EuroComply
Sign up
Back to blog
NIS2 12 min read

Czym jest NIS2? Kompletny przewodnik dla firm

What you need to know: Czym jest NIS2? Kompletny przewodnik dla firm

NIS2 (dyrektywa 2022/2555) zastąpiła NIS1 w październiku 2024 roku. Ten przewodnik omawia podmioty kluczowe i ważne, środki bezpieczeństwa z artykułu 21, terminy zgłaszania incydentów, odpowiedzialność kadry zarządzającej oraz kary.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Dyrektywa NIS2 (dyrektywa 2022/2555) to obowiązujące w Unii Europejskiej prawo dotyczące cyberbezpieczeństwa dla sektorów krytycznych i ważnych. Zastąpiła ona pierwotną dyrektywę NIS1 (2016/1148), a jej termin transpozycji upłynął 17 października 2024 roku — co oznacza, że państwa członkowskie UE były zobowiązane do przeniesienia jej wymogów do prawa krajowego do tej daty.

NIS2 znacząco rozszerza zakres obowiązkowych obowiązków w zakresie cyberbezpieczeństwa, wprowadza bezpośrednią odpowiedzialność kadry zarządzającej, standaryzuje zgłaszanie incydentów oraz podnosi maksymalne wysokości kar. Ten przewodnik obejmuje wszystko, co muszą zrozumieć objęte nią organizacje.

Czym jest NIS2?

NIS2 ustanawia minimalne standardy cyberbezpieczeństwa dla operatorów w sektorach krytycznych i ważnych w całej UE. Podczas gdy NIS1 obejmowała wąską listę operatorów usług kluczowych i dostawców usług cyfrowych, NIS2 ma zastosowanie do znacznie szerszego zbioru sektorów i wielkości podmiotów.

Zasadnicza zmiana w NIS2 polega na przejściu od samoidentyfikacji (NIS1 opierała się na wyznaczaniu podmiotów przez państwa członkowskie) do reguły progowej opartej na wielkości: większość podmiotów w objętych sektorach, które osiągają próg średniego przedsiębiorstwa, jest automatycznie objęta zakresem.

NIS2 jest dyrektywą, a nie rozporządzeniem — wymagała transpozycji do prawa krajowego. Na początku 2026 roku większość państw członkowskich UE ukończyła lub w znacznej mierze ukończyła transpozycję, choć jakość wdrożenia i potencjał nadzorczy są zróżnicowane.

Do kogo ma zastosowanie NIS2?

Zakres sektorowy

NIS2 dzieli objęte sektory na załącznik I (podmioty kluczowe) oraz załącznik II (podmioty ważne):

| Klasyfikacja | Sektory | |---------------|---------| | Podmioty kluczowe (załącznik I) | Energetyka (energia elektryczna, ropa naftowa, gaz, systemy ciepłownicze/chłodnicze, wodór), Transport (lotniczy, kolejowy, wodny, drogowy), Bankowość, Infrastruktura rynków finansowych, Zdrowie, Woda pitna, Ścieki, Infrastruktura cyfrowa (punkty wymiany ruchu internetowego, DNS, rejestry domen najwyższego poziomu, chmura obliczeniowa, centra danych, sieci dostarczania treści, usługi zaufania, sieci łączności elektronicznej), Zarządzanie usługami ICT (dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa), Administracja publiczna (administracja centralna), Przestrzeń kosmiczna | | Podmioty ważne (załącznik II) | Usługi pocztowe i kurierskie, Gospodarowanie odpadami, Produkcja i dystrybucja chemikaliów, Produkcja i dystrybucja żywności, Produkcja (wyroby medyczne, komputery/elektronika, maszyny, pojazdy silnikowe, pozostały sprzęt transportowy), Dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki internetowe, platformy sieci społecznościowych), Organizacje badawcze |

Progi wielkości

Domyślna zasada przewiduje, że podmioty w objętych sektorach muszą osiągać co najmniej próg średniego przedsiębiorstwa, aby być objęte zakresem:

  • Średnie przedsiębiorstwo: co najmniej 50 pracowników lub roczny obrót/suma bilansowa co najmniej 10 mln EUR
  • Duże przedsiębiorstwo: co najmniej 250 pracowników lub roczny obrót co najmniej 50 mln EUR albo suma bilansowa co najmniej 43 mln EUR

Podmioty poniżej progu średniego przedsiębiorstwa są zasadniczo poza zakresem, chyba że zostaną specjalnie wskazane przez państwa członkowskie jako krytyczne niezależnie od wielkości (art. 2 ust. 2) — na przykład jedyny dostawca usługi kluczowej w danym państwie członkowskim lub podmiot, którego zakłócenie działalności miałoby istotny wpływ na bezpieczeństwo publiczne.

