NIS2: Nowa era cyberbezpieczeństwa w Unii Europejskiej

26 lipca 2024 | Aktualności, The Right Focus, Wiedza

NIS2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, to odpowiedź na coraz poważniejsze zagrożenia cyfrowe. Wzmacnia ochronę kluczowych sektorów gospodarki przed cyberprzestępczością, obejmując wszystkie państwa członkowskie.

Najważniejsze zmiany obejmują:

Rozszerzenie zakresu podmiotów objętych dyrektywą
Określenie minimalnych wymagań dotyczących zabezpieczeń
Zaostrzenie wymogów oraz sankcji związanych z incydentami
Nałożenie obowiązków dotyczących bezpieczeństwa łańcucha dostaw

Państwa członkowskie muszą dostosować krajowe przepisy do NIS2 do 17 października 2024 roku. Przepisy wejdą w życie dzień później, 18 października. Ministerstwo Cyfryzacji planuje przyjęcie stosownej ustawy w trzecim kwartale 2024 roku.

Jak przygotować się na obowiązki wynikające z NIS2

NIS2 niesie ze sobą szereg obowiązków dotyczących zapewnienia cyberbezpieczeństwa, zarządzania ryzykiem i zgłaszania incydentów.

W pierwszej kolejności należy jednak, we własnym zakresie, przeprowadzić ocenę, czy w oparciu o wskazane kryteria dany podmiot podlega obowiązkom wynikającym z NIS2.

Przepisy NIS2 obejmą średnie lub duże przedsiębiorstwa (zatrudniające co najmniej 50 pracowników i których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro) zaliczające się do:

Sektorów kluczowych: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczna
Sektorów ważnych: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i wytwarzanie oraz dystrybucja chemikaliów, produkcja i przetwarzanie oraz dystrybucja żywności, produkcja, dostawcy usług cyfrowych, badania naukowe

Dodatkowo regulacje NIS2 mogą objąć małe przedsiębiorstwa i mikroprzedsiębiorstwa, jeżeli pełnią one kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.

NIS2 obowiązki, procedury i standardy

W przypadku spełnienia powyższych kryteriów konieczne będzie spełnienie określonych wymagań. Zarządzania ryzykiem: Podmioty muszą wdrażać odpowiednie środki techniczne i organizacyjne, aby chronić swoje sieci i systemy przed cyberzagrożeniami

Zgłaszania incydentów: Istnieje obowiązek szybkiego raportowania poważnych incydentów do właściwych organów oraz informowania klientów o potencjalnych zagrożeniach
Analizy zagrożeń: Regularne oceny ryzyka są konieczne, aby identyfikować i reagować na nowe zagrożenia
Współpracy z organami: Podmioty muszą aktywnie uczestniczyć w wymianie informacji o zagrożeniach
Szkoleń: Pracownicy i kadra zarządzająca powinni regularnie uczestniczyć w szkoleniach zwiększających świadomość w zakresie cyberbezpieczeństwa

Co istotne, NIS2 przewiduje również obowiązki po stronie Zarządu. Organy zarządzające podmiotów kluczowych i ważnych powinny bowiem zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie oraz nadzorować ich stosowanie.

Ich członkowie zostaną natomiast objęci obowiązkiem odbywania regularnych szkoleń w celu zdobycia wiedzy i umiejętności pozwalających im rozpoznawać ryzyko, oceniać praktyki zarządzania cyberzagrożeniami oraz ich wpływu na świadczone usługi. Będą także musieli oferować podobne szkolenia swoim pracownikom.

Uprawnienia organów nadzoru i sankcje

NIS2 przyznaje szereg uprawnień organom nadzoru w celu kontrolowania i egzekwowania nowych regulacji.

To m.in. audyty, obowiązek udzielenia niezbędnych informacji, zalecenie lub nakazanie zapewnienia zgodności z treścią dyrektywy, zaniechania określonego działania czy wydanie nakazu wprowadzenia zaleceń z przeprowadzonego audytu. W przypadku podmiotów kluczowych, gdy ww. środki będą nieskuteczne – tymczasowe zawieszenie certyfikacji, zezwolenia na usługi lub działalność oraz nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w danym podmiocie.

Zaostrzeniu ulegną również kary finansowe za brak realizacji nałożonych obowiązków.

W przypadku podmiotów kluczowych, do 10 mln EUR lub 2 proc. łącznego rocznego obrotu
W przypadku podmiotów ważnych do 7 mln EUR lub 1,4 proc. łącznego rocznego obrotu

Dyrektywa NIS2 istotnie zmienia podejście do cyberbezpieczeństwa w Unii Europejskiej.

Można zaryzykować stwierdzenie, że znacząco zmieni poziom świadomości w tym kontekście w wielu sektorach. Dla części podmiotów przebrnięcie przez jej wymagania może okazać się nie lada wyzwaniem. Dlatego już dzisiaj zapraszamy do kontaktu – chętnie pomożemy przejść ten proces.

Masz pytania? Skontaktuj się z nami

Maciej Kuranc

Mikołaj Kuterek

Najnowsza Wiedza

Przegląd sektora bankowego | Banking dziś i jutro | Kwiecień 2026

Sądowy nokaut dla kredytobiorców. „Sytuacja jest wyjątkowo zero-jedynkowa”

Bankowość 2026 – technologia, regulacje i nowy krajobraz rynku

2026 przyniesie sektorowi bankowemu najbardziej dynamiczną transformację od dekady. Trendy zidentyfikowane w raporcie Accenture Top Banking Trends FY26 wskazują, że sektor wchodzi w fazę, w której technologia i regulacje stworzą nierozerwalny duet napędzający wszystkie kierunki zmian. Ale to właśnie regulacje wyznaczają granice, tempo i sposób implementacji nowych rozwiązań. Sprawdzamy, na co jeszcze zwracają uwagę eksperci.

Pułapka pierwszego roku – rozliczenie poziomu selektywnego zbierania w systemie kaucyjnym za 2025 r.

System kaucyjny zaczął funkcjonować 1 października 2025 r. Część przedsiębiorców przystąpiła do niego od razu, a część zdecydowała się na dołączenie później. Na pierwszy rzut oka może to wydawać się jedynie kwestią organizacyjną. W praktyce jednak moment przystąpienia do systemu może mieć istotny wpływ na wynik rozliczenia poziomu selektywnego zbierania za 2025 r.

Nowy Krajowy System Cyberbezpieczeństwa

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) to jedna z najważniejszych reform regulacyjnych ostatnich lat. Jej głównym celem jest dostosowanie polskiego prawa do dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555, znanej jako NIS2, która znacząco podnosi wymogi w zakresie bezpieczeństwa cyfrowego w całej Unii. Polska ustawa została gruntownie przebudowana, obejmując więcej organizacji (szacunki mówią o blisko 40 000 podmiotach), wprowadzając bardziej wymagające obowiązki, ustawową, osobistą odpowiedzialność zarządu i jeszcze bardziej rygorystyczne zasady wymierzania kar pieniężnych. W przypadku najpoważniejszych naruszeń może to być nawet do 100 mln złotych.

„Made in Europe” przestaje być hasłem. Staje się prawem

Do niedawna „Made in Europe” było wyłącznie etykietą. Owszem, użyteczną marketingowo, ale pozbawioną twardej, normatywnej treści. Wkrótce może się to zmienić. 4 marca Komisja Europejska opublikowała bowiem projekt rozporządzenia Industrial Accelerator Act, który zakłada, że od 2027 r. unijne pochodzenie komponentów stanie się warunkiem uczestnictwa w aukcjach OZE, dostępu do finansowania publicznego i kwalifikacji w zamówieniach. Hasło „kupuj bardziej europejskie” może stać się konkretnym instrumentem wspierającym lokalną produkcję oraz kontrolę zagranicznych inwestycji.

Nieoczywiste przypadki przejścia zakładu pracy na nowego pracodawcę

Przejście całości lub części zakładu pracy stanowi szczególną instytucję prawa pracy, związaną ze zmianami właścicielskimi. W uproszczeniu polega ono na automatycznym (tj. następującym bez konieczności podejmowania jakichkolwiek dodatkowych działań stron ani też uzyskiwania ich zgody) przejściu ogółu praw i obowiązków pracodawcy z jednego podmiotu na inny. Poprzedza to jednak wypełnienie całego szeregu obowiązków informacyjno-konsultacyjnych, które ciążą na obu pracodawcach, zarówno tym nowym, jak i dotychczasowym. Sprawdzamy, jak powinien wyglądać cały proces.

Nowe prawo ustąpienia ze spółki – projekt nowelizacji Kodeksu Spółek Handlowych

Komisja Kodyfikacyjna Prawa Cywilnego przyjęła i opublikowała projekt nowelizacji Kodeksu spółek handlowych. Wśród proponowanych zmian znalazły się nowe mechanizmy wzmacniające ochronę wspólników oraz akcjonariuszy spółek kapitałowych, którzy będą mieli możliwość żądania wyjścia ze spółki.

Jak zabezpieczyć się przed ryzykiem podatkowym w systemie kaucyjnym

System kaucyjny funkcjonuje od października 2025 r. i od początku budził istotne wątpliwości podatkowe. Choć przepisy weszły w życie, w praktyce długo nie było jasne, jak je stosować – część regulacji wymagała doprecyzowania, niektórych rozwiązań brakowało, a opublikowane objaśnienia nie obejmowały wszystkich kluczowych zagadnień. W efekcie to rynek w dużej mierze zaczął wypracowywać własne standardy działania.

Przegląd sektora bankowego | Banking dziś i jutro | Marzec 2026

12 lutego 2026 r. Trybunał Sprawiedliwości UE wydał wyrok w sprawie dotyczącej stosowania wskaźnika WIBOR w umowach kredytowych. Sędziowie TSUE potwierdzili, że sądy w sprawach konsumenckich nie mogą badać prawidłowości wyznaczania WIBOR-u. Banki prawidłowo informowały klientów o wskaźniku referencyjnym – zgodnie z prawem krajowym i unijnym.

Powraca temat reformy Państwowej Inspekcji Pracy

Do Sejmu wpłynął nowy projekt ustawy przewidujący zmiany w funkcjonowaniu Państwowej Inspekcji Pracy. Podczas pierwszego czytania – 25 lutego, projekt nie został odrzucony, wobec czego został skierowany do dalszych prac w Komisji Polityki Społecznej i Rodziny. Pomimo dotychczasowych obaw i kontrowersji zgłaszanych m.in. przez przedsiębiorców, ustawodawca niezmiennie dąży do gruntownej modernizacji modelu zatrudnienia w Polsce, co oznacza zwiększenie nadzoru nad rynkiem pracy oraz ograniczenia nadużywania umów cywilnoprawnych. Sprawdzamy, jakie propozycje znalazły się w nowym projekcie i podpowiadamy, co to oznacza dla przedsiębiorców.