w procesach decyzyjnych na najwyższym poziomie organizacji.
Dyrektywa NIS 2 oraz nowelizacja ustawy o KSC zobowiązują podmioty objęte regulacją do wdrożenia odpowiednich środków technicznych, organizacyjnych i operacyjnych mających na celu skuteczne zarządzanie ryzykiem w obszarze bezpieczeństwa sieci i systemów informatycznych. Wymagania te mają charakter systemowy i proporcjonalny, a środki ochrony powinny odpowiadać skali, złożoności i poziomowi ryzyka danego podmiotu.
W praktyce oznacza to, że samo wdrożenie nowych narzędzi technicznych nie wystarczy. Kluczowe obszary, które należy zabezpieczyć, obejmują nie tylko technologię, ale całą organizację pod kątem wymagań dyrektywy NIS 2: polityki bezpieczeństwa i zarządzanie ryzykiem, bezpieczeństwo łańcucha dostaw, ciągłość działania, zarządzanie podatnościami, szyfrowanie i kontrolę dostępu.
NIS 2 należy traktować jako proces ciągły, wpisany w funkcjonowanie organizacji. Cyberbezpieczeństwo wymaga stałego nadzoru, regularnych przeglądów i dostosowywania działań do zmieniającego się otoczenia technologicznego i regulacyjnego. Takie podejście pozwala nie tylko spełnić wymagania formalne, ale przede wszystkim zwiększyć stabilność i bezpieczeństwo organizacji.
Jaką rolę może odegrać kancelaria prawna przy wdrażaniu obowiązków wynikających z NIS 2?
[K.C.]: Rola kancelarii prawnej przy wdrożeniu NIS 2 jest wielowymiarowa i wykracza daleko poza klasyczne doradztwo prawne. Obejmuje co najmniej kilka kluczowych obszarów:
Po pierwsze, kwalifikację prawną podmiotu. Zarządy podmiotów zaliczanych do kategorii „ważnych” mogą nie zdawać sobie sprawy, że ich działalność jest krytyczna dla gospodarki. W Polsce przyjęto model samoidentyfikacji – to zarząd musi przeanalizować status organizacji. Jeśli spełnia ona przesłanki, ma obowiązek zgłosić się do wykazu ministra cyfryzacji.
Po drugie, analizę ryzyka regulacyjnego i przygotowanie dokumentacji. Kancelaria może ocenić, czy dyrektywa NIS 2 może w jakikolwiek sposób wpłynąć na działalność klienta, i doradzić konkretne działania, które należy podjąć, aby dostosować się do nowych wymagań. Udzieli porad prawnych w związku z dyrektywą NIS 2, w tym na temat podstawowych wymagań dotyczących przedsiębiorstwa, oraz wskaże, jak można je spełnić.
Po trzecie, zabezpieczenie relacji kontraktowych z dostawcami. Kancelaria może przygotować niezbędną dokumentację umów wymaganą na mocy dyrektywy NIS 2 w celu ochrony krytycznej infrastruktury informatycznej.
Po czwarte, ochronę zarządu przed odpowiedzialnością osobistą. Poza karami pieniężnymi organy nadzorcze będą mogły nakładać środki o charakterze operacyjnym, takie jak obowiązek wdrożenia określonych zabezpieczeń, przeprowadzenia audytu, czasowe zawieszenie działalności czy wydanie wiążących zaleceń naprawczych. Istotnym novum jest także możliwość pociągnięcia do odpowiedzialności członków zarządu, w tym nałożenia na nich zakazu pełnienia funkcji kierowniczych w przypadku rażących naruszeń.
Czy rzeczywiście można „uciec” przed NIS 2 poprzez przeniesienie działalności za granicę?
[K.C.]: Odpowiedź jest jednoznaczna: nie. Nowe zasady dyrektywy NIS 2 będą miały zastosowanie do wszystkich regulowanych dostawców usług, czyli nie tylko do podmiotów wywodzących się z Unii, lecz także do jednostek prowadzących działalność w UE i spełniających kryteria Komisji Europejskiej dotyczące średnich lub dużych przedsiębiorstw.
