12.06.2026

Aleksandra Kozina

Dyrektywa NIS2 już obowiązuje – czy Twoja organizacja jest na to gotowa?

NIS2

SIDAS Compliance

Czym jest dyrektywa NIS2 i kogo dotyczy?

 

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) to nowe, znacznie bardziej rygorystyczne ramy cyberbezpieczeństwa dla całej Unii Europejskiej. Zastąpiła pierwszą dyrektywę NIS z 2016 roku i radykalnie rozszerzyła krąg podmiotów objętych obowiązkami. Co więcej, w Polsce dyrektywa NIS2 implementowana jest przez znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa (KSC) – termin transpozycji upłynął 17 października 2024 roku.

 

W Polsce NIS2 wdrażana jest zatem przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Nowe przepisy weszły w życie 3 kwietnia 2026 roku.

 

Dyrektywa dzieli podmioty na dwie grupy:

  • podmioty kluczowe – energetyka, transport, banki, szpitale, wodociągi, administracja publiczna, infrastruktura cyfrowa. Podlegają stałemu nadzorowi – organ kontrolny może wkroczyć w każdej chwili. Audyt zgodności wymagany co 3 lata.
  • podmioty ważne – m.in. gospodarka odpadami, produkcja żywności, usługi pocztowe, dostawcy usług cyfrowych. Kontrolowane głównie po incydencie.

 

Co do zasady NIS2 obejmuje średnie i duże przedsiębiorstwa (powyżej 50 pracowników lub powyżej 10 mln euro obrotu), jednak istnieje wiele wyjątków. Co więcej, niektóre podmioty są objęte regulacją niezależnie od wielkości – na przykład dostawcy publicznych usług łączności elektronicznej czy rejestratorzy domen.

 

Czy Twój Urząd lub Firma są na to gotowe?

 

Dla wielu samorządów to pierwsze tak poważne wymagania z zakresu cyberbezpieczeństwa wynikające wprost
z prawa unijnego. Wcześniej JST funkcjonowały głównie w reżimie KRI i RODO – dlatego NIS2 znacząco podnosi poprzeczkę.

Objęte są m.in.:

  • urzędy gmin i miast (w zależności od wielkości)
  • przedsiębiorstwa wodociągowo-kanalizacyjne – co istotne uczestnicy projektów Cyberbezpieczny Samorząd i Cyberbezpieczne Wodociągi są tutaj w szczególnie dobrej pozycji, ponieważ wiele wymagań już realizują w ramach właśnie tych programów
  • szpitale i inne podmioty lecznicze.

 

Co konkretnie musisz wdrożyć?

NIS2 nie wymaga zaczynania od zera. Jeśli masz już wdrożone procedury Krajowych Ram Interoperacyjności (KRI) czy RODO – masz solidną podstawę. Mimo to dyrektywa NIS2 wymaga uformalizowania i rozszerzenia tych działań. Warto bowiem wiedzieć, że NIS2 nie tworzy zupełnie nowych obowiązków – a jedynie podnosi poprzeczkę i wprowadza realne sankcje.

 

1. System zarządzania bezpieczeństwem informacji (SZBI)
Udokumentowany, wdrożony i regularnie aktualizowany.

2. Analiza ryzyka
Nie wystarczy intuicja – musi zatem być metodyka, udokumentowane wyniki i plan działania proporcjonalny do skali zagrożeń.

3. Zarządzanie incydentami
Terminy są sztywne:

  • pierwsze ostrzeżenie do CSIRT: 24 godziny
  • pełna notyfikacja: 72 godziny
  • raport końcowy: 30 dni

4. Ciągłość działania
Plany BCP i DRP, kopie zapasowe, scenariusze kryzysowe – w tym atak ransomware.

5. Bezpieczeństwo dostawców IT
Najczęściej najsłabsze ogniwo. Dlatego NIS2 wymaga weryfikacji firm, którym powierzasz swoje systemy.

6. Szkolenia kierownictwa
Nowość w NIS2 – bowiem obowiązek szkoleń dotyczy wprost kadry zarządzającej, nie tylko pracowników IT.

7. Uwierzytelnianie wieloskładnikowe (MFA). Obowiązkowe dla systemów krytycznych.

8. Regularne audyty
Podmioty kluczowe natomiast muszą przeprowadzać audyt zgodności co 3 lata.

 

Jakie są sankcje za nieprzestrzeganie dyrektywy NIS2?

 

Sankcje są poważne i dotyczą nie tylko budżetu organizacji:

  • podmioty kluczowe – do 10 mln euro lub 2% rocznego obrotu;
  • podmioty ważne – do 7 mln euro lub 1,4% rocznego obrotu

 

Co ważne – NIS2 wprowadza osobistą odpowiedzialność kierownictwa. Członkowie zarządu lub organu wykonawczego mogą zostać czasowo odsunięci od pełnienia funkcji. To przepis, który w rezultacie zmienia sposób myślenia
o cyberbezpieczeństwie na poziomie decyzyjnym.

 

Jak SIDAS Compliance pomaga spełnić wymagania dyrektywy NIS2?

 

SIDAS Compliance to system stworzony z myślą o jednostkach samorządu terytorialnego, wodociągach i innych podmiotach objętych dyrektywą NIS2. Dzięki temu wspiera organizacje w:

  • przeprowadzeniu i dokumentowaniu analizy ryzyka;
  • centralizacji całej dokumentacji compliance;
  • zarządzaniu incydentami i zgłoszeniami do CSIRT;
  • monitorowaniu stanu zgodności na bieżąco;
  • przygotowaniu do audytów i kontroli;
  • spełnieniu wymagań projektów Cyberbezpieczny Samorząd i Cyberbezpieczne Wodociągi.

 

 

Masz pytania dotyczące NIS2 w swoim urzędzie lub firmie? Skontaktuj się z nami
– nasi eksperci chętnie pomogą.