Silniki i napędyRobotyPLC, HMI, OprogramowanieZasilanie, aparatura nnKomunikacjaBezpieczeństwoPomiaryObudowy, złącza, komponentyPrzemysł 4.0
RynekFirmyProduktyGospodarkaTemat miesiącaRaportyWywiadyTechnikaPuls branżyKalendariumMagazynDla firm

NIS 2 – obowiązki i kontrowersje

25 czerwca 2026
Bezpieczeństwo

W lutym tego roku Prezydent RP Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Wprowadza ona do polskiego prawa wymagania dyrektywy Parlamentu Europejskiego oraz Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej, czyli tytułowej NIS 2. Nowelizacja weszła w życie na początku kwietnia. Od tej pory zaczęły obowiązywać terminy, do których podmioty, które podlegają zaktualizowanym przepisom, muszą dopełnić obowiązki, jakie nakłada na nie dyrektywa NIS 2.

Posłuchaj
00:00

Pierwszą graniczną datą jest 3 października 2026 r. Do tego terminu podmioty kluczowe oraz ważne mają czas, żeby złożyć wniosek o wpis do wykazu takich podmiotów. Do 3 kwietnia 2027 r. powinny wdrożyć odpowiednie środki techniczne oraz organizacyjne zwiększające bezpieczeństwo systemów informatycznych. Do 3 kwietnia 2028 r. podmioty kluczowe mają z kolei czas, żeby przeprowadzić pierwszy obligatoryjny audyt w zakresie cyberbezpieczeństwa. Kolejne sprawdzenia tego typu trzeba będzie wykonywać co najmniej raz na trzy lata. W tym miejscu należałoby wyjaśnić, czym są podmioty kluczowe i podmioty ważne, których dotyczą te obowiązki.

CO NOWEGO W NIS 2?

Podział ten wprowadzono w dyrektywie NIS 2. Klasyfikacja na podmioty kluczowe oraz ważne, bazująca na kryteriach wielkości przedsiębiorstwa i krytyczności albo znaczenia sektora, w którym prowadzi ono działalność, zastąpiła do tej pory obowiązującą kategoryzację wyróżniającą: operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne.

Nowy podział obejmuje kilkanaście sektorów gospodarki. Ich spis zamieszczono w załącznikach do dyrektywy NIS 2, a także w załącznikach do ustawy o krajowym systemie cyberbezpieczeństwa. Za sektory kluczowe uznane zostały m.in. energetyka oraz transport lotniczy, kolejowy, wodny i drogowy. Do pierwszej grupy zaliczono przedsiębiorstwa prowadzące działalność w zakresie wydobywania kopalin, produkcji, przesyłu, dystrybucji energii elektrycznej i gazu, te z branży energetyki jądrowej i operatorów instalacji służących do produkowania, magazynowania i przesyłania wodoru. Sektory kluczowe to też branża zaopatrzenia w wodę pitną i jej dystrybucji oraz zbiorowego odprowadzania ścieków.

Sektor ważny to natomiast m.in. branża gospodarowania odpadami, w tym ich zbierania, transportu i przetwarzania (obejmującego sortowanie) i nadzoru nad wymienionymi działaniami, jak również późniejszego postępowania z miejscami unieszkodliwiania odpadów. Do tej kategorii oprócz tego włączono np. produkcję, wytwarzanie i dystrybucję chemikaliów, żywności, produkcję komputerów, wyrobów elektronicznych oraz optycznych, urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowanych, samochodów, przyczep i naczep, i pozostałego sprzętu transportowego.

KLUCZOWY CZY WAŻNY?

O tym, czy dany podmiot powinien zostać zaliczony do grupy kluczowych czy ważnych, decyduje jego przynależność do konkretnego sektora z kategorii kluczowych albo ważnych i jego wielkość. Generalnie do pierwszej kategorii zaliczani są duzi przedsiębiorcy z sektorów kluczowych, z kolei do drugiej – ci średni, prowadzący działalność w sektorach kluczowych oraz duzi i średni, z branż ważnych. Określając wielkość firmy, należy wziąć pod uwagę progi dla mikro-, małych i średnich przedsiębiorstw. Ważne, aby uwzględnić w tym również przedsiębiorstwa powiązane i partnerskie. W przypadku mikroprzedsiębiorstw liczba zatrudnionych nie przekracza 10 osób, zaś roczny obrót lub roczna suma bilansowa nie jest większa niż 2 mln euro. Z kolei dla przedsiębiorstw, które są klasyfikowane jako małe, odpowiednie wartości progowe to: mniej niż 50 pracowników i poniżej 10 mln euro. W średnich natomiast zatrudnionych jest mniej niż 250 osób, zaś ich roczny obrót nie przekracza 50 mln euro lub roczna suma bilansowa nie przekracza 43 mln euro.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza też zmianę w zakresie procedury identyfikowania podmiotów. Dotychczas operatorzy usług kluczowych byli wyznaczani w drodze decyzji administracyjnej właściwego organu ds. cyberbezpieczeństwa. Obecnie jednak to na podmiotach ciąży obowiązek samokategoryzacji. Muszą się w związku z tym same określić jako kluczowe albo ważne oraz samodzielnie się zarejestrować w wykazie prowadzonym przez właściwe ministerstwo. Firmy, które się do tego wykazu nie wpiszą, będą do niego zapisywane z urzędu przez właściwe organy. Konsekwencją niedopełnienia tego obowiązku staną się czynności nadzorcze, a w dalszej perspektywie – nałożenie administracyjnej kary pieniężnej. Z kolei w razie niewłaściwej samoidentyfikacji podmiot zostanie po prostu wykreślony z wykazu. Jeżeli firma spełnia kryteria podmiotu kluczowego i zarazem ważnego, będzie traktowana jak podmiot kluczowy. Przedsiębiorcy mają na wpisanie się do rejestru pół roku od dnia spełnienia przesłanek uznania za podmiot kluczowy albo ważny.