Podmiot spoza UE, który działa w Polsce, musi wyznaczyć przedstawiciela posiadającego jednostkę organizacyjną na terytorium Polski, jeśli nie zrobił tego w innym państwie członkowskim UE.
W kontekście grup kapitałowych i struktur transgranicznych sytuacja jest jeszcze bardziej złożona. W procesie kwalifikacji spółek z grupy kapitałowej operującej transgranicznie konieczne jest ustalenie statusu i zbadanie sposobu implementacji NIS 2 w poszczególnych państwach członkowskich. Może się bowiem okazać, że pomimo braku indywidualnego spełnienia kryteriów wielkościowych i niezależności swoich systemów informatycznych dana spółka będzie zobowiązana doliczyć dane swoich przedsiębiorstw powiązanych oraz partnerskich, co w konsekwencji może skutkować jej kwalifikacją na gruncie NIS 2.
Przeciwdziałać sztucznemu zaliczaniu pod stosowanie NIS 2 małych podmiotów tylko dlatego, że należą do grupy kapitałowej ma Motyw 16 dyrektywy. Warto zwrócić jednakże uwagę, że wyjątek ten nie jest automatyczny i wymaga spełnienia ściśle określonych warunków, a nie wszystkie państwa członkowskie zdecydowały się go wdrożyć.
Na co przedsiębiorcy powinni zwrócić uwagę już dziś, jeśli chcą ograniczyć ryzyko regulacyjne i dobrze przygotować swoją organizację do wymogów NIS 2?
[K.C.]: W pierwszej kolejności należy zwrócić uwagę na termin na zgłoszenie do wykazu.
Kluczowe działania, które należy podjąć niezwłocznie, to:
- Samoidentyfikacja statusu regulacyjnego. Przedsiębiorcy nie zawsze będą otrzymywać formalne decyzje administracyjne potwierdzające objęcie dyrektywą – odpowiedzialność za ocenę statusu spoczywa w dużej mierze na samych firmach. Brak świadomości lub błędna kwalifikacja nie zwalnia jednak z odpowiedzialności za ewentualne naruszenia.
- Audyt stanu bezpieczeństwa. Audyt cyberbezpieczeństwa jest w praktyce podstawowym elementem przygotowania do NIS 2. Pozwala on ocenić aktualny poziom zabezpieczeń, zidentyfikować luki oraz określić priorytety działań. Audyt stanowi punkt wyjścia do dalszych działań i umożliwia podejmowanie decyzji w oparciu o rzetelne dane, a nie założenia.
- Zaangażowanie zarządu. Dyrektywa kładzie duży nacisk na odpowiedzialność kadry zarządzającej. Członkowie zarządów i osoby kierujące przedsiębiorstwem mają obowiązek zatwierdzania środków bezpieczeństwa, nadzorowania ich wdrożenia oraz regularnego podnoszenia swoich kompetencji w zakresie cyberbezpieczeństwa.
- Przegląd łańcucha dostaw. Efekt nowelizacji KSC będzie wykraczać poza podmioty formalnie objęte reżimem – skoro podmiot „kluczowy” albo „ważny” ma obowiązek zarządzać ryzykiem w łańcuchu dostaw, to wielu mniejszych dostawców odczuje NIS 2 pośrednio, poprzez konieczność spełnienia nowych wymogów kontraktowych jako warunku utrzymania współpracy.
- Nie czekać na ostatnią chwilę. Choć 6-miesięczny termin na zgłoszenie do wykazu oraz 12 miesięcy na wdrożenie środków bezpieczeństwa mogą wydawać się odległymi datami, należy pamiętać o skali wymaganych zmian. Budowa realnej odporności cyfrowej, obejmująca audyty łańcucha dostaw i przebudowę wewnętrznych polityk, to proces czaso- i zasobochłonny.
Dziękujemy za rozmowę!
Zapraszamy jeszcze raz do odwiedzin bloga Spółka za granicą.
Serdecznie dziękujemy panu mec. Kamilowi Cymermanowi za rozmowę!
Zdjęcie: Tianyi Ma
📌
Po przeczytaniu wywiadu z mec. Kamilem Cymermanem zapraszamy również do lektury:
