Czym jest NIS2? Wszystko, co musisz wiedzieć o unijnej dyrektywie w sprawie cyberbezpieczeństwa

NIS2 (Dyrektywa 2022/2555) to zaktualizowana dyrektywa Unii Europejskiej dotycząca cyberbezpieczeństwa. Zastępuje pierwotną Dyrektywę NIS z 2016 roku i dotyczy organizacji w 18 krytycznych sektorach w każdym państwie członkowskim UE.

W tym artykule wyjaśniamy, czym jest NIS2, kogo dotyczy, co musisz zrobić i jakie są konsekwencje nieprzestrzegania przepisów.

Dlaczego powstała NIS2?

Cyberataki na szpitale, dostawców energii i systemy rządowe pokazały, że zagrożenia cyfrowe mogą sparaliżować całe społeczeństwa. Jeden atak ransomware na dostawcę może wywołać reakcję łańcuchową przekraczającą granice państw i przerwać usługi, od których zależą miliony ludzi.

UE uznała, że cyberbezpieczeństwo nie może być dłużej pozostawione poszczególnym organizacjom lub państwom członkowskim. NIS2 ustanawia minimalny poziom cyberbezpieczeństwa, który wszystkie państwa członkowskie muszą egzekwować — eliminując słabe ogniwa, aby podatność w jednym kraju nie zagrażała całej Unii.

Co się zmieniło w porównaniu z pierwotną Dyrektywą NIS?

Szerszy zakres — z kilku sektorów do 18
Bardziej szczegółowe wymagania — 10 konkretnych kategorii środków zamiast ogólnych wytycznych
Silniejsze egzekwowanie — kary do 10 milionów euro i osobista odpowiedzialność członków zarządu
Surowsze zgłaszanie incydentów — obowiązkowe zgłoszenie w ciągu 24 godzin

Kogo dotyczy NIS2?

NIS2 stosuje próg wielkości jako główne kryterium. Dyrektywa dotyczy Twojej organizacji, jeśli spełniasz oba warunki:

50 lub więcej pracowników, lub roczny obrót / suma bilansowa przekraczająca 10 milionów euro
Działasz w jednym z 18 wyznaczonych sektorów

Sektory o wysokiej krytyczności (Załącznik I)

Energia (elektryczność, ropa, gaz, wodór, ciepłownictwo)
Transport (lotniczy, kolejowy, wodny, drogowy)
Bankowość i infrastruktura rynków finansowych
Ochrona zdrowia
Woda pitna i ścieki
Infrastruktura cyfrowa (DNS, rejestry TLD, chmura, centra danych, CDN)
Zarządzanie usługami ICT (B2B — usługi zarządzane, zarządzane bezpieczeństwo)
Administracja publiczna
Przestrzeń kosmiczna

Inne sektory krytyczne (Załącznik II)

Usługi pocztowe i kurierskie
Gospodarowanie odpadami
Przemysł chemiczny
Produkcja i dystrybucja żywności
Przemysł wytwórczy (wyroby medyczne, elektronika, maszyny, pojazdy silnikowe)
Dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki, sieci społecznościowe)
Instytucje badawcze

Uwaga: Niektóre organizacje podlegają NIS2 niezależnie od wielkości — w tym kwalifikowani dostawcy usług zaufania, rejestry domen najwyższego poziomu oraz dostawcy usług DNS.

Podmioty kluczowe vs. ważne

NIS2 rozróżnia dwie kategorie:

Podmioty kluczowe — większe organizacje w sektorach o wysokiej krytyczności. Podlegają nadzorowi proaktywnemu: organy mogą przeprowadzać audyty i kontrole w dowolnym momencie.
Podmioty ważne — podlegają nadzorowi reaktywnemu: organy działają dopiero po incydencie lub sygnale o niezgodności.

Obie kategorie muszą wdrożyć te same środki bezpieczeństwa. Różnica polega na modelu nadzoru i maksymalnych karach.

Czego wymaga NIS2? 3 podstawowe obowiązki

1. Obowiązek należytej staranności — 10 środków z artykułu 21

Organizacje muszą podejmować odpowiednie środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem cyberbezpieczeństwa. Artykuł 21 wymienia dziesięć konkretnych kategorii środków, które musisz wdrożyć jako minimum.

Oto wizualny przegląd organizacji 10 środków:

Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
🛡️
Artykuł 21
10 Środków Cyberbezpieczeństwa
📊Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji
6Ocena skuteczności środków bezpieczeństwa
🚨Incydenty & Ciągłość
2Obsługa incydentów & zgłaszanie
3Ciągłość działania & odtwarzanie po awarii
🔗Łańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw
5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznych
🔐Kontrole Techniczne
8Kryptografia & szyfrowanie
10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacja
👥Ludzie & Zasoby
7Cyberhigiena & szkolenia
9Bezpieczeństwo HR & kontrola dostępu

Każdy środek szczegółowo:

Analiza ryzyka i polityki bezpieczeństwa informacji — udokumentowane oceny ryzyka i polityki bezpieczeństwa dla systemów informatycznych
Obsługa incydentów — procesy wykrywania, reagowania i przywracania po incydentach bezpieczeństwa
Ciągłość działania i zarządzanie kryzysowe — strategie tworzenia kopii zapasowych, odzyskiwania po awarii i procedury zarządzania kryzysowego
Bezpieczeństwo łańcucha dostaw — wymagania bezpieczeństwa wobec dostawców i usługodawców, w tym ustalenia umowne
Bezpieczne pozyskiwanie, rozwój i utrzymanie — bezpieczeństwo w cyklu życia sieci i systemów informatycznych, w tym zarządzanie podatnościami
Ocena skuteczności — polityki i procedury oceny, czy środki cyberbezpieczeństwa rzeczywiście działają
Higiena cybernetyczna i szkolenia — podstawowe praktyki cyberbezpieczeństwa dla wszystkich pracowników oraz ukierunkowane programy szkoleniowe
Kryptografia i szyfrowanie — polityki dotyczące stosowania kontroli kryptograficznych i szyfrowania
Bezpieczeństwo zasobów ludzkich, kontrola dostępu i zarządzanie aktywami — weryfikacja personelu, kontrola dostępu oparta na rolach i aktualny rejestr aktywów
Uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja — MFA dla systemów krytycznych, szyfrowana komunikacja wewnętrzna i zabezpieczone kanały komunikacji awaryjnej

2. Obowiązek zgłaszania (Artykuł 23)

W przypadku znaczącego incydentu musisz go zgłosić w trzech etapach:

Termin	Co musisz złożyć
W ciągu 24 godzin	Wstępne powiadomienie organu nadzoru i krajowego CSIRT — czy był złośliwy? Czy możliwy jest wpływ transgraniczny?
W ciągu 72 godzin	Raport uzupełniający z wstępną oceną powagi, skutków i wskaźników kompromitacji
W ciągu 1 miesiąca	Raport końcowy ze szczegółowym opisem, analizą przyczyn i zastosowanymi środkami zaradczymi

3. Obowiązek rejestracji

Organizacje objęte NIS2 muszą zarejestrować się w swoim krajowym organie nadzoru. Terminy i portale rejestracyjne różnią się w zależności od kraju.

Co się stanie, jeśli nie będziesz przestrzegać przepisów?

Konsekwencje są znaczące — zarówno dla organizacji, jak i dla poszczególnych członków zarządu.

Kary finansowe

Podmioty kluczowe: kary do 10 milionów euro lub 2% światowego rocznego obrotu (wyższa z kwot)
Podmioty ważne: kary do 7 milionów euro lub 1,4% światowego rocznego obrotu

Osobista odpowiedzialność zarządu

To właśnie tutaj NIS2 wykracza poza większość regulacji. Artykuł 20 jednoznacznie nakłada odpowiedzialność za cyberbezpieczeństwo na organ zarządzający:

Członkowie zarządu muszą zatwierdzać środki zarządzania ryzykiem
Członkowie zarządu muszą nadzorować ich wdrażanie
Członkowie zarządu mogą zostać pociągnięci do osobistej odpowiedzialności w przypadku niepowodzenia
Członkowie zarządu są zobowiązani do odbycia szkolenia z cyberbezpieczeństwa

Nie chodzi tylko o podpisanie dokumentu polityki. NIS2 oczekuje, że zarząd będzie aktywnie rozumiał krajobraz ryzyka organizacji i podejmował świadome decyzje.

Harmonogram wdrażania NIS2 w UE

NIS2 weszła w życie na poziomie UE w styczniu 2023 roku. Państwa członkowskie miały czas do 17 października 2024 roku na transpozycję do prawa krajowego. Jednakże harmonogramy znacząco się różnią:

Kraj	Status
Belgia	W pełni obowiązuje od października 2024 — jeden z pierwszych
Niemcy	NIS2UmsuCG uchwalona w listopadzie 2025; rejestracja w BSI wymagana do kwietnia 2026
Holandia	Cyberbeveiligingswet złożona w parlamencie w czerwcu 2025; przewidywana na II kwartał 2026
Francja	Transpozycja w toku; ustawa krajowa oczekiwana w 2026
Włochy	Dekret legislacyjny przyjęty; wdrażanie w toku
Hiszpania	Transpozycja w toku
Polska	Projekt ustawy w trakcie prac parlamentarnych

Wniosek: Niezależnie od harmonogramu w Twoim kraju, kierunek jest jasny. Organizacje, które zaczną się przygotowywać teraz, będą miały znaczną przewagę.

Jak zacząć ze zgodnością z NIS2?

Przygotowanie do NIS2 nie musi być przytłaczające. Postępuj według tych pięciu kroków:

Ustal, czy NIS2 Cię dotyczy — sprawdź próg wielkości (50+ pracowników lub €10M+ obrotu) i potwierdź swój sektor
Oceń swoją obecną sytuację — zmapuj istniejące środki w odniesieniu do 10 kategorii artykułu 21 i zidentyfikuj luki
Ustal priorytety i wdrażaj — zajmij się najpierw lukami o najwyższym ryzyku; nie próbuj robić wszystkiego naraz
Dokumentuj wszystko — NIS2 wymaga wykazanej zgodności. Czego nie możesz udowodnić, nie liczy się
Zaangażuj swój zarząd — upewnij się, że kierownictwo rozumie swoją osobistą odpowiedzialność i zatwierdza podejście do zarządzania ryzykiem

Zacznij od bezpłatnego quickscanu NIS2

Nie wiesz, na jakim etapie jest Twoja organizacja? Nasz bezpłatny quickscan NIS2 daje Ci wstępną ocenę gotowości w zaledwie kilka minut.

Scan obejmuje wszystkie 10 kategorii środków z artykułu 21 i pokazuje dokładnie, gdzie musisz podjąć działania — bez zobowiązań.

Czytaj też

Zrób bezpłatny quickscan →