Generalnie obowiązki podmiotów obu rodzajów są takie same. Różnica między nimi sprowadza się w praktyce do zakresu czynności organów nadzorczych. Kontrola nad podmiotami kluczowymi ma charakter ex ante (uprzedni, przed zdarzeniem), a w przypadku ważnych – ex post (następczy, po wystąpieniu zdarzenia). Oprócz tego podmioty kluczowe mają obowiązek przeprowadzić audyt co trzy lata i na żądanie organu właściwego ds. cyberbezpieczeństwa, natomiast te ważne przeprowadzają takie sprawdzenie wyłącznie na żądanie.

OBOWIĄZKI

Po ustaleniu, do której kategorii podmiotów się należy i wpisaniu się do wykazu, przedsiębiorstwo ma w dalszej kolejności obowiązek podłączyć się do systemu S46. Jest to platforma teleinformatyczna właściwego ministra ds. informatyzacji. Jej główne funkcje to wspieranie: współpracy podmiotów krajowego systemu cyberbezpieczeństwa, zgłaszania i obsługi incydentów, szacowania ryzyka na poziomie krajowym, ostrzegania o cyberzagrożeniach, generowania i przekazywania rekomendacji, czynności nadzorczych organów właściwych ds. cyberbezpieczeństwa oraz prowadzenia wykazu podmiotów kluczowych i podmiotów ważnych.

W następnym kroku przedsiębiorstwo musi wdrożyć system zarządzania bezpieczeństwem informacji (SZBI). Proces ten obejmuje: ustalenie kontekstu organizacji, czyli określenie jaką działalność prowadzi, jakie wymagania regulacyjne jej dotyczą oraz jakie są oczekiwania klientów i partnerów, opracowanie polityki bezpieczeństwa, przydzielenie ról w organizacji, czyli określenie kto ma odpowiadać za cyberbezpieczeństwo oprócz zarządu oraz wdrożenie zarządzania ryzykiem albo przegląd dotychczas stosowanych polityk i procedur w tym zakresie. Wymagane jest też wdrożenie proporcjonalnych środków technicznych i organizacyjnych zapewniających poufność, integralność, dostępność danych. W szczególności należy: zweryfikować niekaralność pracowników, dokonać przeglądu procedur kadr pod kątem bezpieczeństwa zasobów ludzkich, sprawdzić i uaktualnić uprawnienia personelu w zakresie dostępu do zasobów, dokonać przeglądu dostawców sprzętu oraz oprogramowania, sprawdzić środki bezpieczeństwa w systemach informatycznych i wdrożyć dodatkowe wszędzie tam, gdzie to konieczne, wprowadzić stałe, automatyczne monitorowanie pod kątem zdarzeń zagrażających cyberbezpieczeństwu i przejrzeć plany utrzymania ciągłości działania w razie ataku.

INCYDENTY

Uregulowane zostało poza tym zgłaszanie incydentów, czyli zdarzeń, które mają albo mogą mieć niekorzystny wpływ na bezpieczeństwo systemów informatycznych. Wyróżniono kilka ich typów. Te krytyczne skutkują znaczną szkodą dla bezpieczeństwa albo dla porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi. Incydenty poważne z kolei powodują istotne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy albo ważny, straty finansowe dla tego podmiotu lub wpływają na inne osoby i podmioty, wywołując poważne szkody materialne lub niematerialne. Skutki incydentów na dużą skalę natomiast przekraczają możliwości reagowania danego państwa lub mają poważny wpływ na inne kraje członkowskie Unii Europejskiej. Podmiot kluczowy albo ważny musi obsłużyć każdy incydent, chociaż obligatoryjnemu zgłoszeniu podlegają wyłącznie incydenty poważne. W ramach obsługi incydentu na podmiotach ciąży kilka obowiązków.

