Multicert

Bezpłatna wycena

Regulacje UE · w 2h, bez zobowiązań

Wyceń →
Regulacje UE

NIS2 obowiązuje. Polska spóźniona. Część organizacji podlega dyrektywie — i jeszcze o tym nie wie

NIS2 w Polsce — ustawa KSC obowiązuje od 3 kwietnia 2026. Weryfikacja podlegania dyrektywie, harmonogram rejestracji (do 3.10.2026) i wdrożenia środków zarządzania ryzykiem (12 miesięcy).

Zespół Multicert 9 min czytania
ZM

Zespół Multicert

Redakcja Multicert · Akredytowana jednostka certyfikująca

Dyrektywa NIS2 — unijna regulacja dotycząca cyberbezpieczeństwa — weszła w życie w październiku 2024 roku. Polska transponowała NIS2 z opóźnieniem — nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) obowiązuje od 3 kwietnia 2026 roku. Organizacje mają 6 miesięcy (do 3 października 2026) na zgłoszenie do wykazu podmiotów kluczowych i ważnych prowadzonego przez Ministra Cyfryzacji oraz 12 miesięcy na wdrożenie środków zarządzania ryzykiem. Organizacje odkładające przygotowania pozostaną nieprzygotowane w momencie rozpoczęcia egzekucji.

Czym jest NIS2 i co zmieniło się względem NIS1

NIS2 to unijny standard zarządzania ryzykiem cyberbezpieczeństwa dla organizacji uznanych za „istotne” lub „ważne”. To znaczące rozszerzenie względem poprzedniej dyrektywy NIS1, która obejmowała głównie operatorów usług kluczowych (energetyka, transport, banki).

NIS2 rozszerza zasięg na średnie i duże firmy z 18 sektorów — w tym produkcję, chemikalia, żywność, usługi pocztowe, zarządzanie odpadami, urządzenia medyczne, motoryzację, oprogramowanie i usługi cyfrowe. Szacuje się, że w Polsce może to dotyczyć od kilku do kilkunastu tysięcy podmiotów.

Kryteria podlegania dyrektywie NIS2

1. Liczba pracowników i poziom obrotu. Dyrektywa obejmuje organizacje średnie (50+ pracowników lub 10+ mln EUR obrotu) oraz duże (250+ pracowników / 50+ mln EUR) działające w objętych sektorach. Organizacje mniejsze podlegają dyrektywie, jeżeli świadczą usługi krytyczne.

2. Sektor działalności. Zakres sektorowy jest znacznie szerszy, niż zakłada większość organizacji. Oprócz energetyki i bankowości obejmuje m.in. produkcję żywności, producentów urządzeń, dostawców usług IT i chmurowych, sektor chemiczny oraz firmy kurierskie i pocztowe.

3. Status podwykonawcy. NIS2 wprowadza bezpieczeństwo łańcucha dostaw jako obowiązek. Organizacje objęte dyrektywą zobowiązane są do weryfikacji cyberbezpieczeństwa swoich dostawców. Podwykonawcy obsługujący duże przedsiębiorstwa produkcyjne, energetyczne lub IT otrzymują wymagania NIS2 pośrednio — za pośrednictwem postanowień umownych.

Zakres wymagań NIS2

Obowiązki wynikające z dyrektywy:

  • zarządzanie ryzykiem cyberbezpieczeństwa z udokumentowanymi procedurami,
  • obsługa incydentów w trybie trzyetapowym (art. 23 NIS2): wczesne ostrzeżenie w ciągu 24 godzin, pełna notyfikacja w ciągu 72 godzin, raport końcowy w ciągu 30 dni — według wytycznych ENISA dotyczących raportowania incydentów,
  • plany ciągłości działania oraz odtworzenia,
  • weryfikacja bezpieczeństwa dostawców,
  • szkolenia kadry zarządzającej,
  • minimalne standardy techniczne w zakresie kryptografii oraz kontroli dostępu.

Sankcje: do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych (minimum wynikające z dyrektywy). Polska ustawa KSC wprowadza dodatkowo sankcję do 100 mln PLN za naruszenia zagrażające obronności państwa, bezpieczeństwu publicznemu lub życiu i zdrowiu ludzi. Element nowy względem NIS1: osobista odpowiedzialność członków zarządu za naruszenia. Ryzyko przestało być wyłącznie organizacyjne — przyjmuje również wymiar osobowy.

