I. Czym jest NIS 2 oraz ustawa nowelizująca KSC?
Dyrektywa NIS 2
NIS 2 (Network and Information Security 2) to akt prawny Unii Europejskiej, który zastępuje dotychczasową, mniej restrykcyjną dyrektywę NIS. Jest to kompleksowa regulacja, mająca na celu podniesienie ogólnego poziomu cyberbezpieczeństwa we wszystkich państwach UE.
Ustawa nowelizująca KSC
Dyrektywa NIS 2 dla pełnej skuteczności w polskim porządku prawnym wymaga wdrożenia w ustawie. To właśnie tam znajdą się konkretne obowiązki, które polscy przedsiębiorcy będą musieli spełnić. Stanowi ona prawną podstawę do kontroli, audytów i nakładania kar. Nowe obowiązki będą wynikały ze znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), której najnowszy projekt omawiamy poniżej.
II. Kogo dotyczą zmiany? Rozszerzenie zakresu
NIS 2 zakłada znaczne rozszerzenie zakresu podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa. Przede wszystkim zmieniono sposób klasyfikacji, czy podmiot podlega pod regulację.
Dotychczasowy system opierał się na przeprowadzonym postępowaniu administracyjnym w wyniku którego określano, czy podmiot będzie włączony do Krajowego Systemu Cyberbezpieczeństwa.
Projekt nowelizacji odchodzi od tej metody na rzecz samoidentyfikacji. Oznacza to, że firma sama musi sprawdzić, czy jej działalność jest objęta nowymi obowiązkami i samodzielnie zarejestrować się w systemie.
Nowe sektory objęte Krajowym Systemem Cyberbezpieczeństwa
Nowelizacja KSC obejmie szereg sektorów, które dotychczas nie były objęte ustawowymi wymogami cyberbezpieczeństwa. Szczególnie istotne przy samoidentyfikacji jest rozróżnienie na podmioty kluczowe i ważne.
| Kategoria | Charakterystyka i przykłady nowych sektorów |
| Podmioty Kluczowe | Co do zasady większe firmy (przekraczające progi zatrudnienia i obrotu) oraz podmioty działające w strategicznych branżach np. energetyka, transport, bankowość, zarządzanie usługami ICT. |
| Wszystkie podmioty (niezależnie od wielkości) świadczące usługi określone w ustawie, np. dostawcy DNS, dostawcy TLD oraz podmioty świadczące usługi rejestracji nazw domen. | |
| Podmioty Ważne | Zasadniczo średnie firmy w działające w sektorach uznanych za ważne dla bezpieczeństwa, takie jak: przetwórstwo żywności, gospodarowanie odpadami, usługi pocztowe. |
Szczególną uwagę powinny zwrócić podmioty dotychczas nie objęte KSC:
- Branża Spożywcza: podmioty prowadzące jakąkolwiek działalność związaną z jakimkolwiek etapem produkcji, przetwarzania lub dystrybucji żywności
- Gospodarka Wodna i Odpadowa: podmioty prowadzące działalność w zakresie gospodarowania i transportu odpadów a także zarządzania systemami kanalizacyjnymi i oczyszczalniami.
- Producenci urządzeń elektrycznych, komputerów, wyrobów elektronicznych i optycznych: podmioty prowadzące działalność w obszarach związanych z produkcją sprzętu elektrycznego, elektronicznego i komputerowego np. generatory i silniki elektryczne, komputery i ich podzespoły.
III. Nowe Obowiązki: Co Należy Wprowadzić?
Podmioty objęte nowelizacją KSC będą musiały wdrożyć szereg rygorystycznych środków zarządzania ryzykiem cybernetycznym.
