Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Baza wiedzy

Dyrektywa NIS2: Nowe obowiązki i szanse dla polskich firm

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Masz bardzo mało czasu, by być gotowym na implementację w Polsce.

Czym jest dyrektywa NIS2 i kogo dotyczy w Polsce?

Dyrektywa NIS2 (Network and Information Security 2) to unijne rozporządzenie, które weszło w życie w grudniu 2022 roku. Jej celem jest podniesienie poziomu cyberbezpieczeństwa na terenie całej Unii Europejskiej. W Polsce, 7. projekt UKSC jest na Komitecie Stałym Rady Ministrów i liczymy, że niebawem zostanie przekazany do sejmu.

NIS2 to znaczne rozszerzenie poprzedniej dyrektywy NIS1. Teraz obejmuje dużo szersze spektrum podmiotów – nie tylko operatorów usług kluczowych, ale też średnie i duże przedsiębiorstwa z wielu branż. Polska ustawa KSC nawet nieco rozszerza zakres podmiotów kluczowych i ważnych względem samej dyrektywy.

Podmioty kluczowe – sektory i branże w Polsce

Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (projekt) rozwija i uzupełnia podział oparty na kryteriach wielkościowych z rozporządzenia Komisji (UE) nr 651/2014.

Sama przynależność do sektora kluczowego lub ważnego nie wystarcza, aby podmiot podlegał pod ustawę. Zasadniczo, ustawa nakłada obowiązki na te podmioty, które spełniają kryteria średniego przedsiębiorstwa (tj. zatrudniają co najmniej 50 pracowników lub osiągają roczny obrót lub sumę bilansową powyżej 10 mln euro).

Jednakże, polski projekt ustawy wprowadza dodatkowe rozszerzenia i wyjątki, które wykraczają poza ten ogólny schemat. Dzięki temu podział jest bardziej precyzyjny i dopasowany do specyfiki polskiej gospodarki oraz strategicznego znaczenia niektórych podmiotów.

Podmioty kluczowe w Polsce, podzielone na sektory:

Energia

  • Wydobywanie kopalin – gaz ziemny, ropa naftowa, węgiel brunatny, węgiel kamienny.
  • Energia elektryczna – przedsiębiorstwa zajmujące się wytwarzaniem, przesyłaniem, dystrybucją, obrotem energią elektryczną oraz uczestnicy rynku świadczący usługi towarzyszące.
  • Ciepło – przedsiębiorstwa zajmujące się wytwarzaniem, obrotem, przesyłaniem i dystrybucją ciepła.
  • Ropa i paliwa – przedsiębiorstwa energetyczne zajmujące się wytwarzaniem, przesyłaniem, magazynowaniem, przeładunkiem i obrotem paliwami ciekłymi i syntetycznymi.
  • Gaz – przedsiębiorstwa zajmujące się wytwarzaniem, przesyłaniem, dystrybucją, obrotem, magazynowaniem i skraplaniem paliw gazowych.
  • Energetyka jądrowa – operatorzy obiektów energetyki jądrowej.
  • Wodór – przedsiębiorstwa zajmujące się przesyłaniem, magazynowaniem, wytwarzaniem i dystrybucją wodoru.

Transport

  • Transport lotniczy – przewoźnicy lotniczy, zarządzający lotniskami, przedsiębiorcy obsługi naziemnej oraz instytucje zapewniające służby żeglugi powietrznej.
  • Transport kolejowy – zarządcy infrastruktury kolejowej i przewoźnicy kolejowi.
  • Transport wodny – armatorzy w transporcie morskim i śródlądowym, podmioty zarządzające portami i obiektami portowymi, a także podmioty prowadzące działalność wspomagającą transport morski.
  • Transport drogowy – zarządcy dróg oraz podmioty świadczące usługi inteligentnych systemów transportowych (ITS).

Bankowość i infrastruktura rynków finansowych

  • Instytucje kredytowe, banki krajowe, oddziały banków zagranicznych, spółdzielcze kasy oszczędnościowo-kredytowe.
  • Podmioty prowadzące rynek regulowany, domy maklerskie, administratorzy kluczowych wskaźników referencyjnych.
  • Krajowa Izba Rozliczeniowa S.A.

Ochrona zdrowia

  • Świadczenia zdrowotne i zdrowie publiczne – podmioty lecznicze, laboratoria referencyjne UE, jednostki organizacyjne publicznej służby krwi, a także podmioty posiadające Szpitalny Oddział Ratunkowy, Centrum Urazowe lub Centrum Urazowe dla Dzieci.
  • Produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych – Urząd Rejestracji Produktów Leczniczych, wyroby medyczne o krytycznym znaczeniu, hurtownie farmaceutyczne, importerzy, wytwórcy i dystrybutorzy produktów leczniczych oraz substancji czynnych.

Zaopatrzenie w wodę i gospodarka ściekowa

  • Zaopatrzenie w wodę pitną i jej dystrybucja – przedsiębiorstwa wodociągowo-kanalizacyjne (z pewnymi wyłączeniami).
  • Zbiorowe odprowadzanie ścieków – przedsiębiorstwa wodociągowo-kanalizacyjne (z pewnymi wyłączeniami).

Infrastruktura cyfrowa

  • Dostawcy punktów wymiany ruchu internetowego.
  • Dostawcy usług DNS (z wyłączeniem operatorów głównych serwerów nazw).
  • Rejestry nazw domen najwyższego poziomu (TLD).
  • Dostawcy chmury obliczeniowej, usług centrów przetwarzania danych, sieci dostarczania treści, usług zaufania.
  • Podmioty świadczące usługi rejestracji nazw domen.
  • Przedsiębiorcy komunikacji elektronicznej.

Zarządzanie usługami ICT

  • Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa.

Przestrzeń kosmiczna

  • Operatorzy infrastruktury naziemnej wspierającej świadczenie usług kosmicznych.
  • Polska Agencja Kosmiczna.

Podmioty publiczne

  • Jednostki sektora finansów publicznych i obsługujące je urzędy.
  • Państwowe instytucje kultury, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Urząd Komisji Nadzoru Finansowego, Polska Agencja Prasowa, Państwowe Gospodarstwo Wodne Wody Polskie, Polski Fundusz Rozwoju i inne instytucje rozwoju, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych, Zakład Unieszkodliwiania Odpadów Promieniotwórczych.
  • Wybrane jednostki samorządu województwa, powiatu i gminy.

Zarządzanie ryzykiem: Kluczowy obowiązek wynikający z NIS2

Jednym z najważniejszych elementów, na które kładzie nacisk dyrektywa NIS2, jest obowiązek proaktywnego zarządzania ryzykiem. Firmy nie mogą już tylko reagować na incydenty. Muszą aktywnie identyfikować, oceniać i minimalizować potencjalne zagrożenia.

Jakie konkretne kroki musisz podjąć?

  • Analiza i ocena ryzyka: Wdrożenie kompleksowych środków technicznych i organizacyjnych, takich jak zarządzanie tożsamością, szyfrowanie danych czy utrzymanie ciągłości działania. Należy regularnie przeprowadzać ocenę ryzyka, aby dostosowywać poziom zabezpieczeń.
  • Zarządzanie incydentami: W przypadku istotnego incydentu, firmy muszą zgłosić go do odpowiedniego CSIRT-u lub organu krajowego. Harmonogram zgłoszeń jest bardzo rygorystyczny: wstępne zgłoszenie w ciągu 24 godzin, szczegółowe w ciągu 72 godzin, a raport końcowy w ciągu 1 miesiąca.
  • Bezpieczeństwo łańcucha dostaw: NIS2 wymaga monitorowania poziomu zabezpieczeń u dostawców i podwykonawców. Zapewnia to większą odporność na cyberataki, które mogą mieć źródło u partnera biznesowego.

Wymagania i korzyści z wdrożenia dyrektywy NIS2

Dyrektywa NIS2 wprowadza osobistą odpowiedzialność członków kierownictwa za wdrożenie i nadzór nad środkami bezpieczeństwa. Oznacza to, że mogą oni ponosić sankcje osobiste w przypadku niedopełnienia obowiązków. Z tego powodu, szkolenia z zakresu cyberbezpieczeństwa dla kadry zarządzającej są konieczne.