Podmioty kluczowe są zazwyczaj dużymi przedsiębiorstwami w sektorach z załącznika I. Podmioty ważne to zazwyczaj średnie przedsiębiorstwa w którymkolwiek z załączników. Rozróżnienie to ma znaczenie dla intensywności nadzoru oraz maksymalnych wysokości kar.

Środki bezpieczeństwa z artykułu 21

Artykuł 21 stanowi operacyjne serce NIS2. Nakłada on na podmioty kluczowe i ważne obowiązek podejmowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla ich sieci i systemów informatycznych. Środki te muszą opierać się na podejściu uwzględniającym wszystkie zagrożenia i obejmować co najmniej dziesięć następujących obszarów:

| Obowiązek | Opis | |-----------|-------------| | 1. Polityki zarządzania ryzykiem | Pisemne polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informatycznych | | 2. Obsługa incydentów | Procedury wykrywania, klasyfikacji, reagowania i przywracania działania | | 3. Ciągłość działania | Plany zarządzania ciągłością działania obejmujące zarządzanie kopiami zapasowymi, odtwarzanie po awarii i zarządzanie kryzysowe | | 4. Bezpieczeństwo łańcucha dostaw | Bezpieczeństwo w relacjach zakupowych — ocena praktyk bezpieczeństwa dostawców oraz ich praktyk w zakresie ujawniania podatności | | 5. Bezpieczeństwo nabywania, rozwoju i utrzymania | Bezpieczeństwo w zakresie nabywania, rozwoju i utrzymania sieci oraz systemów informatycznych, w tym obsługa i ujawnianie podatności | | 6. Ujawnianie podatności | Polityki i procedury oceny skuteczności środków cyberbezpieczeństwa, w tym skoordynowane ujawnianie podatności | | 7. Cyberhigiena i szkolenia | Podstawowe praktyki cyberhigieny oraz szkolenia w zakresie cyberbezpieczeństwa dla personelu i kadry zarządzającej | | 8. Kryptografia i szyfrowanie | Polityki dotyczące stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania | | 9. Bezpieczeństwo zasobów ludzkich i kontrola dostępu | Zarządzanie aktywami, polityki bezpieczeństwa zasobów ludzkich oraz środki kontroli dostępu | | 10. Uwierzytelnianie wieloskładnikowe (MFA) | Stosowanie MFA lub rozwiązań uwierzytelniania ciągłego oraz, w stosownych przypadkach, zabezpieczonej łączności głosowej, wideo i tekstowej oraz zabezpieczonej łączności w sytuacjach nadzwyczajnych |

Środki muszą być proporcjonalne do ryzyka — duża infrastruktura rynku finansowego podlega innym obowiązkom niż średniej wielkości producent żywności, mimo że oba podmioty są objęte zakresem.

Podmioty muszą również zająć się bezpieczeństwem łańcuchów dostaw. Artykuł 21 ust. 3 wprost wymaga, aby podmioty uwzględniały podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk cyberbezpieczeństwa swoich dostawców.

Zgłaszanie incydentów (artykuł 23)

NIS2 wprowadza ustrukturyzowany, trzyetapowy obowiązek zgłaszania poważnych incydentów — incydentów, które mają lub mogą mieć istotny wpływ na świadczenie usług. Incydent jest poważny, jeżeli powoduje dotkliwe zakłócenie operacyjne, straty finansowe lub szkodę majątkową bądź niemajątkową dla innych podmiotów.

| Etap | Termin | Treść | |-------|----------|---------| | Wczesne ostrzeżenie | W ciągu 24 godzin od powzięcia wiadomości | Wskazanie, czy podejrzewa się, że incydent ma charakter złośliwy lub transgraniczny; krótka charakterystyka | | Zgłoszenie incydentu | W ciągu 72 godzin od powzięcia wiadomości | Zaktualizowana ocena incydentu, w tym wstępna powaga i wpływ; wskaźniki naruszenia integralności systemu, jeżeli są dostępne | | Sprawozdanie końcowe | W ciągu 1 miesiąca od zgłoszenia incydentu | Pełny opis, rodzaj zagrożenia lub przyczyna źródłowa, zastosowane i bieżące środki łagodzące, wpływ transgraniczny |

W przypadku incydentów wciąż trwających w momencie upływu miesiąca składa się zamiast tego sprawozdanie z postępu prac, a sprawozdanie końcowe należy złożyć w ciągu miesiąca od zakończenia obsługi incydentu.

Poważne incydenty należy zgłaszać krajowemu CSIRT (zespołowi reagowania na incydenty bezpieczeństwa komputerowego) oraz, w stosownych przypadkach, właściwemu organowi krajowemu. Podmioty mogą również bez zbędnej zwłoki powiadamiać dotkniętych odbiorców usług, jeżeli incydent prawdopodobnie ich dotknie.

Odpowiedzialność kadry zarządzającej (artykuł 20)

NIS2 wprowadza wymóg bezpośredniej odpowiedzialności na poziomie zarządczym. Artykuł 20 stanowi, że:

  • Organy zarządzające podmiotów kluczowych i ważnych muszą zatwierdzać środki zarządzania ryzykiem w cyberbezpieczeństwie podejmowane na podstawie artykułu 21
  • Organy zarządzające muszą nadzorować wdrażanie tych środków
  • Członkowie organów zarządzających mogą zostać pociągnięci do osobistej odpowiedzialności za naruszenia obowiązków wynikających z NIS2

Artykuł 20 ust. 4 idzie dalej: właściwe organy mogą tymczasowo zakazać osobie fizycznej pełniącej obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego wykonywania funkcji zarządczych, jeżeli dany podmiot wykazał powtarzające się naruszenia.

Stanowi to istotne odejście od typowego modelu regulacyjnego, w którym kary nakładane są na organizację. NIS2 tworzy indywidualną odpowiedzialność sięgającą najwyższej kadry kierowniczej i zarządu.

Praktyczną konsekwencją jest to, że cyberbezpieczeństwo nie jest już funkcją czysto techniczną — należy je traktować jako kwestię ładu korporacyjnego. Zarządy i zespoły zarządzające muszą dysponować wystarczającym zrozumieniem ryzyka cyberbezpieczeństwa, aby w sposób rzeczywisty zatwierdzać i nadzorować środki.

Nadzór i egzekwowanie

NIS2 rozróżnia reżimy nadzoru:

  • Podmioty kluczowe podlegają nadzorowi ex ante — proaktywnemu, ciągłemu nadzorowi obejmującemu kontrole na miejscu, nadzór zdalny, ukierunkowane audyty bezpieczeństwa oraz skanowanie bezpieczeństwa.
  • Podmioty ważne podlegają nadzorowi ex post — działaniom nadzorczym uruchamianym dowodami niezgodności, skargami lub incydentami.

Właściwe organy mogą wymagać od podmiotów dostarczenia informacji, wdrożenia środków bezpieczeństwa, powiadomienia dotkniętych odbiorców oraz wyznaczenia niezależnego audytora bezpieczeństwa.

Kary (artykuł 34)

NIS2 ustanawia minimalne maksymalne wysokości kar, które państwa członkowskie muszą wdrożyć. Podobnie jak w przypadku RODO, kary ustala się według wartości wyższej z dwóch — kwoty bezwzględnej lub odsetka rocznego światowego obrotu.

| Rodzaj podmiotu | Maksymalna kara | |-------------|-------------| | Podmioty kluczowe | 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu | | Podmioty ważne | 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu |

Państwa członkowskie mogą ustanowić wyższe maksima w krajowym ustawodawstwie wdrażającym. Kary nakładane są na poziomie krajowym przez właściwy organ nadzorczy.

Poza karami finansowymi właściwe organy mogą wydawać wiążące instrukcje, nakazy zapewnienia zgodności oraz tymczasowe zakazy świadczenia usług w przypadku powtarzających się lub poważnych naruszeń.

