NIS2 (cyberbezpieczeństwo)
NIS2 to dyrektywa UE o cyberbezpieczeństwie — rozszerza obowiązki na podmioty kluczowe i ważne z 18 sektorów.
ZmianyWPrawie monitoruje proces legislacyjny — to nie jest porada prawna. Treści mają charakter informacyjny i edukacyjny. Stan prawny zmienia się w czasie; zawsze weryfikuj w oficjalnym źródle (Sejm, RCL, ISAP, EUR-Lex) lub skonsultuj się z prawnikiem.
NIS2 to **dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555** z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego, wspólnego poziomu cyberbezpieczeństwa w UE. Zastąpiła wcześniejszą dyrektywę NIS i znacznie poszerzyła zakres podmiotowy oraz katalog obowiązków. W Polsce wymaga zmiany ustawy o krajowym systemie cyberbezpieczeństwa (KSC) — prace legislacyjne nad transpozycją są przedłużone. NIS2 sąsiaduje z [DSA](/slownik/dsa-akt-o-uslugach-cyfrowych) (obowiązki platform internetowych) i dotyczy szerokiego spektrum branż — od [e-commerce](/branze/e-commerce) po [firmy transportowe](/branze/firmy-transportowe).
Definicja i zakres
NIS2 to dyrektywa, której celem jest wzmocnienie cyberbezpieczeństwa podmiotów świadczących usługi kluczowe dla funkcjonowania gospodarki i społeczeństwa w UE. Jako dyrektywa, NIS2 wymaga transpozycji do prawa krajowego. Państwa członkowskie miały dostosować przepisy do 17 października 2024 r. W Polsce transpozycja jest realizowana przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC); prace legislacyjne nad projektem były przedłużone, a aktualny stan należy zweryfikować w oficjalnym źródle. NIS2 obejmuje 18 sektorów podzielonych na sektory o krytycznym znaczeniu oraz inne sektory krytyczne.
Kogo obejmuje NIS2
NIS2 wprowadza dwie kategorie podmiotów:
- Podmioty kluczowe (essential entities) — działające w sektorach o krytycznym znaczeniu: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, ICT B2B, administracja publiczna, sektor kosmiczny,
- Podmioty ważne (important entities) — działające w innych sektorach krytycznych: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, produkcja wyrobów medycznych, urządzeń elektronicznych, maszyn, pojazdów, sprzętu transportowego, dostawcy usług cyfrowych (m.in. marketplaces, wyszukiwarki, platformy społecznościowe), organizacje badawcze.
Progi wielkościowe — co do zasady NIS2 obejmuje średnie i duże podmioty (50+ pracowników lub 10+ mln EUR obrotu rocznego), z wyjątkami dla podmiotów o szczególnym znaczeniu niezależnie od wielkości.
Główne obowiązki
Najważniejsze obowiązki podmiotów objętych NIS2:
- Zarządzanie ryzykiem cyberbezpieczeństwa — wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych (m.in. polityki bezpieczeństwa, zarządzanie incydentami, ciągłość działania, łańcuch dostaw, kontrola dostępu, kryptografia, MFA),
- Zgłaszanie incydentów w wieloetapowym trybie: wczesne ostrzeżenie w 24 h, zgłoszenie incydentu w 72 h, końcowe sprawozdanie w terminie 1 miesiąca,
- Współpraca z organami krajowego CSIRT i właściwym organem ds. cyberbezpieczeństwa,
- Rejestracja w krajowym wykazie podmiotów objętych NIS2,
- Odpowiedzialność członków zarządu — kierownictwo zatwierdza i nadzoruje środki cyberbezpieczeństwa; przewidziano ich osobistą odpowiedzialność,
- Audyt i szkolenia w zakresie cyberbezpieczeństwa.
Dyrektywa nakłada też obowiązki na łańcuch dostaw — podmioty muszą uwzględniać ryzyka po stronie swoich dostawców.
Polska transpozycja NIS2 jest w toku
Plan branżowy alarmuje o nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, aktach wykonawczych i decyzjach organów nadzoru. 3 dni za darmo.
