EuroComply
Sign up
Back to blog
NIS2 7 min read

Dyrektywa NIS2: Podstawowe Wymagania dla Operatorów

What you need to know: Dyrektywa NIS2: Podstawowe Wymagania dla Operatorów

Dyrektywa NIS2 znacznie rozszerzyła unijne obowiązki w zakresie cyberbezpieczeństwa w 2024 r. Niniejszy przewodnik omawia 10 minimalnych środków bezpieczeństwa, terminy zgłaszania incydentów oraz zasady odpowiedzialności organów zarządzających.

Source: EuroComply Editorial (2025-01-20)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Dyrektywa NIS2 (dyrektywa 2022/2555) zastąpiła pierwotną dyrektywę NIS w październiku 2024 r., znacząco rozszerzając zarówno zakres unijnych obowiązków w dziedzinie cyberbezpieczeństwa, jak i konsekwencje ich nieprzestrzegania. Podczas gdy pierwotna dyrektywa NIS obejmowała ograniczoną grupę operatorów usług kluczowych, NIS2 dotyczy znacznie szerszego spektrum sektorów, wprowadza bezpośrednią odpowiedzialność organów zarządzających i harmonizuje wymogi dotyczące zgłaszania incydentów w całej UE.

Jeśli Państwa organizacja działa w jednym z 18 objętych sektorów, niniejszy przewodnik wyjaśnia, co są Państwo zobowiązani wdrożyć, w jakich terminach należy zgłaszać incydenty oraz co odpowiedzialność organów zarządzających oznacza w praktyce.

Zakres: Podmioty kluczowe i ważne

Dyrektywa NIS2 tworzy dwa poziomy regulowanych podmiotów z odmiennymi reżimami nadzoru:

Podmioty kluczowe podlegają nadzorowi ex ante (proaktywnemu). Krajowe organy właściwe mogą przeprowadzać inspekcje i audyty bez konieczności oczekiwania na incydent. Kary dla podmiotów kluczowych mogą sięgać 10 milionów euro lub 2% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.

Podmioty ważne podlegają nadzorowi ex post — organy mogą wszcząć postępowanie po uzyskaniu dowodów na niezgodność lub w następstwie incydentu. Kary są niższe: do 7 milionów euro lub 1,4% globalnego rocznego obrotu.

18 objętych sektorów obejmuje: energetykę, transport, bankowość, infrastrukturę rynku finansowego, ochronę zdrowia, zaopatrzenie w wodę pitną, ścieki, infrastrukturę cyfrową (w tym dostawców DNS, rejestry TLD, centra danych, dostawców usług w chmurze, operatorów CDN), zarządzanie usługami ICT (dostawcy usług zarządzanych B2B), administrację publiczną, przestrzeń kosmiczną, usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję chemiczną, sektor spożywczy, produkcję (wyroby medyczne, komputery, maszyny, pojazdy), dostawców usług cyfrowych (internetowe platformy handlowe, wyszukiwarki, sieci społecznościowe) oraz organizacje badawcze.

Klasyfikacja jako podmiot kluczowy lub ważny zależy od sektora i wielkości organizacji. Większość średnich i dużych podmiotów w wymienionych sektorach automatycznie wchodzi w zakres dyrektywy. Organy właściwe mogą również wyznaczać mniejsze podmioty jako kluczowe lub ważne, jeśli mają one krytyczne znaczenie dla swojego sektora.

10 Minimalnych środków bezpieczeństwa (Artykuł 21)

Artykuł 21 dyrektywy NIS2 zobowiązuje wszystkie objęte podmioty do wdrożenia „odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych" obejmujących co najmniej te 10 obszarów:

  1. Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych — udokumentowane polityki obejmujące analizę ryzyka i bezpieczeństwo systemów informatycznych, ze zdefiniowanymi rolami i obowiązkami.

  2. Obsługa incydentów — ustalone procesy i procedury wykrywania incydentów bezpieczeństwa, reagowania na nie i usuwania ich skutków, w tym jasne role, plany komunikacji i zabezpieczanie dowodów.

  3. Ciągłość działania — zarządzanie kopiami zapasowymi, odtwarzanie po awarii oraz procedury zarządzania kryzysowego zapewniające możliwość wznowienia działalności po poważnym zakłóceniu.

  4. Bezpieczeństwo łańcucha dostaw — ocena praktyk bezpieczeństwa bezpośrednich dostawców i usługodawców oraz wymogi bezpieczeństwa wynikające z umów obowiązujące w całym łańcuchu dostaw.