Wymagają one kontaktu z CSIRT (Computer Security Incident Response Team), czyli Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa wprowadziła pojęcie CSIRT sektorowego. Oprócz tego funkcjonują trzy zespoły CSIRT na poziomie krajowym. Są to: CSIRT GOV, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego, CSIRT MON, kierowany przez Ministra Obrony Narodowej, oraz CSIRT NASK, za który odpowiada Naukowa i Akademicka Sieć Komputerowa.

Podmiot kluczowy albo ważny w ramach wspomnianej obsługi incydentu musi: zgłosić wczesne ostrzeżenie o zdarzeniu poważnym, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego, zgłosić zdarzenie poważne niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego, zapewnić dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu, w zakresie niezbędnym do realizacji jego zadań oraz współdziałać podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT. Poza tym ma obowiązek przekazania, na wniosek właściwego CSIRT sektorowego, sprawozdania okresowego z obsługi zdarzenia poważnego oraz przekazania odpowiedniemu CSIRT sektorowemu sprawozdania końcowego z obsługi incydentu poważnego, nie później niż w ciągu miesiąca od dnia zgłoszenia. Powinien ponadto poinformować użytkowników swoich usług o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie tych usług. Musi również podjąć odpowiednie działania naprawcze.

PODSUMOWANIE

Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148, czyli poprzedniej wersji dyrektywy NIS, którą uchyliło wprowadzenie NIS 2, było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii Europejskiej, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do poprawy bezpieczeństwa Unii i do sprawnego funkcjonowania jej gospodarki i społeczeństwa. I rzeczywiście – od momentu wejścia w życie poprzedniczki NIS 2 poczyniono znaczne postępy w podnoszeniu poziomu cyberodporności UE.

Z drugiej jednak strony, analiza jej skutków wykazała, że istnieją znaczne rozbieżności we wdrażaniu dyrektywy NIS przez państwa członkowskie, w tym pod względem jej zakresu, którego ustalenie w znacznej mierze pozostawiono do uznania poszczególnych krajów. Te niespójności, prowadząc do większej podatności niektórych państw na cyberzagrożenia, mogą wywoływać reperkusje w całej Unii. Dyrektywę NIS 2 wprowadzono, aby to zagrożenie wyeliminować.

Czy to się uda, czas pokaże. Jak na razie występują opóźnienia we wdrażaniu zapisów dyrektywy NIS 2, która zaczęła obowiązywać z końcem 2022 r., a jej transpozycja do prawodawstwa krajowego państw członkowskich miała nastąpić do 17 października 2024 r. Poza tym pojawiają się opinie, że jej wytyczne są zbyt skomplikowane. Taki argument podał np. Prezydent RP. Chociaż bowiem Karol Nawrocki ustawę o krajowym systemie cyberbezpieczeństwa podpisał, jednocześnie podjął decyzję o jej skierowaniu do kontroli następczej przez Trybunał Konstytucyjny, uzasadniając to sprzeciwem przedsiębiorców, którzy uważają, że obowiązki nakładane na nich są w tym przypadku nadmiarowe i nieproporcjonalne.

Monika Jaworowska

Powiązane treści
Zapewnienie zgodności z NIS2 w środowiskach OT
Dyrektywa NIS2: cyberbezpieczeństwo systemów automatyki przemysłowej
Zobacz więcej w kategorii: Gospodarka
Silniki i napędy
Rynek silników elektrycznych
Przemysł 4.0
Panattoni oddaje do użytku nowoczesną fabrykę firmy Danfoss
Przemysł 4.0
W stronę kolei dużych prędkości i transferu technologii - strategiczne partnerstwo PESA Bydgoszcz i Hitachi Rail
Obudowy, złącza, komponenty
Rynek ceramiki technicznej
Silniki i napędy
Valeo otwiera w Polsce europejskie centrum R&D elektromobilności i rekrutuje ponad 100 inżynierów
Przemysł 4.0
Accenture przejmuje Industries eXcellence Group i wzmacnia współpracę z Siemensem w cyfryzacji przemysłu
Polecamy
Polecamy

Cyberbezpieczeństwo OT - od technicznego tła do elementu odporności organizacji

Systemy automatyki przemysłowej, budynkowej i infrastrukturalnej przez lata funkcjonowały jako środowiska techniczne, których kluczowym zadaniem było zapewnienie ciągłości działania procesów. Projektowane z myślą o niezawodności i stabilności, pozostawały relatywnie odseparowane od szerszej dyskusji o cyberbezpieczeństwie. Nie oznaczało to jednak, że bezpieczeństwo stanowiło kwestię drugorzędną. Wręcz przeciwnie – było wpisane w samą naturę tych systemów. Dziś zmienia się przede wszystkim to, że zaczynamy tę zależność świadomie identyfikować i wprost nią zarządzać.
Cała branża automatyki. Twoje pytania.
Poszukuję produktu lub usługi Chcę skontaktować się z firmą Mam pytanie ogólne
Zapytania ofertowe
Unikalny branżowy system komunikacji B2B Znajdź produkty i usługi, których potrzebujesz Katalog ponad 7000 firm i 60 tys. produktów