Powiązania z innymi regulacjami UE

NIS2 funkcjonuje obok, a nie zamiast innych unijnych instrumentów w zakresie cyberbezpieczeństwa i ochrony danych:

  • RODO — Naruszenie ochrony danych osobowych może jednocześnie uruchomić obowiązek zgłoszenia naruszenia na podstawie RODO (72 h, art. 33 RODO) oraz zgłoszenia incydentu na podstawie NIS2. Oba obowiązki zgłoszeniowe biegną równolegle.
  • DORA (akt w sprawie operacyjnej odporności cyfrowej, rozp. 2022/2554) — Ma zastosowanie do podmiotów finansowych (banków, ubezpieczycieli, firm inwestycyjnych, dostawców usług w zakresie kryptoaktywów, instytucji płatniczych). Tam, gdzie DORA ma zastosowanie, ma ona pierwszeństwo przed NIS2 w odniesieniu do tych podmiotów (lex specialis).
  • CRA (akt w sprawie cyberodporności) — Ma zastosowanie do producentów produktów z elementami cyfrowymi. Dotyczy bezpieczeństwa produktów, a nie bezpieczeństwa operacyjnego.
  • Regulacje sektorowe — Podmioty w sektorach opieki zdrowotnej, energetyki i transportu podlegają dodatkowym wymogom sektorowym, które nakładają się na NIS2.

Kroki wdrożeniowe dla MŚP i średnich firm

Dla organizacji nowo objętych zakresem NIS2 (z których wiele nie było objętych NIS1) wdrożenie obejmuje zazwyczaj trzy fazy:

Faza 1 — Określenie zakresu i ocena luk (miesiące 1–2)

Potwierdź, czy Twoja organizacja jest objęta zakresem: sprawdź sektor (załącznik I lub II) oraz próg wielkości. Ustal, który właściwy organ państwa członkowskiego sprawuje nad Tobą nadzór (zasadniczo państwo, w którym masz siedzibę, lub państwo, w którym świadczysz usługę). Zarejestruj się we właściwym organie, jeżeli jest to wymagane — kilka państw członkowskich wymaga samodzielnej rejestracji objętych podmiotów. Przeprowadź ocenę luk względem dziesięciu obowiązków z artykułu 21.

Faza 2 — Podstawowe zabezpieczenia (miesiące 3–6)

Wdróż lub sformalizuj środki o najwyższym priorytecie: procedury obsługi incydentów, plany ciągłości działania i odtwarzania po awarii, kontrolę dostępu i MFA, ocenę łańcucha dostaw, zarządzanie podatnościami oraz szkolenia personelu. Wszystko dokumentuj — nadzór NIS2 opiera się w dużej mierze na pisemnych dowodach.

Faza 3 — Ład korporacyjny i bieżące zapewnienie zgodności (od miesiąca 6.)

Zintegruj cyberbezpieczeństwo z ładem korporacyjnym zarządu i kadry zarządzającej. Ustanów procesy zatwierdzania i nadzoru przez kadrę zarządzającą (art. 20). Wdróż ciągłe monitorowanie w celu wykrywania incydentów. Testuj procedury ciągłości działania i reagowania na incydenty co najmniej raz w roku. Opracuj program oceny bezpieczeństwa łańcucha dostaw dla krytycznych dostawców.

Kluczowe pytania, które należy zadać dostawcom: Czy posiadają udokumentowany system zarządzania bezpieczeństwem informacji (ISO 27001 lub równoważny)? Jak obsługują ujawnianie podatności? Jakie mają wobec Ciebie obowiązki w zakresie zgłaszania incydentów? Jakie są ich możliwości w zakresie ciągłości działania?

Podsumowanie

NIS2 stanowi przełom w unijnej regulacji cyberbezpieczeństwa. Jest szersza w zakresie niż NIS1, bardziej szczegółowa w obowiązkach dotyczących bezpieczeństwa, szybsza w wymogach zgłaszania incydentów oraz bardziej bezpośrednia w przepisach dotyczących odpowiedzialności kadry zarządzającej. Dla organizacji nowo objętych zakresem praktyczny priorytet jest następujący: potwierdzić zakres, zarejestrować się tam, gdzie jest to wymagane, przeprowadzić ocenę luk względem artykułu 21 oraz zbudować infrastrukturę ładu korporacyjnego wymaganą przez artykuł 20. Przepisy o odpowiedzialności kadry zarządzającej oznaczają, że zgodność z wymogami cyberbezpieczeństwa nie jest już funkcją informatyczną, którą można delegować — wymaga ona aktywnego zaangażowania najwyższego kierownictwa.