  5. Bezpieczeństwo w procesie nabywania, rozwijania i utrzymania sieci i systemów informatycznych — w tym polityki postępowania z podatnościami i ich ujawniania dotyczące obsługiwanych systemów.

  6. Polityki i procedury oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie — regularne testowanie, audytowanie i przegląd zabezpieczeń.

  7. Podstawowe praktyki higieny cyberbezpieczeństwa oraz szkolenia w zakresie cyberbezpieczeństwa — regularne szkolenia dla wszystkich pracowników oraz udokumentowane polityki dotyczące podstawowych zasad higieny: harmonogramy aktualizacji, zarządzanie dostępem, uwierzytelnianie wieloskładnikowe, bezpieczna konfiguracja.

  8. Polityki i procedury stosowania kryptografii — a tam, gdzie to właściwe, szyfrowania, w tym zarządzania kluczami.

  9. Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami — procedury bezpieczeństwa personalnego, zarządzanie uprawnieniami oraz prowadzony na bieżąco inwentarz aktywów.

  10. Stosowanie uwierzytelniania wieloskładnikowego, rozwiązań ciągłego uwierzytelniania, zabezpieczonych systemów komunikacji głosowej, wideo i tekstowej oraz zabezpieczonych systemów komunikacji awaryjnej — w stosownych przypadkach w ramach organizacji.

Środki muszą być proporcjonalne do ryzyka, wielkości podmiotu oraz potencjalnych skutków społecznych i ekonomicznych incydentu. Nie oznacza to, że małe organizacje mogą ignorować wymogi — oznacza to, że są one stosowane proporcjonalnie do krajobrazu zagrożeń.

Zgłaszanie incydentów: Trzyetapowy harmonogram

Artykuł 23 dyrektywy NIS2 wprowadza zharmonizowany trzyetapowy proces zgłaszania poważnych incydentów. Poważny incydent to taki, który spowodował lub może spowodować poważne zakłócenia operacyjne lub straty finansowe albo który dotknął lub może dotknąć inne osoby fizyczne lub prawne.

Etap 1 — Wczesne ostrzeżenie (w ciągu 24 godzin): Powiadom krajowy CSIRT lub właściwy organ nadzorczy, że poważny incydent wystąpił lub jest podejrzewany. Na tym etapie nie jest wymagana pełna ocena — celem jest jak najwcześniejsze poinformowanie organów.

Etap 2 — Zgłoszenie incydentu (w ciągu 72 godzin): Przekaż zgłoszenie incydentu zawierające wstępną ocenę jego dotkliwości i skutków, wszelkie wskaźniki naruszenia bezpieczeństwa oraz informację, czy incydent jest podejrzewany o charakter przestępczy lub złośliwy.

Etap 3 — Sprawozdanie końcowe (w ciągu jednego miesiąca): Złóż szczegółowe sprawozdanie końcowe obejmujące opis incydentu wraz z jego dotkliwością i skutkami, rodzaj zagrożenia lub pierwotną przyczynę, zastosowane i trwające środki łagodzące oraz — jeśli incydent ma skutki transgraniczne — informacje wymagane przez inne dotknięte nim państwa członkowskie.

Niedotrzymanie tych terminów — w szczególności okien 24-godzinnego i 72-godzinnego — stanowi bezpośrednie naruszenie wymogów zgodności i podstawę do podjęcia działań nadzorczych.

Odpowiedzialność organów zarządzających (Artykuł 20)

Jedną z najistotniejszych zmian wprowadzonych przez NIS2 jest bezpośrednia osobista odpowiedzialność organów zarządzających. Artykuł 20 zobowiązuje państwa członkowskie do zapewnienia, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem w cyberbezpieczeństwie i sprawowały nad nimi nadzór, a członkowie organów zarządzających mogli ponosić osobistą odpowiedzialność za naruszenia.

W praktyce oznacza to: zarządy i wyższe kierownictwo muszą przejść szkolenie w zakresie podstaw cyberbezpieczeństwa, formalnie zatwierdzić polityki bezpieczeństwa i procedury reagowania na incydenty obowiązujące w organizacji oraz regularnie otrzymywać raporty na temat stanu bezpieczeństwa organizacji. Odpowiedzialność organów zarządzających nie podlega delegowaniu — wyznaczenie CISO nie zwalnia zarządu z odpowiedzialności.

Przejście z NIS1

Jeśli Państwa organizacja podlegała pierwotnej dyrektywie NIS, nie zaczynają Państwo od zera — jednak znaczne luki są prawdopodobne. NIS2 wprowadza surowsze wymogi dotyczące bezpieczeństwa łańcucha dostaw, formalny obowiązek zatwierdzenia przez organy zarządzające, który nie istniał w NIS1, bardziej szczegółowe obowiązki szkoleniowe oraz bardziej precyzyjne ramy 10 środków. Termin transpozycji z października 2024 r. minął, a krajowe organy właściwe aktywnie nadzorują przestrzeganie przepisów.

