NIS2 w Polsce — kompletny przewodnik dla firm 2025/2026

1. Czym jest dyrektywa NIS2?

NIS2 (Network and Information Security Directive 2) to unijna dyrektywa 2022/2555, zastępująca poprzednią dyrektywę NIS z 2016 r. Weszła w życie 16 stycznia 2023 r. Państwa członkowskie UE miały termin do 17 października 2024 r. na przetransponowanie jej do prawa krajowego.

Dyrektywa znacząco rozszerza zakres podmiotowy (obejmuje od 2 do 10 razy więcej firm niż NIS1) i zaostrza wymagania w zakresie zarządzania ryzykiem cyberbezpieczeństwa, raportowania incydentów i bezpieczeństwa łańcucha dostaw.

Kluczowa różnica NIS1 vs NIS2

W NIS1 to państwa członkowskie decydowały, które firmy obejmują przepisami (identyfikacja operatorów usług kluczowych). W NIS2 zakres podmiotowy wynika wprost z sektorów i progów wielkości firmy określonych w dyrektywie — firmy muszą same zidentyfikować, czy podlegają przepisom.

Dwa rodzaje podmiotów

NIS2 rozróżnia dwie kategorie:

Podmioty kluczowe (essential entities) — sektory wysokiego ryzyka, surowsze nadzór i kary
Podmioty ważne (important entities) — sektory ważne, nadzór reaktywny (po incydencie)

2. Kto musi się dostosować? Sektory i progi

Dyrektywa obejmuje firmy działające w określonych sektorach, które przekraczają progi wielkości. Co do zasady: średnie i duże przedsiębiorstwa w sektorach krytycznych.

Progi wielkości przedsiębiorstwa

Średnie przedsiębiorstwo (minimum): ≥ 50 pracowników LUB ≥ 10 mln EUR przychodu rocznego.
Małe firmy (<50 pracowników, <10 mln EUR) co do zasady są wyłączone — z wyjątkiem dostawców DNS, sieci TLD, usług zaufania i niektórych infrastruktur krytycznych.

Podmioty kluczowe — Anneks I dyrektywy NIS2

Sektor	Przykłady podmiotów
Energia	Operatorzy sieci elektroenergetycznych, dostawcy gazu, ropy, ciepłownictwa, wodoru, stacje ładowania EV
Transport	Linie lotnicze, lotniska, przewoźnicy kolejowi, porty morskie i śródlądowe, operatorzy TEN-T, zarządy dróg
Bankowość i finanse	Instytucje kredytowe, rynki finansowe, infrastruktura rynków finansowych
Zdrowie	Szpitale, laboratoria diagnostyczne, producenci farmaceutyków, wyrobów medycznych
Woda pitna i ścieki	Wodociągi, oczyszczalnie ścieków dostarczające ≥50 tys. osób
Infrastruktura cyfrowa	IXP, DNS, TLD, dostawcy chmury, CDN, centra danych, sieci komunikacji elektronicznej
Zarządzanie ICT	Dostawcy usług zarządzanych (MSP), dostawcy usług bezpieczeństwa (MSSP)
Administracja publiczna	Organy administracji centralnej i regionalnej
Przestrzeń kosmiczna	Operatorzy naziemni infrastruktury kosmicznej

Podmioty ważne — Anneks II dyrektywy NIS2

Sektor	Przykłady
Usługi pocztowe i kurierskie	Poczta Polska, DHL, DPD, InPost
Gospodarka odpadami	Firmy odbierające, przetwarzające i unieszkodliwiające odpady
Chemikalia	Producenci i dystrybutorzy substancji chemicznych
Żywność	Producenci i dystrybutorzy żywności (duże firmy)
Produkcja	Producenci: urządzeń medycznych, wyrobów elektronicznych, pojazdów silnikowych, maszyn
Dostawcy cyfrowi	Marketplace internetowe, wyszukiwarki, platformy społecznościowe
Badania naukowe	Instytucje badawcze (w zależności od implementacji krajowej)

Jak sprawdzić czy moja firma podlega NIS2?

Skorzystaj z bezpłatnego narzędzia do autoidentyfikacji: nis2.saaslab.pl. Odpowiedz na kilka pytań o sektor i wielkość firmy — narzędzie wskazuje, czy jesteś podmiotem kluczowym, ważnym lub poza zakresem.

3. Jakie obowiązki nakłada NIS2?

Art. 21 dyrektywy NIS2 określa 10 grup środków technicznych i organizacyjnych, które muszą wdrożyć objęte podmioty. Nie jest to opcja — to wymóg prawny.

Polityka bezpieczeństwa systemów informatycznych Udokumentowana polityka bezpieczeństwa informacji obejmująca ocenę ryzyka i cele bezpieczeństwa
Obsługa incydentów Procedury wykrywania, klasyfikacji, reagowania i raportowania incydentów bezpieczeństwa
Ciągłość działania (BCP/DR) Plany ciągłości działania, zarządzanie kopiami zapasowymi, plany przywracania po awarii
Bezpieczeństwo łańcucha dostaw Ocena ryzyka dostawców i podwykonawców, wymagania bezpieczeństwa w umowach
Bezpieczeństwo sieci i systemów Segmentacja sieci, zarządzanie podatnościami, kontrola dostępu, szyfrowanie
Ocena skuteczności środków bezpieczeństwa Audyty, testy penetracyjne, przeglądy polityk — regularne weryfikacje
Higiena cyberbezpieczeństwa i szkolenia Polityki podstawowej higieny (aktualizacje, hasła, MFA), szkolenia pracowników
Kryptografia i szyfrowanie Polityki stosowania kryptografii i szyfrowania danych
Bezpieczeństwo zasobów ludzkich i kontrola dostępu Zasada minimalnych uprawnień, zarządzanie tożsamością, kontrola dostępu uprzywilejowanego
Uwierzytelnianie wieloskładnikowe (MFA) MFA lub rozwiązania ciągłego uwierzytelniania dla wszystkich systemów krytycznych

Odpowiedzialność kierownictwa

NIS2 wprowadza osobistą odpowiedzialność członków zarządu za nadzór nad wdrożeniem środków bezpieczeństwa. Kierownictwo musi przejść szkolenia z cyberbezpieczeństwa i aktywnie uczestniczyć w zatwierdzaniu polityk. Organy zarządcze mogą ponosić odpowiedzialność osobistą (zakaz pełnienia funkcji) w przypadku naruszenia.

4. Raportowanie incydentów — terminy i procedura

Jednym z najbardziej wymagających elementów NIS2 jest obowiązkowe raportowanie incydentów bezpieczeństwa do właściwego CSIRT. Termin jest bardzo krótki.

Etap	Termin	Zawartość raportu
Wczesne ostrzeżenie	24 godziny od wykrycia	Podstawowe info: wystąpił incydent, podejrzenie ataku, wstępna ocena
Zgłoszenie incydentu	72 godziny od wykrycia	Szczegółowa ocena: skala, skutki, wskaźniki kompromitacji (IoC), podjęte działania
Raport pośredni	Na żądanie CSIRT	Aktualizacja statusu obsługi incydentu
Raport końcowy	1 miesiąc od zgłoszenia	Szczegółowy opis, przyczyna źródłowa, środki zaradcze, wyciągnięte wnioski

Uwaga — co to jest "znaczący incydent"?

Incydent jest znaczący (i wymaga raportowania), jeśli: (a) spowodował lub może spowodować poważne zakłócenia świadczonych usług LUB (b) dotknął innych podmiotów, powodując znaczące straty finansowe lub materialne. Próg jest niski — wiele incydentów ransomware, DDoS czy wycieki danych go przekraczają.

Do kogo raportować w Polsce?

W Polsce właściwymi CSIRTami są:

CSIRT NASK — dla podmiotów prywatnych spoza sektora rządowego i wojskowego (operuje jako CERT Polska)
CSIRT GOV — dla administracji rządowej i infrastruktury krytycznej
CSIRT MON — dla podmiotów sektora obronności

5. Kary i sankcje

NIS2 harmonizuje minimalny poziom kar administracyjnych — są one znacznie wyższe niż w NIS1 i porównywalne z sankcjami RODO.

