przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?

Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

W październiku 2025 roku Rada Ministrów przyjęła projekt nowelizacji Ustawy z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (ustawa o KSC), której celem jest wdrożenie do polskiego porządku prawnego przepisów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii (Network and Information Security Directive 2, NIS 2). Nowa dyrektywa NIS 2 została skierowana do dalszych prac legislacyjnych w Sejmie i Senacie, a po ich zakończeniu trafi do podpisu Prezydenta RP. Co istotne, Polska przekroczyła termin implementacji dyrektywy NIS 2, który upłynął 17 października 2024 roku.

Nowelizacja ustawy o KSC wprowadza liczne rozwiązania mające na celu wzmocnienie odporności państwa na zagrożenia w cyberprzestrzeni. Przede wszystkim rozszerza zakres podmiotów objętych regulacjami i nakłada na nie nowe obowiązki. Do obowiązków tych należy m.in. wdrożenie systemu zarządzania ryzykiem, stosowanie adekwatnych środków technicznych i organizacyjnych oraz niezwłoczne zgłaszanie incydentów do Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (ang. Computer Security Incident Response Team, CSIRT).

Przepisy wzmacniają kompetencje organów nadzoru, przyznając im szersze uprawnienia kontrolne i nadzorcze wobec podmiotów objętych ustawą. Sankcje za naruszenia będą surowsze i będą wiązać się nie tylko z wysokimi karami finansowymi, lecz także odpowiedzialnością osobistą członków kadry kierowniczej za niewykonanie obowiązków w zakresie cyberbezpieczeństwa.

Jednym z kluczowych nowych rozwiązań jest wprowadzenie mechanizmu dostawcy wysokiego ryzyka (High-Risk Vendor, HRV), umożliwiającego ograniczenie lub całkowite wykluczenie z rynku sprzętu i oprogramowania, które mogłyby stanowić zagrożenie dla bezpieczeństwa narodowego.

Kogo obejmą regulacje?

Jedną z najistotniejszych zmian w nowelizacji ustawy o KSC jest wprowadzenie nowej klasyfikacji podmiotów objętych przepisami. Regulacja wyróżnia dwie główne kategorie: podmioty kluczowe oraz podmioty ważne. Przynależność do jednej z tych grup zależy od różnych czynników, takich jak wielkość organizacji, charakter prowadzonej działalności oraz jej znaczenie dla funkcjonowania państwa i bezpieczeństwa społeczeństwa.

Podmiotami kluczowymi są przede wszystkim operatorzy infrastruktury krytycznej oraz duże przedsiębiorstwa z sektorów o fundamentalnym znaczeniu dla bezpieczeństwa i stabilności państwa, takich jak energetyka, transport, ochrona zdrowia, bankowość czy administracja publiczna. Podmiotami ważnymi zostaną natomiast średnie przedsiębiorstwa działające w tych samych sektorach lub inne organizacje, których działalność ma istotny wpływ na bezpieczeństwo cyfrowe kraju, mimo mniejszej skali operacyjnej.

Przepisy pośrednio dotkną także mniejsze podmioty 

Nowelizacja ustawy wprowadza również zasadę współodpowiedzialności za bezpieczeństwo w łańcuchu dostaw (ang. supply chain security). Zasada ta oznacza, że podmioty objęte regulacją ponoszą odpowiedzialność nie tylko za ochronę własnych systemów i danych, ale także za poziom bezpieczeństwa swoich dostawców i partnerów biznesowych.

W praktyce duże organizacje, chcąc spełnić wymogi znowelizowanej ustawy o KSC i uniknąć sankcji, będą zobowiązane do systematycznej weryfikacji oraz monitorowania ryzyka wynikającego ze współpracy z podmiotami trzecimi. Zagadnienia związane z cyberbezpieczeństwem staną się integralną częścią relacji kontraktowych i obejmą m.in. wymagania dotyczące stosowania określonych polityk, procedur i zabezpieczeń technicznych.

W efekcie przedsiębiorstwa formalnie nieobjęte zakresem ustawy o KSC będą musiały dostosować swoje systemy i procesy bezpieczeństwa, jeśli chcą zachować konkurencyjność i utrzymać współpracę z większymi partnerami. Dyrektywa NIS 2 generuje tym samym efekt kaskadowy, tworząc presję regulacyjną, która dotyczy całego ekosystemu gospodarczego. Odpowiedzialność za cyberbezpieczeństwo przestaje być więc wyłącznie wewnętrzną kwestią organizacji i staje się wspólnym obowiązkiem uczestników sieci powiązań biznesowych.

Jakie obowiązki nakłada dyrektywa NIS 2?