Organizacje dopiero wdrażające NIS2 powinny zacząć od analizy luk w odniesieniu do 10 środków z artykułu 21, zmapować swoje możliwości wykrywania i zgłaszania incydentów w odniesieniu do trzyetapowego harmonogramu, a także upewnić się, że kierownictwo formalnie zatwierdziło polityki bezpieczeństwa i odbyło odpowiednie szkolenie.


Ostatnia aktualizacja: maj 2026.

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Często zadawane pytania

Jak ustalić, czy nasza organizacja jest podmiotem kluczowym czy ważnym w rozumieniu dyrektywy NIS2?

Klasyfikacja zależy od sektora i progów wielkości określonych w krajowym ustawodawstwie wdrażającym. Sama dyrektywa NIS2 stosuje unijną definicję średnich i dużych przedsiębiorstw (50 lub więcej pracowników lub roczny obrót przekraczający 10 milionów euro). Organizacje w wymienionych sektorach spełniające te progi powinny założyć, że wchodzą w zakres dyrektywy, i ocenić, czy są kluczowe czy ważne w oparciu o swoją konkretną kategorię sektorową. Właściwe organy w każdym państwie członkowskim — w Polsce jest to przede wszystkim UODO w zakresie ochrony danych oraz organy sektorowe — publikują wytyczne branżowe i mogą bezpośrednio informować organizacje o ich klasyfikacji. W razie wątpliwości najbezpieczniejszym podejściem jest traktowanie organizacji jako podmiotu ważnego i wdrożenie środków z artykułu 21 w oczekiwaniu na formalną klasyfikację.

Czy NIS2 ma zastosowanie do spółek zależnych firm spoza UE działających w UE?

Tak. Terytorialny zakres dyrektywy NIS2 obejmuje podmioty świadczące usługi lub prowadzące działalność na terenie UE, niezależnie od siedziby spółki matki. Spółka zależna lub oddział działające w państwie członkowskim UE i spełniające progi sektorowe i wielkościowe podlegają NIS2 w tym państwie członkowskim. Jeśli podmiot działa w kilku państwach członkowskich, jest zazwyczaj nadzorowany przez państwo członkowskie, w którym ma swoją główną siedzibę, przy koordynacji między krajowymi organami właściwymi w przypadku incydentów transgranicznych.

Jaki jest związek między NIS2 a RODO w zakresie zgłaszania incydentów?

NIS2 i RODO nakładają obowiązki zgłaszania incydentów, jednak opierają się na odmiennych warunkach wyzwalających i harmonogramach. Artykuł 33 RODO wymaga zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin od powzięcia informacji — standard ten dotyczy naruszeń obejmujących dane osobowe. Artykuł 23 NIS2 wymaga zgłaszania poważnych incydentów dotyczących sieci i systemów informatycznych, niezależnie od tego, czy obejmują one dane osobowe. Jeden incydent może jednocześnie uruchomić oba obowiązki. W takim przypadku zgłoszenia należy kierować zarówno do CSIRT lub organu właściwego ds. NIS2, jak i do organu nadzorczego ds. ochrony danych (UODO), przy czym odpowiednie terminy biegną równolegle.

Źródła

  • EUR-Lex, Dyrektywa (UE) 2022/2555 (dyrektywa NIS2): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555
  • Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), wytyczne dotyczące wdrożenia NIS2: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
  • Komisja Europejska, transpozycja NIS2 i krajowe organy właściwe: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
  • ENISA, Dobre praktyki w zakresie bezpieczeństwa IoT i powiązanych technologii: https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot

Key takeaways: Dyrektywa NIS2: Podstawowe Wymagania dla Operatorów

This article covers: Zakres: Podmioty kluczowe i ważne, 10 Minimalnych środków bezpieczeństwa (Artykuł 21), Zgłaszanie incydentów: Trzyetapowy harmonogram.

  • Zakres: Podmioty kluczowe i ważne
  • 10 Minimalnych środków bezpieczeństwa (Artykuł 21)
  • Zgłaszanie incydentów: Trzyetapowy harmonogram
  • Odpowiedzialność organów zarządzających (Artykuł 20)
  • Przejście z NIS1
Source: EuroComply Editorial (2025-01-20)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Dyrektywa NIS2: Podstawowe Wymagania dla Operatorów