Dostosowanie się do dyrektywy NIS2 to nie tylko obowiązek, ale również szansa na wzmocnienie pozycji rynkowej.

  • Większa odporność na cyberataki: Lepsze zabezpieczenia przekładają się na mniejsze ryzyko strat finansowych i wizerunkowych.
  • Wzrost zaufania: Posiadanie dowodów zgodności z regulacją może stać się przewagą konkurencyjną, budując zaufanie klientów i partnerów.
  • Profesjonalizacja zarządzania: NIS2 zmusza firmy do uporządkowania procedur, co prowadzi do bardziej efektywnego zarządzania ryzykiem.

Terminy wdrożenia NIS2: Co musisz wiedzieć?

Choć dyrektywa NIS2 ustanawia wspólne ramy dla cyberbezpieczeństwa w całej Unii Europejskiej, to jej wdrożenie w Polsce – poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa – uwzględnia lokalne realia i rozszerza zakres obowiązków oraz nadzoru. Projekt ustawy jest obecnie na etapie Komitetu Stałego Rady Ministrów i oczekuje na przekazanie do Sejmu. To dobry moment, by sprawdzić, czy Twoja organizacja spełnia kryteria podmiotu kluczowego lub ważnego i czy jest gotowa na nowe obowiązki. Działając proaktywnie, unikniesz potencjalnych kar i zapewnisz ciągłość swojego biznesu.

Umów spotkanie, a przedstawimy Ci jak wdrażamy wymagania UKSC już dziś.

Sprawdź zakres naszych usług, które pomagają firmom takim jak Twoja we wdrożeniach dyrektywy NIS2 czy innych

Artykuł powstał jako część Bazy Wiedzy, która przybliża podstawowe pojęcia z zakresu BCM, cyberbezpieczeństwa, zgodności i zarządzania ryzykiem. Zapraszamy Was do czytania pozostałych części bloga, a przede wszystkim do subskrybcji Newslettera, by otrzymywać dostęp do profesjonalnych materialów i poradników eksperckich i webinarów.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Strategiczna cisza po cyberataku na system wizowy w UK
Awaria Porsche w Rosji
Plan ciągłości działania, czyli instrukcja przetrwania dla Twojej firmy
Atak Shai Hulud 2.0.
Niewidzialne zagrożenia

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Strategiczna cisza po cyberataku na system wizowy w UK

prezentacja
Czytaj dalej
Case Study

Strategiczna cisza po cyberataku na system wizowy w UK

Incydenty
wojna, atak, cybertak, system wizowy, uk, Wielka Brytania,
Administracja publiczna

Awaria Porsche w Rosji

Analiza SPOF
Czytaj dalej
Raport

Awaria Porsche w Rosji

Bezpieczeństwo łańcucha dostaw
Ciągłość działania
Geopolityka a biznes
awaria Porsche Rosja 2025, Porsche VTS awaria, Vehicle Tracking System problem, Porsche nie uruchamia się, blokada silnika Porsche, cyberbezpieczeństwo samochodów, connected cars security, software-defined vehicle ryzyko, GPS spoofing samochody, zagłuszanie GPS Rosja, systemy antykradzieżowe VTS, zdalne wyłączenie pojazdu kill switch, cyfrowy kill switch technologia, single point of failure SPOF, awaria łańcucha dostaw technologia, supply chain risk management, zarządzanie ryzykiem dostawców, third party risk management TPRM, vendor risk management VRM, supplier risk management SRM, ryzyko technologiczne motoryzacja, sankcje technologiczne a dostępność usług, licencje oprogramowania ryzyko operacyjne, disaster recovery plan DRP, business continuity management BCM, cyber resilience organizacji, ryzyko geopolityczne technologii, UN R155 cybersecurity automotive, automotive cybersecurity 2025, analiza ryzyka dostawcy, vendor risk assessment, ERAMIS metodologia, cyfrowa suwerenność technologiczna, zależność od dostawcy technologii, bezpieczeństwo infrastruktury krytycznej
Transport i logistyka
E-commerce & retail
Motoryzacja

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia
Przejdź do wszystkich wpisów