Dyrektywa NIS 2 oraz nowelizacja ustawy o KSC zobowiązują podmioty objęte regulacją do wdrożenia odpowiednich środków technicznych, organizacyjnych i operacyjnych mających na celu skuteczne zarządzanie ryzykiem w obszarze bezpieczeństwa sieci i systemów informatycznych. Wymagania te mają charakter systemowy i proporcjonalny, a środki ochrony powinny odpowiadać skali, złożoności i poziomowi ryzyka danego podmiotu. Do najważniejszych wymagań należą:

  • polityka bezpieczeństwa informacji i zarządzanie ryzykiem,
  • reagowanie na incydenty i obowiązek raportowania,
  • zarządzanie ciągłością działania,
  • bezpieczeństwo sieci i systemów informatycznych (IT) i operacyjnych (OT),
  • szkolenia personelu i świadomość bezpieczeństwa,
  • kryptografia i kontrola tożsamości.

Powyższe wymagania wynikające z dyrektywy NIS 2 bardzo często obejmują także podmioty, do których ona formalnie się nie odnosi. Dzieje się tak dlatego, że organizacje uznane za podmioty kluczowe i ważne są zobowiązane do oceny poziomu cyberbezpieczeństwa swoich dostawców i partnerów biznesowych. Nie zawsze jednak wszystkie te wymagania muszą być przez nich wdrożone w pełnym zakresie. 

Zgodnie z zasadą proporcjonalności ryzyka poziom oczekiwanych zabezpieczeń zależy od charakteru współpracy i wpływu danego dostawcy na bezpieczeństwo usług podmiotu kluczowego lub ważnego. Przykładowo małego dostawcy o marginalnym znaczeniu dla ciągłości działania klienta, np. drukarni materiałów promocyjnych, która nie ma dostępu do jego systemów, mogą dotyczyć jedynie podstawowe wymagania.

Bezpieczeństwo informacji, zarządzanie ryzykiem i reagowanie na incydenty 

Podstawą zgodności z dyrektywą jest formalne i udokumentowane podejście do bezpieczeństwa informacji. Organizacje są zobowiązane do opracowania i wdrożenia:

  • polityki bezpieczeństwa informacji – zatwierdzonego przez kierownictwo dokumentu określającego cele, zasady oraz zakres działań w zakresie ochrony danych i systemów,
  • systemu zarządzania ryzykiem – obejmującego identyfikację aktywów, zagrożeń i podatności, analizę prawdopodobieństwa oraz skutków incydentów, a następnie wybór odpowiednich strategii reagowania, w tym minimalizacji, transferu, akceptacji lub unikania ryzyka.

Proces ten musi być ciągły i udokumentowany, a decyzje powinny opierać się na obiektywnej analizie zagrożeń. Dyrektywa kładzie także duży nacisk na zdolność organizacji do szybkiego wykrywania i obsługi incydentów bezpieczeństwa. Podmioty muszą opracować:

  • procedury reagowania na incydenty, określające etapy identyfikacji, analizy, eskalacji, eliminacji i przywracania działania systemów,
  • system raportowania wewnętrznego, który jasno definiuje odpowiedzialność za zgłaszanie zdarzeń.

Ponadto w przypadku incydentów o istotnym wpływie wymagane jest raportowanie do krajowych zespołów CSIRT (w Polsce: NASK, GOV lub MON) zgodnie z określonymi terminami:

  • wstępne ostrzeżenie – w ciągu 24 godzin,
  • raport wstępny – w ciągu 72 godzin,
  • raport końcowy – w ciągu 30 dni.

Zarządzanie ciągłością działania oraz bezpieczeństwo sieci i systemów IT/OT

Podmioty zobowiązane są do utrzymania ciągłości kluczowych procesów biznesowych w sytuacji kryzysowej. Wymaga to opracowania i testowania:

  • planu ciągłości działania (BCP) – określającego sposoby utrzymania kluczowych usług w razie awarii lub cyberataku,
  • planu odzyskiwania po awarii (DRP) – dotyczącego przywracania systemów IT/OT i danych w określonym czasie.

Regularne testowanie BCP i DRP jest obowiązkowe i stanowi element oceny gotowości operacyjnej organizacji. Ponadto dyrektywa NIS 2 odnosi się także do systemów IT/OT wykorzystywanych w sektorach przemysłowych i infrastrukturalnych. Wymagane działania w tym zakresie obejmują m.in.:

  • segmentację sieci – ograniczenie dostępu pomiędzy strefami IT i OT,
  • zarządzanie kopiami zapasowymi – regularne tworzenie, testowanie i bezpieczne przechowywanie kopii danych, 
  • kontrolę dostępu – wdrożenie zasady najmniejszych uprawnień oraz stosowanie silnych metod uwierzytelniania.

Szkolenia personelu i kontrola tożsamości

Dyrektywa podkreśla kluczową rolę czynnika ludzkiego w systemie ochrony informacji. Organizacje są zobowiązane do prowadzenia regularnych szkoleń z zakresu cyberhigieny, poruszających kwestie, takie jak:

  • rozpoznawanie prób phishingu i innych form socjotechniki,
  • tworzenie i ochronę silnych haseł,
  • bezpieczne korzystanie z poczty elektronicznej, internetu oraz urządzeń mobilnych,
  • procedury zgłaszania incydentów.

Zalecane są także symulacje ataków phishingowych, które pozwalają ocenić poziom świadomości pracowników i skuteczność szkoleń. Ochrona poufności i integralności danych wymaga wdrożenia zaawansowanych środków kryptograficznych i kontroli dostępu. Kluczowe obowiązki polegają na:

  • szyfrowaniu danych – zarówno w spoczynku, jak i w tranzycie (np. poprzez protokoły HTTPS, VPN, szyfrowanie dysków i baz danych),
  • uwierzytelnianiu wieloskładnikowym (MFA) – obowiązkowym w przypadku systemów krytycznych i kont administratorów,
  • zarządzaniu tożsamością i dostępem (IAM) oraz dostępem uprzywilejowanym (PAM) – z jasno zdefiniowanymi zasadami nadawania, weryfikacji i odbierania uprawnień.

Dlaczego warto zacząć działać już teraz?

Rozpoczęcie przygotowań do wdrożenia wymagań wynikających z dyrektywy NIS 2, jeszcze przed formalnym wejściem w życie nowelizacji ustawy o KSC, stanowi racjonalne i strategiczne działanie zarówno z perspektywy organizacyjnej, jak i ekonomicznej. Już dziś znany jest pełny katalog środków technicznych, organizacyjnych i proceduralnych przewidzianych przez dyrektywę, a polska ustawa ma na celu jedynie ich implementację w krajowym porządku prawnym. Oznacza to, że zdecydowana większość działań wdrożeniowych będzie wymagana niezależnie od krajowych modyfikacji legislacyjnych. Tym samym organizacje, które rozpoczną prace z wyprzedzeniem, zyskują pewność, że ich wysiłki będą w pełni zgodne z przyszłymi wymogami prawnymi.

Nie bez znaczenia pozostaje również czynnik rynkowy. Podmioty kluczowe i ważne będą zobowiązane do oceny poziomu cyberbezpieczeństwa swoich kontrahentów i dostawców. W konsekwencji przedsiębiorstwa pragnące dalej współpracować z tymi organizacjami muszą wykazać się odpowiednim poziomem dojrzałości w obszarze bezpieczeństwa informacji i opracować np. politykę bezpieczeństwa, procedury reagowania na incydenty, mechanizmy uwierzytelniania wieloskładnikowego czy system zarządzania ryzykiem. Wczesne wdrożenie tych elementów może zatem stanowić realną przewagę konkurencyjną na rynku.

Z perspektywy finansowej wcześniejsze rozpoczęcie procesu wdrożeniowego pozwala na rozłożenie kosztów w czasie. Działania takie jak opracowanie dokumentacji, analiza ryzyka, szkolenia czy konfiguracja zabezpieczeń technicznych mogą być realizowane etapowo, w sposób uporządkowany i zoptymalizowany kosztowo. Wdrażanie ich w trybie przyspieszonym, już po wejściu ustawy w życie, generuje zwykle większe wydatki związane z koniecznością natychmiastowego pozyskania zewnętrznych konsultantów czy licencji oprogramowania.

Stosowanie środków bezpieczeństwa informacji przynosi także wymierne korzyści operacyjne, niezależnie od wymagań ustawowych. Stosowanie zasad takich jak regularne tworzenie kopii zapasowych, segmentacja sieci, wieloskładnikowe uwierzytelnianie oraz szybka reakcja na incydenty realnie ogranicza ryzyko strat finansowych i reputacyjnych w przypadku ataków ransomware lub wycieków danych.

Polecamy:

Dlaczego pracownicy opierają się automatyzacji?

System Zarządzania Bezpieczeństwem Informacji (SZB...
Grudzień 2025
11
Czwartek
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • VAT 7
  • VAT UE (elektroniczna)
  • Remanent końcowy
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Cyberbezpieczeństwo w organizacji - jak cyberprzestępcy włamują się do firm i JST?
  2. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  3. Analiza ryzyka – jakie elementy są konieczne?
  4. Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?
  5. Audyt bezpieczeństwa – praktyczne podejście do zarządzania ryzykiem
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW!
Smart City Forum – miasta przyszłości w epoce danych, bezpieczeństwa i cyfrowej odporności
XIV Ogólnopolska Konferencja Naukowa „Rachunkowość i Finanse. Teoria i Praktyka”
Kongres For Social Media 2025
eCommerce Business Innovations w Katowicach – pierwsza konferencja o e-handlu na Górnym Śląsku! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów