Dbamy o Twoją prywatność. Wykorzystujemy pliki cookie wyłącznie do poprawnego działania strony oraz analizy ruchu, co pozwala nam dostarczać Ci lepsze treści. Nie udostępniamy Twoich danych sieciom reklamowym. Więcej informacji w Polityce prywatności.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Baza wiedzy

Dyrektywa NIS2: Nowe obowiązki i szanse dla polskich firm

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eskperci ciągłości działania i zarządzania ryzykiem

Masz bardzo mało czasu, by być gotowym na implementację w Polsce.

Czym jest dyrektywa NIS2 i kogo dotyczy w Polsce?

Dyrektywa NIS2 (Network and Information Security 2) to unijne rozporządzenie, które weszło w życie w grudniu 2022 roku. Jej celem jest podniesienie poziomu cyberbezpieczeństwa na terenie całej Unii Europejskiej. W Polsce, 7. projekt UKSC jest na Komitecie Stałym Rady Ministrów i liczymy, że niebawem zostanie przekazany do sejmu.

NIS2 to znaczne rozszerzenie poprzedniej dyrektywy NIS1. Teraz obejmuje dużo szersze spektrum podmiotów – nie tylko operatorów usług kluczowych, ale też średnie i duże przedsiębiorstwa z wielu branż. Polska ustawa KSC nawet nieco rozszerza zakres podmiotów kluczowych i ważnych względem samej dyrektywy.

Podmioty kluczowe – sektory i branże w Polsce

Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (projekt) rozwija i uzupełnia podział oparty na kryteriach wielkościowych z rozporządzenia Komisji (UE) nr 651/2014.

Sama przynależność do sektora kluczowego lub ważnego nie wystarcza, aby podmiot podlegał pod ustawę. Zasadniczo, ustawa nakłada obowiązki na te podmioty, które spełniają kryteria średniego przedsiębiorstwa (tj. zatrudniają co najmniej 50 pracowników lub osiągają roczny obrót lub sumę bilansową powyżej 10 mln euro).

Jednakże, polski projekt ustawy wprowadza dodatkowe rozszerzenia i wyjątki, które wykraczają poza ten ogólny schemat. Dzięki temu podział jest bardziej precyzyjny i dopasowany do specyfiki polskiej gospodarki oraz strategicznego znaczenia niektórych podmiotów.

Podmioty kluczowe w Polsce, podzielone na sektory:

Energia

  • Wydobywanie kopalin – gaz ziemny, ropa naftowa, węgiel brunatny, węgiel kamienny.
  • Energia elektryczna – przedsiębiorstwa zajmujące się wytwarzaniem, przesyłaniem, dystrybucją, obrotem energią elektryczną oraz uczestnicy rynku świadczący usługi towarzyszące.
  • Ciepło – przedsiębiorstwa zajmujące się wytwarzaniem, obrotem, przesyłaniem i dystrybucją ciepła.
  • Ropa i paliwa – przedsiębiorstwa energetyczne zajmujące się wytwarzaniem, przesyłaniem, magazynowaniem, przeładunkiem i obrotem paliwami ciekłymi i syntetycznymi.
  • Gaz – przedsiębiorstwa zajmujące się wytwarzaniem, przesyłaniem, dystrybucją, obrotem, magazynowaniem i skraplaniem paliw gazowych.
  • Energetyka jądrowa – operatorzy obiektów energetyki jądrowej.
  • Wodór – przedsiębiorstwa zajmujące się przesyłaniem, magazynowaniem, wytwarzaniem i dystrybucją wodoru.

Transport

  • Transport lotniczy – przewoźnicy lotniczy, zarządzający lotniskami, przedsiębiorcy obsługi naziemnej oraz instytucje zapewniające służby żeglugi powietrznej.
  • Transport kolejowy – zarządcy infrastruktury kolejowej i przewoźnicy kolejowi.
  • Transport wodny – armatorzy w transporcie morskim i śródlądowym, podmioty zarządzające portami i obiektami portowymi, a także podmioty prowadzące działalność wspomagającą transport morski.
  • Transport drogowy – zarządcy dróg oraz podmioty świadczące usługi inteligentnych systemów transportowych (ITS).

Bankowość i infrastruktura rynków finansowych

  • Instytucje kredytowe, banki krajowe, oddziały banków zagranicznych, spółdzielcze kasy oszczędnościowo-kredytowe.
  • Podmioty prowadzące rynek regulowany, domy maklerskie, administratorzy kluczowych wskaźników referencyjnych.
  • Krajowa Izba Rozliczeniowa S.A.

Ochrona zdrowia

  • Świadczenia zdrowotne i zdrowie publiczne – podmioty lecznicze, laboratoria referencyjne UE, jednostki organizacyjne publicznej służby krwi, a także podmioty posiadające Szpitalny Oddział Ratunkowy, Centrum Urazowe lub Centrum Urazowe dla Dzieci.
  • Produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych – Urząd Rejestracji Produktów Leczniczych, wyroby medyczne o krytycznym znaczeniu, hurtownie farmaceutyczne, importerzy, wytwórcy i dystrybutorzy produktów leczniczych oraz substancji czynnych.

Zaopatrzenie w wodę i gospodarka ściekowa

  • Zaopatrzenie w wodę pitną i jej dystrybucja – przedsiębiorstwa wodociągowo-kanalizacyjne (z pewnymi wyłączeniami).
  • Zbiorowe odprowadzanie ścieków – przedsiębiorstwa wodociągowo-kanalizacyjne (z pewnymi wyłączeniami).

Infrastruktura cyfrowa

  • Dostawcy punktów wymiany ruchu internetowego.
  • Dostawcy usług DNS (z wyłączeniem operatorów głównych serwerów nazw).
  • Rejestry nazw domen najwyższego poziomu (TLD).
  • Dostawcy chmury obliczeniowej, usług centrów przetwarzania danych, sieci dostarczania treści, usług zaufania.
  • Podmioty świadczące usługi rejestracji nazw domen.
  • Przedsiębiorcy komunikacji elektronicznej.

Zarządzanie usługami ICT

  • Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa.

Przestrzeń kosmiczna

  • Operatorzy infrastruktury naziemnej wspierającej świadczenie usług kosmicznych.
  • Polska Agencja Kosmiczna.

Podmioty publiczne

  • Jednostki sektora finansów publicznych i obsługujące je urzędy.
  • Państwowe instytucje kultury, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Urząd Komisji Nadzoru Finansowego, Polska Agencja Prasowa, Państwowe Gospodarstwo Wodne Wody Polskie, Polski Fundusz Rozwoju i inne instytucje rozwoju, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych, Zakład Unieszkodliwiania Odpadów Promieniotwórczych.
  • Wybrane jednostki samorządu województwa, powiatu i gminy.

Zarządzanie ryzykiem: Kluczowy obowiązek wynikający z NIS2

Jednym z najważniejszych elementów, na które kładzie nacisk dyrektywa NIS2, jest obowiązek proaktywnego zarządzania ryzykiem. Firmy nie mogą już tylko reagować na incydenty. Muszą aktywnie identyfikować, oceniać i minimalizować potencjalne zagrożenia.

Jakie konkretne kroki musisz podjąć?

  • Analiza i ocena ryzyka: Wdrożenie kompleksowych środków technicznych i organizacyjnych, takich jak zarządzanie tożsamością, szyfrowanie danych czy utrzymanie ciągłości działania. Należy regularnie przeprowadzać ocenę ryzyka, aby dostosowywać poziom zabezpieczeń.
  • Zarządzanie incydentami: W przypadku istotnego incydentu, firmy muszą zgłosić go do odpowiedniego CSIRT-u lub organu krajowego. Harmonogram zgłoszeń jest bardzo rygorystyczny: wstępne zgłoszenie w ciągu 24 godzin, szczegółowe w ciągu 72 godzin, a raport końcowy w ciągu 1 miesiąca.
  • Bezpieczeństwo łańcucha dostaw: NIS2 wymaga monitorowania poziomu zabezpieczeń u dostawców i podwykonawców. Zapewnia to większą odporność na cyberataki, które mogą mieć źródło u partnera biznesowego.

Wymagania i korzyści z wdrożenia dyrektywy NIS2

Dyrektywa NIS2 wprowadza osobistą odpowiedzialność członków kierownictwa za wdrożenie i nadzór nad środkami bezpieczeństwa. Oznacza to, że mogą oni ponosić sankcje osobiste w przypadku niedopełnienia obowiązków. Z tego powodu, szkolenia z zakresu cyberbezpieczeństwa dla kadry zarządzającej są konieczne.

Dostosowanie się do dyrektywy NIS2 to nie tylko obowiązek, ale również szansa na wzmocnienie pozycji rynkowej.

  • Większa odporność na cyberataki: Lepsze zabezpieczenia przekładają się na mniejsze ryzyko strat finansowych i wizerunkowych.
  • Wzrost zaufania: Posiadanie dowodów zgodności z regulacją może stać się przewagą konkurencyjną, budując zaufanie klientów i partnerów.
  • Profesjonalizacja zarządzania: NIS2 zmusza firmy do uporządkowania procedur, co prowadzi do bardziej efektywnego zarządzania ryzykiem.

Terminy wdrożenia NIS2: Co musisz wiedzieć?

Choć dyrektywa NIS2 ustanawia wspólne ramy dla cyberbezpieczeństwa w całej Unii Europejskiej, to jej wdrożenie w Polsce – poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa – uwzględnia lokalne realia i rozszerza zakres obowiązków oraz nadzoru. Projekt ustawy jest obecnie na etapie Komitetu Stałego Rady Ministrów i oczekuje na przekazanie do Sejmu. To dobry moment, by sprawdzić, czy Twoja organizacja spełnia kryteria podmiotu kluczowego lub ważnego i czy jest gotowa na nowe obowiązki. Działając proaktywnie, unikniesz potencjalnych kar i zapewnisz ciągłość swojego biznesu.

Umów spotkanie, a przedstawimy Ci jak wdrażamy wymagania UKSC już dziś.

Sprawdź zakres naszych usług, które pomagają firmom takim jak Twoja we wdrożeniach dyrektywy NIS2 czy innych

Artykuł powstał jako część Bazy Wiedzy, która przybliża podstawowe pojęcia z zakresu BCM, cyberbezpieczeństwa, zgodności i zarządzania ryzykiem. Zapraszamy Was do czytania pozostałych części bloga, a przede wszystkim do subskrybcji Newslettera, by otrzymywać dostęp do profesjonalnych materialów i poradników eksperckich i webinarów.

Najnowsze artykuły:

Incydenty Paypal, GenAI, Ascom, Cloudflare i inne
Komunikacja kryzysowa - komunikacja EuroCert po ataku
Menedżery haseł w 2026 roku | Password managers
Ustawa o KSC podpisana, czyli co nowe przepisy oznaczają dla organizacji, która już ma certyfikat ISO 27001?
Licencja przymusowa w Unii Europejskiej

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Incydenty Paypal, GenAI, Ascom, Cloudflare i inne

Co nam mówią o zarządzaniu ryzykiem ICT?
Czytaj dalej
Artykuł

Incydenty Paypal, GenAI, Ascom, Cloudflare i inne

Cyberbezpieczeństwo
Ciągłość działania
Incydenty
Komunikacja kryzysowa
cyberbezpieczeństwo, ryzyko operacyjne, DORA, BCM, NIS2
Bankowość i rynki finansowe
Energetyka
IT i technologia
Usługi ICT
Podmioty ważne i kluczowe

Ustawa o KSC podpisana, czyli co nowe przepisy oznaczają dla organizacji, która już ma certyfikat ISO 27001?

Co teraz?
Czytaj dalej
Komentarz

Ustawa o KSC podpisana, czyli co nowe przepisy oznaczają dla organizacji, która już ma certyfikat ISO 27001?

Cyberbezpieczeństwo
Zgodność
Administracja publiczna

Menedżery haseł w 2026 roku | Password managers

Od twierdzy szyfrów do ataku one-click
Czytaj dalej
Baza wiedzy

Menedżery haseł w 2026 roku | Password managers

Cyberbezpieczeństwo
menedżer haseł,
Firmy w Polsce

Licencja przymusowa w Unii Europejskiej

Tak, Twoja firma będzie musiała ujawnić swoje tajemnice konkurencji
Czytaj dalej
Artykuł

Licencja przymusowa w Unii Europejskiej

Zgodność
licencja przymusowa UE, rozporządzenie 2025/2645, unijne licencje przymusowe, Komisja Europejska własność intelektualna, prawo własności przemysłowej UE, regulacje kryzysowe UE, interes publiczny a patenty, zarządzanie kryzysowe UE, odporność strategiczna Europy, bezpieczeństwo dostaw, ciągłość działania przedsiębiorstw, IMERA, HERA, ochrona know-how, tajemnice handlowe, transfer technologii, ryzyko utraty know-how, dyrektywa Trade Secrets, sektor farmaceutyczny, biotechnologia, wyroby medyczne, sektor energetyczny, infrastruktura krytyczna, technologie bezpieczeństwa, półprzewodniki, ryzyko regulacyjne, wymuszony transfer technologii, przewaga konkurencyjna, strategia czarnej skrzynki, modularizacja produkcji, dokumentacja kryzysowa, licencje dobrowolne, audyt własności intelektualnej, compliance technologiczne, powiernik technologiczny, patent a know-how, własność intelektualna w kryzysie, zarządzanie ryzykiem IP
Firmy w Polsce
Przejdź do wszystkich wpisów