Wypróbuj plan branżowyEgzekwowanie i sankcje
NIS2 wprowadza system administracyjnych kar pieniężnych zróżnicowanych według kategorii podmiotu. Dla podmiotów kluczowych kary mogą sięgnąć do 10 mln EUR lub 2% rocznego obrotu globalnego (wyższa z kwot). Dla podmiotów ważnych — do 7 mln EUR lub 1,4% rocznego obrotu globalnego. Dyrektywa przewiduje także środki nadzorcze, m.in. nakazy działań naprawczych, tymczasowe zawieszenie certyfikacji oraz — w niektórych przypadkach — tymczasowy zakaz pełnienia funkcji kierowniczych.
W Polsce nadzór nad krajowym systemem cyberbezpieczeństwa sprawują wskazane w ustawie KSC organy (m.in. minister właściwy ds. informatyzacji oraz krajowe CSIRT-y). Po transpozycji NIS2 zakres ich kompetencji oraz sankcji ulegnie istotnemu rozszerzeniu — szczegółowy kształt zależy od ostatecznej wersji ustawy.
Powiązane pojęcia
Pojęcia powiązane z NIS2:
- Rozporządzenie a dyrektywa UE — NIS2 to dyrektywa, wymaga transpozycji,
- Transpozycja dyrektywy — kluczowy mechanizm wdrożenia NIS2 w Polsce,
- DSA — równoległe obowiązki dla platform internetowych,
- RODO — naruszenia cyberbezpieczeństwa skutkujące wyciekami danych są też naruszeniami RODO,
- EUR-Lex — tam znajdziesz tekst dyrektywy 2022/2555,
- E-commerce — wielu dostawców usług cyfrowych mieści się w sektorach NIS2,
- Firmy transportowe — sektor transportu jest objęty kategorią podmiotów kluczowych.
Najczęstsze pytania
Co to jest NIS2?
NIS2 to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie wysokiego, wspólnego poziomu cyberbezpieczeństwa w UE. Zastąpiła wcześniejszą dyrektywę NIS i znacznie rozszerzyła zakres podmiotowy oraz katalog obowiązków. Obejmuje 18 sektorów, z podziałem na podmioty kluczowe i ważne.
Kogo obejmuje NIS2?
NIS2 obejmuje podmioty kluczowe (essential) z sektorów o krytycznym znaczeniu — m.in. energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa — oraz podmioty ważne (important) z innych sektorów krytycznych, takich jak usługi cyfrowe, produkcja czy gospodarka odpadami. Co do zasady dotyczy średnich i dużych podmiotów (50+ pracowników lub 10+ mln EUR obrotu).
Jakie obowiązki nakłada NIS2?
Podmioty objęte NIS2 wdrażają środki zarządzania ryzykiem cyberbezpieczeństwa, zgłaszają incydenty w trybie wieloetapowym (wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h, sprawozdanie końcowe w 1 miesiąc), współpracują z krajowym CSIRT, rejestrują się w wykazie, prowadzą audyty i szkolenia. Dyrektywa nakłada też obowiązki dotyczące łańcucha dostaw.
Kiedy NIS2 weszło w Polsce?
Termin transpozycji dyrektywy NIS2 do prawa krajowego upłynął 17 października 2024 r. W Polsce transpozycja jest realizowana przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC); prace legislacyjne nad projektem były przedłużone. Aktualny status nowelizacji KSC należy zweryfikować w oficjalnych źródłach.
Jakie kary grożą za naruszenie NIS2?
Dla podmiotów kluczowych kary administracyjne mogą sięgnąć do 10 mln EUR lub 2% rocznego obrotu globalnego (wyższa z kwot). Dla podmiotów ważnych — do 7 mln EUR lub 1,4% rocznego obrotu globalnego. Przewidziano też środki nadzorcze, m.in. nakazy działań naprawczych oraz w niektórych przypadkach tymczasowy zakaz pełnienia funkcji kierowniczych.
Czy zarząd odpowiada osobiście za naruszenia NIS2?
NIS2 nakłada na członków zarządu obowiązek zatwierdzania i nadzorowania środków cyberbezpieczeństwa oraz przewiduje ich osobistą odpowiedzialność za zaniedbania w tym zakresie. Szczegółowy kształt odpowiedzialności wynika z ustawodawstwa krajowego transponującego dyrektywę — w Polsce ostateczny kształt określi nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa.
Zmiany dla Twojej branży — dziennie na maila
Streszczenie projektu, ocena wpływu i linki do źródeł (Sejm, RCL, ISAP, EUR-Lex). Bez doradztwa — same fakty.
Zobacz plany