NIS2 obowiązuje. Polska spóźniona. Twoja firma może być objęta — i jeszcze o tym nie wie
Dyrektywa NIS2 — unijna regulacja dotycząca cyberbezpieczeństwa — weszła w życie w paździer niku 2024 roku. Polska, jak większość krajów UE, spóźniła się z transpozycją do prawa krajowego. Ale spóźnienie ustawodawcy nie zwalnia firm z obowiązków — egzekwowanie regulacji nastąpi wkrótce po uchwaleniu ustawy, która jest już procedowana w Sejmie. Firmy, które liczą na to, że „jeszcze nie teraz”, budzą się nieprzygotowane.
Czym jest NIS2 i co zmieniło się względem NIS1
NIS2 (Network and Information Security Directive 2) to unijny standard zarządzania ryzykiem cyberbezpieczeństwa dla organizacji uznanych za „istotne” lub „ważne”. To znaczące rozszerzenie względem poprzedniej dyrektywy NIS1, która obejmowała głównie operatorów usług kluczowych (energetyka, transport, banki). NIS2 rozszerza zasięg na średnie i duże firmy z 18 sektorów — w tym produkcję, chemikalia, żywność, usługi pocztowe, zarządzanie odpadami, urządzenia medyczne, motoryzację, oprogramowanie i usługi cyfrowe. Szacuje się, że w Polsce może to dotyczyć od kilku do kilkunastu tysięcy podmiotów.
Czy Twoja firma jest objęta NIS2? Trzy pytania
1. Ile zatrudniasz pracowników i jaki masz obrót? Dyrektywa obejmuje średnie firmy (50+ pracowników lub 10+ mln EUR obrotu) i duże (250+ / 50+ mln EUR) działające w objętych sektorach. Mniejsze firmy mogą być objęte, jeśli świadczą usługi krytyczne.
2. W jakim sektorze działasz? Lista sektorów jest znacznie szersza niż większość firm zakłada. Oprócz energetyki i bankowości obejmuje m.in. produkcję żywności, producentów urządzeń, dostawców usług IT i chmurowych, sektor chemiczny, firmy kurierskie i pocztowe.
3. Czy jesteś podwykonawcą firmy objętej NIS2? NIS2 wprowadza bezpieczeństwo łańcucha dostaw jako obowiązek. Organizacje objęte dyrektywą muszą weryfikować cyberbezpieczeństwo swoich dostawców. Jeśli obsługujesz duże firmy produkcyjne, energetyczne lub IT — wymagania NIS2 mogą trafiać do Ciebie pośrednio, przez umowy.
Co NIS2 faktycznie wymaga
Lista obowiązków jest konkretna: zarządzanie ryzykiem cyberbezpieczeństwa z udokumentowanymi procedurami, obsługa incydentów z obowiązkiem zgłoszenia poważnego incydentu w 24 godziny, plany ciągłości działania i odtworzenia, weryfikacja bezpieczeństwa dostawców, szkolenia kadry zarządzającej oraz minimalne standardy techniczne w zakresie kryptografii i kontroli dostępu.
Kary: do 10 mln EUR lub 2% globalnego obrotu dla podmiotów istotnych. I novum względem NIS1: osobista odpowiedzialność członków zarządu za naruszenia. To nie jest już tylko ryzyko organizacyjne — to ryzyko prywatne.
ISO 27001 jako naturalna odpowiedź na NIS2
NIS2 nie wskazuje jednego konkretnego standardu technicznego, ale lista jej wymogów pokrywa się w około 80% z wymaganiami normy ISO 27001 — międzynarodowego standardu systemu zarządzania bezpieczeństwem informacji. To nie przypadek: ISO 27001 powstał właśnie po to, by systematycznie zarządzać ryzykiem informacyjnym i zapewniać ciągłość działania.
Organizacja z certyfikatem ISO 27001 ma udokumentowaną odpowiedź na większość wymogów NIS2 — i co kluczowe, może to wykazać organowi nadzorczemu. W kontekście osobistej odpowiedzialności zarządu to różnica między „robiśmy coś w tym kierunku” a „mamy niezależnie zweryfikowany dowód”.
Harmonogram działania — zanim ustawa wejdzie w życie
Okno przygotowawcze jest krótkie. Praktyczny plan dla firm potencjalnie objętych NIS2:
Krok 1 — weryfikacja zakresu (1 tydzień): czy firma spełnia kryteria wielkości i sektorowe? W razie wątpliwości — założyć, że tak.
Krok 2 — ocena luk (2–4 tygodnie): porównanie aktualnych procedur z wymaganiami NIS2. Gdzie nie ma dokumentacji, gdzie odpowiedzialność jest nieokreślona?
Krok 3 — priorytetyzacja przez ryzyko: nie wszystkie luki są równie pilne. Najpierw te, które dotyczą incydentów i ciągłości działania.
Krok 4 — wdrożenie i niezależna weryfikacja: certyfikacja ISO 27001 jako dowód dojrzałości dla organów regulacyjnych, klientów i partnerów handlowych.
Historia regulacji unijnych jest tu pouczająca. RODO wyd a wało się odległe, dopóki pierwsze kary nie trafiły na pierwsze strony gazet. NIS2 pójdzie tą samą drogą. Różnica polega na tym, że tym razem wiemy to z wyprzedzeniem. I można to wyprzedzenie wykorzystać.