Kategoria	Maksymalna kara pieniężna
Podmioty kluczowe	10 000 000 EUR lub 2% całkowitego rocznego obrotu — wyższa z kwot
Podmioty ważne	7 000 000 EUR lub 1,4% całkowitego rocznego obrotu — wyższa z kwot

Oprócz kar pieniężnych, organy nadzorcze mogą zastosować:

Nakazanie wstrzymania działalności lub czasowe zawieszenie certyfikatów/zezwoleń
Publiczne ujawnienie naruszenia (naming and shaming)
Zakaz pełnienia funkcji kierowniczych przez konkretne osoby
Nakaz przeprowadzenia audytu bezpieczeństwa na koszt firmy

Odpowiedzialność osobista zarządu

W przypadku podmiotów kluczowych, jeśli firma regularnie i poważnie narusza NIS2, organ nadzorczy może wydać tymczasowy zakaz sprawowania funkcji kierowniczych przez osoby odpowiedzialne (art. 32 ust. 7 NIS2). To precedens w prawie cybernetycznym UE.

6. NIS2 a KSC — polska implementacja

Polska implementuje dyrektywę NIS2 poprzez nowelizację Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC). Ustawa nowelizacyjna przeszła przez Sejm i Senat — jej przepisy wchodzą w życie stopniowo.

Kluczowe polskie terminy i organy

Organ nadzorczy: właściwy organ sektorowy (np. UKE dla telekomunikacji, KNF dla finansów, URE dla energetyki, Prezes UODO dla danych). Dla firm nieprzypisanych do sektora regulowanego — Minister Cyfryzacji.
CSIRT NASK: zgłoszenia incydentów od podmiotów prywatnych przez system incydent.cert.pl
Rejestr podmiotów: firmy objęte KSC/NIS2 muszą dokonać wpisu do rejestru prowadzonego przez właściwy organ sektorowy lub Ministra Cyfryzacji

Co zmienia nowelizacja KSC względem NIS1?

Rozszerzenie zakresu na nowe sektory (żywność, gospodarka odpadami, poczta, produkcja)
Progi wielkości zamiast indywidualnej identyfikacji przez organ
Obowiązkowe szkolenia kierownictwa z cyberbezpieczeństwa
Wymogi bezpieczeństwa łańcucha dostaw (supply chain security)
Krótsze terminy raportowania incydentów (24h/72h)
Znacznie wyższe kary finansowe

Samoidentyfikacja jest obowiązkiem

Firmy nie czekają na decyzję organu — muszą samodzielnie ocenić, czy podlegają przepisom KSC/NIS2, i dokonać rejestracji. Niewiedzą o obowiązku nie jest okolicznością zwalniającą z odpowiedzialności.

7. Harmonogram wdrożenia

Data	Wydarzenie
16.01.2023	Wejście w życie dyrektywy NIS2 (2022/2555) w UE
17.10.2024	Termin transpozycji NIS2 do prawa krajowego przez państwa UE (Polska z opóźnieniem)
2025	Uchwalenie i wejście w życie nowelizacji KSC (polska implementacja)
3.10.2026	TERMIN SAMOIDENTYFIKACJI I REJESTRACJI — podmioty objęte KSC/NIS2 muszą wpisać się do wykazu prowadzonego przez właściwy organ lub Ministra Cyfryzacji
2025–2026	Wdrożenie środków technicznych i organizacyjnych, szkolenia kierownictwa, audyt dostawców
od IV kwartału 2026	Aktywny nadzór organów sektorowych; możliwość nakładania kar administracyjnych

Czas na wdrożenie się kurczy

Firmy, które nie rozpoczęły wdrożenia NIS2/KSC, ryzykują nałożeniem kar już w 2026 r. Wdrożenie środków technicznych i organizacyjnych, przeszkolenie kierownictwa, audyt dostawców i dokumentacja polityk bezpieczeństwa wymagają minimum 3–6 miesięcy dla przeciętnej organizacji.

8. Jak zacząć — 10 kroków do zgodności z NIS2

Pilny termin

3 października 2026 — termin samoidentyfikacji i rejestracji w wykazie KSC. Firmy, które nie złożą wniosku rejestracyjnego do tego dnia, narażają się na kary administracyjne. Proces rejestracji i wcześniejsze kroki zajmują minimum 3–4 miesiące — zacznij już teraz.