Ostatnia aktualizacja: kwiecień 2026. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej.

Najczęściej zadawane pytania

Skąd mam wiedzieć, czy moja firma jest podmiotem kluczowym czy ważnym w rozumieniu NIS2?

Określenie zakresu na podstawie NIS2 zależy od dwóch czynników: czy Twój sektor figuruje w załączniku I (kluczowy) lub załączniku II (ważny) dyrektywy 2022/2555 oraz czy Twoja organizacja osiąga próg wielkości średniego przedsiębiorstwa, czyli co najmniej 50 pracowników lub co najmniej 10 milionów euro rocznego obrotu albo sumy bilansowej. Jeżeli działasz w objętym sektorze i osiągasz ten próg, jesteś objęty zakresem domyślnie — nie musisz czekać na powiadomienie rządowe. Podmioty kluczowe to zazwyczaj duże przedsiębiorstwa (co najmniej 250 pracowników lub obrót powyżej 50 mln EUR) w sektorach z załącznika I. Podmioty ważne to średnie lub duże przedsiębiorstwa w którymkolwiek z załączników. Artykuł 2 ust. 2 pozwala również państwom członkowskim wyznaczyć mniejsze podmioty jako objęte zakresem, jeżeli są one krytyczne dla bezpieczeństwa publicznego, porządku publicznego lub gospodarki, niezależnie od ich wielkości.

Czego NIS2 wymaga w zakresie zgłaszania incydentów?

Artykuł 23 NIS2 ustanawia trzyetapowy proces zgłaszania poważnych incydentów. W ciągu 24 godzin od powzięcia wiadomości o poważnym incydencie podmiot musi przekazać wczesne ostrzeżenie krajowemu CSIRT, wskazując, czy incydent wydaje się wynikiem działania złośliwego oraz czy prawdopodobnie będzie miał wpływ transgraniczny. W ciągu 72 godzin musi nastąpić pełniejsze zgłoszenie incydentu wraz ze wstępną oceną powagi oraz wskaźnikami naruszenia integralności systemu. Sprawozdanie końcowe opisujące przyczynę źródłową, zastosowane środki łagodzące oraz wszelkie skutki transgraniczne należy złożyć w ciągu miesiąca od zgłoszenia wstępnego. Incydent jest poważny, jeżeli powoduje dotkliwe zakłócenie operacyjne lub straty finansowe, albo jeżeli dotyka inne organizacje — wytyczne ENISA dotyczące klasyfikacji incydentów zawierają opracowane przykłady kalibrowania progów.

Jakie są kary za nieprzestrzeganie NIS2?

Artykuł 34 NIS2 ustanawia minimalne maksymalne kary, które państwa członkowskie muszą wprowadzić do prawa krajowego. Dla podmiotów kluczowych maksymalna kara wynosi 10 milionów euro lub 2% całkowitego rocznego światowego obrotu, w zależności od tego, która wartość jest wyższa. Dla podmiotów ważnych maksimum wynosi 7 milionów euro lub 1,4% światowego obrotu. Państwa członkowskie mogą ustanowić wyższe maksima. Poza karami właściwe organy mogą wydawać wiążące instrukcje, wymagać niezależnych audytów bezpieczeństwa oraz — w przypadku powtarzających się lub poważnych naruszeń — tymczasowo zakazać najwyższej kadrze kierowniczej wykonywania jej funkcji na podstawie artykułu 32. Przepisy o odpowiedzialności kadry zarządzającej zawarte w artykule 20 oznaczają, że za uporczywe uchybienia konsekwencje mogą ponieść poszczególni członkowie kierownictwa, a nie tylko organizacja.

Źródła

Key takeaways: Czym jest NIS2? Kompletny przewodnik dla firm

This article covers: Czym jest NIS2?, Do kogo ma zastosowanie NIS2?, Środki bezpieczeństwa z artykułu 21.

  • Czym jest NIS2?
  • Do kogo ma zastosowanie NIS2?
  • Środki bezpieczeństwa z artykułu 21
  • Zgłaszanie incydentów (artykuł 23)
  • Odpowiedzialność kadry zarządzającej (artykuł 20)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.