ISO 27001 jako naturalna odpowiedź na NIS2

NIS2 nie wskazuje jednego konkretnego standardu technicznego, ale lista jej wymogów pokrywa się w około 80% z wymaganiami normy ISO/IEC 27001:2022 — międzynarodowego standardu systemu zarządzania bezpieczeństwem informacji. To nie przypadek: ISO 27001 powstał właśnie po to, by systematycznie zarządzać ryzykiem informacyjnym i zapewniać ciągłość działania.

Klient posiadający certyfikat ISO 27001 dysponuje udokumentowaną odpowiedzią na większość wymogów NIS2 oraz — co istotne — może to wykazać wobec organu nadzorczego. W kontekście osobistej odpowiedzialności członków zarządu stanowi to różnicę między deklaracją podjętych działań a niezależnie zweryfikowanym dowodem zgodności.

Harmonogram działania przed wejściem ustawy w życie

Czas przygotowawczy jest krótki. Plan działania dla organizacji potencjalnie podlegających NIS2:

  1. Weryfikacja zakresu (1 tydzień) — sprawdzenie, czy organizacja spełnia kryteria wielkości i sektorowe. W razie wątpliwości — założenie domniemania podlegania.
  2. Ocena luk (2–4 tygodnie) — porównanie aktualnych procedur z wymaganiami NIS2. Identyfikacja braków dokumentacji oraz nieokreślonej odpowiedzialności.
  3. Priorytetyzacja w oparciu o ryzyko — hierarchizacja luk według pilności. W pierwszej kolejności — obszary dotyczące obsługi incydentów oraz ciągłości działania.
  4. Wdrożenie i niezależna weryfikacja — certyfikacja ISO 27001 jako dowód dojrzałości wobec organów regulacyjnych, klientów oraz partnerów handlowych.

Historia regulacji unijnych jest w tym zakresie pouczająca. RODO pozostawało postrzegane jako odległe, dopóki pierwsze kary nie trafiły na pierwsze strony publikacji branżowych. NIS2 podąży tą samą ścieżką. Tym razem świadomość regulacyjna jest wyprzedzająca — okno przygotowawcze pozostaje do wykorzystania przez organizacje podejmujące działania.

Powiązane artykuły:

Najczęstsze pytania

Kogo dotyczy NIS2? +
Organizacje z 18 sektorów kluczowych i ważnych: energetyka, transport, banki, ochrona zdrowia, woda, infrastruktura cyfrowa, administracja, produkcja krytyczna — o ile zatrudniają powyżej 50 osób lub generują obrót powyżej 10 mln EUR.
Jakie wymogi nakłada NIS2? +
Zarządzanie ryzykiem cyberbezpieczeństwa, obsługa incydentów (wczesne ostrzeżenie w 24h, pełna notyfikacja w 72h, raport końcowy w 30 dni), bezpieczeństwo łańcucha dostaw, szyfrowanie danych, uwierzytelnianie wieloskładnikowe, plany ciągłości działania.
W jaki sposób ISO 27001 wspiera zgodność z NIS2? +
ISO 27001 pokrywa około 80% wymagań NIS2. Organizacje z certyfikatem posiadają wdrożony SZBI, polityki bezpieczeństwa oraz procedury reagowania na incydenty — i mogą to wykazać wobec organu nadzorczego.
Jakie kary grożą za brak zgodności z NIS2? +
Do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych. Dla podmiotów ważnych — do 7 mln EUR lub 1,4% obrotu. W polskiej ustawie KSC: dodatkowo do 100 mln PLN za naruszenia zagrażające obronności lub życiu. Dodatkowo: osobista odpowiedzialność członków zarządu.
Jakie działania podjąć przed wejściem w życie ustawy? +
Weryfikacja, czy organizacja podlega NIS2. Przeprowadzenie audytu luk cyberbezpieczeństwa. Rozważenie certyfikacji ISO 27001 — najkrótsza droga do udokumentowanej zgodności.

Autor artykułu

ZM

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 12 marca 2026
Zadzwoń Bezpłatna wycena