Samoidentyfikacja — czy podlegasz NIS2/KSC?

Sprawdź sektor i wielkość firmy (≥50 pracowników lub ≥10 mln EUR przychodu w sektorze objętym). Skorzystaj z narzędzia do autoidentyfikacji — nis2.saaslab.pl przeprowadzi Cię przez pytania w 10 minut i wskaże kategorię (kluczowy / ważny / poza zakresem).

Rejestracja w wykazie KSC — termin: 3.10.2026

Złóż wniosek rejestracyjny do właściwego organu sektorowego (UKE, KNF, URE, UODO lub Minister Cyfryzacji). Brak rejestracji = naruszenie, niezależnie od stanu wdrożenia środków technicznych.

Inwentaryzacja aktywów ICT

Sporządź kompletny rejestr systemów informatycznych, sieci, oprogramowania i danych. Bez aktualnej inwentaryzacji nie możesz ani poprawnie ocenić ryzyka, ani określić zakresu incydentu przy raportowaniu.

Ocena ryzyka

Zinwentaryzuj zagrożenia dla każdego aktywu (podatności, prawdopodobieństwo, potencjalny wpływ). Udokumentuj wyniki w rejestrze ryzyk — to fundament polityki bezpieczeństwa wymaganej przez art. 21 NIS2.

Polityka bezpieczeństwa informacji (ISMS)

Opracuj i zatwierdź przez zarząd politykę bezpieczeństwa informacji. Powinna obejmować: cele, zakres, role i odpowiedzialności, podejście do ryzyka, cykl przeglądów. Brak zatwierdzonej polityki = brak podstawy całego systemu.

Wdrożenie środków technicznych

Na podstawie oceny ryzyka: MFA dla wszystkich systemów krytycznych, segmentacja sieci, zarządzanie podatnościami (patch management), szyfrowanie danych, kopie zapasowe (3-2-1) i testowany plan DRP. Udokumentuj każdy wdrożony środek.

Ocena bezpieczeństwa łańcucha dostaw

Zidentyfikuj kluczowych dostawców ICT i usług. Oceń ich poziom bezpieczeństwa (kwestionariusz, certyfikaty). Wprowadź wymogi bezpieczeństwa do umów: SLA dla incydentów, prawo do audytu, obowiązek powiadamiania o incydentach u dostawcy.

Szkolenia kierownictwa i pracowników

NIS2 wymaga, aby zarząd przeszedł szkolenia z cyberbezpieczeństwa i aktywnie zatwierdzał polityki. Prowadź rejestr szkoleń z datami i uczestnikami — to dowód dla organu nadzorczego. Pracownicy: podstawowa higiena cybernetyczna raz w roku.

Procedura obsługi i raportowania incydentów

Zbuduj i przetestuj procedurę przed pierwszym incydentem. Kluczowe: kto decyduje o klasyfikacji incydentu, kto wysyła raport do CSIRT NASK (incydent.cert.pl), gdzie zbierasz dowody. 24h na wczesne ostrzeżenie to za mało na improwizację.

Audyt, testy i ciągłe doskonalenie

NIS2 to nie projekt jednorazowy. Regularnie testuj skuteczność środków (testy penetracyjne, ćwiczenia incident response), przeprowadzaj wewnętrzne audyty i aktualizuj ocenę ryzyka. Dokumentuj cykl przeglądów — to dowód aktywnego zarządzania bezpieczeństwem.

Dobre wieści dla małych firm

Jeśli Twoja firma ma mniej niż 50 pracowników i poniżej 10 mln EUR przychodu — co do zasady jesteś poza zakresem NIS2. Wyjątkiem są: dostawcy DNS, rejestry nazw TLD, dostawcy usług zaufania, operatorzy infrastruktury krytycznej (niezależnie od rozmiaru).

Sprawdź status NIS2 swojej firmy — bezpłatnie

Narzędzie do autoidentyfikacji NIS2 przejdzie Cię przez kluczowe pytania i wskaże: czy podlegasz przepisom, jaka jest Twoja kategoria i co powinieneś zrobić dalej.

Sprawdź NIS2 teraz — za darmo →

Bez rejestracji karty płatniczej. Dostęp podstawowy bezpłatny.