NIS2 · DYREKTYWA (UE) 2022/2555

Dyrektywa NIS2 — wdrożenie, zakres i obowiązki

NIS2 to unijna dyrektywa o cyberbezpieczeństwie, która rozszerza obowiązki na podmioty kluczowe i ważne w 18 sektorach. W Polsce wdrażana jest poprzez ustawę o krajowym systemie cyberbezpieczeństwa. Wyjaśniamy, kto podlega NIS2, jakie są obowiązki i kary oraz jak krok po kroku przygotować się do zgodności.

Umów demo NIS2Bezpłatny test NIS2

Dyrektywa (UE) 2022/2555 — termin transpozycji: 17 października 2024 r.

Podstawy

Czym jest dyrektywa NIS2?

NIS2 (dyrektywa (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa) to akt prawny Unii Europejskiej, który zastępuje pierwszą dyrektywę NIS z 2016 r. Jej celem jest podniesienie i ujednolicenie poziomu cyberbezpieczeństwa w całej UE poprzez znaczne rozszerzenie zakresu podmiotów objętych obowiązkami oraz zaostrzenie wymagań w zakresie zarządzania ryzykiem i zgłaszania incydentów.

W odróżnieniu od rozporządzenia, dyrektywa wymaga wdrożenia do prawa krajowego. W Polsce następuje to poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Termin transpozycji NIS2 upłynął 17 października 2024 r., a nadzór sprawują wyznaczone organy właściwe oraz zespoły CSIRT poziomu krajowego (CSIRT NASK, CSIRT GOV, CSIRT MON).

Dla wielu firm NIS2 oznacza po raz pierwszy formalne, audytowalne obowiązki w zakresie cyberbezpieczeństwa — od analizy ryzyka i środków technicznych, przez zgłaszanie incydentów, po odpowiedzialność kierownictwa. Poniżej omawiamy zakres podmiotowy, kluczowe obowiązki oraz praktyczne kroki wdrożenia.

Zakres

Kto podlega dyrektywie NIS2?

NIS2 obejmuje podmioty kluczowe i ważne w 18 sektorach. W Polsce dotyczy to przede wszystkim:

Energetyka (elektroenergetyka, ropa, gaz, ciepło, wodór)
Transport (lotniczy, kolejowy, wodny, drogowy)
Bankowość i infrastruktura rynków finansowych
Ochrona zdrowia i przemysł farmaceutyczny
Woda pitna oraz ścieki
Infrastruktura cyfrowa (DNS, IXP, chmura, data center)
Administracja publiczna
Produkcja, żywność, chemikalia, gospodarka odpadami

Co do zasady obowiązki dotyczą podmiotów średnich i dużych — zatrudniających co najmniej 50 osób lub o rocznym obrocie przekraczającym 10 mln EUR — choć dla części sektorów próg wielkości nie obowiązuje. Nie masz pewności, czy podlegasz NIS2?

Sprawdź to w bezpłatnym teście NIS2 →

Obowiązki

Kluczowe obowiązki wynikające z NIS2.

Art. 21

Środki zarządzania ryzykiem

Analiza ryzyka, bezpieczeństwo systemów, obsługa incydentów, ciągłość działania i kopie zapasowe, bezpieczeństwo łańcucha dostaw, kontrola dostępu, szyfrowanie i MFA.

Art. 23

Zgłaszanie incydentów

Wczesne ostrzeżenie w 24 godziny, zgłoszenie incydentu w 72 godziny i raport końcowy w ciągu miesiąca do właściwego CSIRT (NASK / GOV / MON).

Art. 20

Odpowiedzialność kierownictwa

Organy zarządzające zatwierdzają i nadzorują środki zarządzania ryzykiem oraz odbywają obowiązkowe szkolenia z cyberbezpieczeństwa.

Art. 21 ust. 2

Bezpieczeństwo łańcucha dostaw

Ocena ryzyka dostawców i usługodawców ICT oraz uwzględnienie luk w łańcuchu dostaw w środkach zarządzania ryzykiem.

Rejestr

Rejestracja podmiotu

Obowiązek rejestracji w krajowym systemie i przekazania danych kontaktowych właściwemu organowi w wyznaczonym terminie.

Nadzór

Kontrole i audyty

Podmioty kluczowe podlegają proaktywnym kontrolom; podmioty ważne — nadzorowi reaktywnemu po incydencie lub sygnale o naruszeniu.

Wdrożenie

Jak wdrożyć NIS2 — krok po kroku.

1

Ustal, czy podlegasz NIS2

Sprawdź sektor (jeden z 18) oraz wielkość podmiotu (≥ 50 osób lub > 10 mln EUR obrotu) i określ, czy jesteś podmiotem kluczowym, czy ważnym.

2

Zarejestruj podmiot

Dokonaj rejestracji w krajowym systemie cyberbezpieczeństwa i przekaż dane kontaktowe właściwemu organowi w wymaganym terminie.

3

Przeprowadź analizę ryzyka

Zidentyfikuj aktywa, zagrożenia i podatności oraz oceń ryzyko zgodnie z art. 21. Udokumentuj metodykę i wyniki.

4

Wdróż środki zarządzania ryzykiem

Wprowadź wymagane środki techniczne i organizacyjne: kontrolę dostępu, MFA, szyfrowanie, kopie zapasowe, bezpieczeństwo łańcucha dostaw i ciągłość działania.

5

Ustaw procesy zgłaszania incydentów

Przygotuj procedury i szablony umożliwiające dotrzymanie terminów 24 h / 72 h / 1 miesiąc wobec właściwego CSIRT.

6

Zaangażuj kierownictwo

Zapewnij zatwierdzenie i nadzór środków przez organ zarządzający oraz obowiązkowe szkolenia dla kadry kierowniczej.

7

Weryfikuj i dokumentuj zgodność

Testuj zabezpieczenia (m.in. testy penetracyjne), prowadź audytowalny rejestr dowodów i monitoruj zgodność w sposób ciągły.

Terminy i kary

Terminy i sankcje za naruszenie NIS2.

Najważniejsze daty: dyrektywa weszła w życie 16 stycznia 2023 r., a termin jej transpozycji upłynął 17 października 2024 r. Obowiązki dotyczące zgłaszania incydentów mają napięte ramy czasowe — wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy w ciągu miesiąca.

Kary za naruszenie są dotkliwe i zróżnicowane według kategorii podmiotu. Dla podmiotów kluczowych mogą sięgać 10 mln EUR lub 2% rocznego światowego obrotu (wyższa z kwot), a dla podmiotów ważnych 7 mln EUR lub 1,4% obrotu. NIS2 wprowadza też osobistą odpowiedzialność kierownictwa za nadzór nad środkami zarządzania ryzykiem cybernetycznym.

Poza sankcjami finansowymi istotnym ryzykiem jest możliwość zawieszenia certyfikatów lub czasowego zakazu pełnienia funkcji kierowniczych w przypadku poważnych, powtarzających się naruszeń przez podmioty kluczowe.

Jak pomaga Matproof

Zgodność z NIS2, wbudowana w platformę.

Gotowy katalog środków zarządzania ryzykiem zmapowany na art. 21
Workflow zgłaszania incydentów z terminami 24 h / 72 h / 1 miesiąc
Rejestr aktywów i dostawców ICT z oceną ryzyka łańcucha dostaw
Śledzenie luk, zadań i dowodów zgodności — gotowe do kontroli
Mapowanie międzyramowe: NIS2, DORA, ISO 27001 i RODO równolegle
Raporty dla zarządu wspierające odpowiedzialność kierownictwa

Testy penetracyjne wspierające zgodność z NIS2 →

FAQ

Najczęstsze pytania o NIS2

Czym jest dyrektywa NIS2?+

NIS2 (dyrektywa (UE) 2022/2555) to unijna dyrektywa o cyberbezpieczeństwie, która zastępuje pierwszą dyrektywę NIS z 2016 r. Znacząco rozszerza zakres podmiotów objętych obowiązkami w zakresie zarządzania ryzykiem cybernetycznym oraz zgłaszania incydentów. Jako dyrektywa wymaga wdrożenia do prawa krajowego — w Polsce poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

Kto podlega dyrektywie NIS2?+

NIS2 obejmuje podmioty kluczowe i ważne w 18 sektorach (m.in. energetyka, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna i ściekowa, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna, usługi pocztowe, gospodarka odpadami, produkcja, żywność, chemikalia i badania). Co do zasady dotyczy podmiotów średnich i dużych — zatrudniających co najmniej 50 osób lub o rocznym obrocie powyżej 10 mln EUR — choć dla niektórych sektorów próg ten nie obowiązuje.

Jaka jest różnica między podmiotem kluczowym a ważnym?+

Podmioty kluczowe (essential) podlegają surowszemu, proaktywnemu nadzorowi (m.in. regularne kontrole), natomiast podmioty ważne (important) nadzorowi reaktywnemu — po wystąpieniu incydentu lub sygnału o naruszeniu. Przynależność do danej kategorii zależy od sektora oraz wielkości podmiotu. Obie kategorie mają jednak takie same obowiązki w zakresie środków zarządzania ryzykiem i zgłaszania incydentów.

W jakim czasie trzeba zgłosić incydent zgodnie z NIS2?+

NIS2 przewiduje wieloetapowe zgłaszanie poważnych incydentów do CSIRT lub właściwego organu: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy w ciągu jednego miesiąca. W Polsce zgłoszenia trafiają do właściwego CSIRT poziomu krajowego (CSIRT NASK, CSIRT GOV lub CSIRT MON).

Jakie kary grożą za naruszenie NIS2?+

Dla podmiotów kluczowych kary mogą sięgać 10 mln EUR lub 2% rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa), a dla podmiotów ważnych 7 mln EUR lub 1,4% obrotu. NIS2 wprowadza również odpowiedzialność kierownictwa za nadzór nad środkami zarządzania ryzykiem cybernetycznym.

Czym NIS2 różni się od DORA?+

NIS2 jest dyrektywą o szerokim zakresie sektorowym, wdrażaną ustawą krajową, podczas gdy DORA jest rozporządzeniem obowiązującym bezpośrednio wyłącznie sektor finansowy. Dla podmiotów finansowych DORA stanowi lex specialis — w zakresie ryzyka ICT pierwszeństwo mają bardziej szczegółowe wymogi DORA.

Od kiedy obowiązuje NIS2 w Polsce?+

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r., a termin jej transpozycji upłynął 17 października 2024 r. W Polsce wdrożenie następuje poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Niezależnie od stanu prac legislacyjnych podmioty objęte zakresem powinny już dziś budować zgodność, ponieważ obowiązki wynikają wprost z dyrektywy.

Zacznij

Gotowy, by wdrożyć NIS2?

Zacznij od bezpłatnego testu NIS2, by sprawdzić, czy podlegasz dyrektywie i jaki masz poziom gotowości, a potem zobacz na 30-minutowym demo, jak Matproof automatyzuje środki zarządzania ryzykiem i zgłaszanie incydentów.

Bezpłatny test NIS2Umów demo →