| Obowiązki | Podmioty Kluczowe | Podmioty Ważne | Podstawa prawna |
| Wprowadzenie środków zarządzania ryzykiem | Obowiązek wdrożenia adekwatnych i proporcjonalnych środków technicznych i organizacyjnych m. in. wdrożenie polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, zapewnienie ciągłości działania oraz zapewnienie bezpieczeństwa zasobów ludzkich. | Art. 21 NIS 2 Art. 10 projektu nowelizacji KSC | |
| Zgłaszanie poważnych incydentów | Wczesne ostrzeżenie: 24 godziny od momentu wykrycia incydentu poważnego.Zgłoszenie incydentu poważnego: Maksymalnie 72 godziny od wykrycia.Przesłanie sprawozdania końcowego z obsługi incydentu poważnego, nie później niż w ciągu miesiąca od dnia zgłoszenia. | Art. 11 ust. 1 pkt 4, pkt 4a oraz pkt 4c projektu nowelizacji KSC | |
| Współpraca z organami nadzoru | Uprzedni i następczy Organy mogą kontrolować podmiot rutynowo, nawet jeśli nie doszło do incydentu. | Następczy Interwencja organu następuje dopiero, gdy pojawią się dowody na nieprzestrzeganie przepisów lub dojdzie do incydentu. | Art. 32 ust. 2 pkt a) oraz b) NIS 2Art. 33 NIS 2Art. 53 projektu nowelizacji KSC |
| Przeprowadzanie audytów bezpieczeństwa | Obowiązkowy, regularny audyt zewnętrzny co najmniej raz na 3 lata. | Audyt może być wymagany w trybie doraźnym (np. po incydencie) na polecenie organu nadzoru | Art. 32 ust. 2 pkt b) i c) oraz Art. 33 NIS 2Art. 15 i 53 projektu nowelizacji KSC |
| Bezpieczeństwo łańcucha dostaw | Obowiązkowa weryfikacja dostawców i uwzględnienie ich w analizie ryzyka. | art. 21 ust. 2 pkt d) NIS 2art. 8 ust. 1 pkt 2 lit. e) projektu nowelizacji KSC | |
IV. Odpowiedzialność zarządu i kary finansowe
Nowelizacja KSC wprowadza osobistą odpowiedzialność zarządu oraz wysokie kary finansowe.
Osobista Odpowiedzialność
Kluczową zmianą jest przeniesienie bezpośredniej odpowiedzialności za zaniedbania w zakresie cyberbezpieczeństwa na kierownictwo wyższego szczebla. Odpowiedzialność mogą ponosić także członkowie zarządu w wysokości do 300% otrzymywanego wynagrodzenia.
Wysokość Kar
Wysokość kar administracyjnych wynika bezpośrednio z implementacji NIS 2 i przedstawia się następująco:
- Podmioty Kluczowe: Kara do 10 milionów EUR lub 2% globalnego obrotu przedsiębiorstwa (w zależności od tego, która kwota jest wyższa). Kara nie może być niższa niż 20 000 zł.
- Podmioty Ważne: Kara do 7 milionów EUR lub 1,4% globalnego obrotu. Kara nie może być niższa niż 15 000 zł.
V. Kiedy nowe przepisy wejdą w życie?
Po przyjęciu projektu przez Radę Ministrów 21 października 2025 r., prace nad projektem trafiły do Sejmu. Ze względu na pilność implementacji dyrektywy NIS 2 i ryzyko kar unijnych (termin na wdrożenie przepisów upłynął 17 października 2024 roku), oczekuje się, że ustawa zostanie uchwalona w pierwszym kwartale 2026 roku. Wejście w życie nastąpi miesiąc po ogłoszeniu w Dzienniku Ustaw.
VII. Jak przygotować swoją firmę?
Nowe przepisy zaczną obowiązywać wkrótce, dlatego kluczowe jest strategiczne planowanie i przygotowanie organizacji do zmian prawnych. Zapewnienie zgodności to nie tylko sposób na uniknięcie kar finansowych, ale także inwestycja w ciągłość działania i reputację firmy. Skuteczne zarządzanie zagrożeniami cybernetycznymi pozwala na uniknięcie kosztownych incydentów.
Jak możemy pomóc?
Korzystając z naszych usług mogą Państwo zapewnić zgodność nie tylko pod względem prawnym ale także technologicznym, ponieważ nasze usługi obejmują:
Audyt bezpieczeństwa IT
- Oceniamy aktualny stan infrastruktury IT w Państwa organizacji.
- Identyfikujemy potencjalne zagrożenia i obszary wymagające poprawy.
Dostosowanie do wymagań prawnych
- Tworzymy plan wdrożenia zgodny z dyrektywą NIS 2 i projektem nowelizacji KSC.
- Opracowujemy strategie zarządzania ryzykiem, raportowania incydentów oraz monitorowania zgodności z regulacjami.
Polityki i procedury bezpieczeństwa
- Przygotowujemy niezbędne dokumenty, takie jak polityki bezpieczeństwa czy procedury reagowania na incydenty.
- Dostosowujemy dokumentację do specyfiki branży i działalności Państwa organizacji.
Szkolenia dla pracowników
- Prowadzimy szkolenia z zakresu cyberbezpieczeństwa i nowych obowiązków wynikających z dyrektywy NIS 2 i projektu nowelizacji KSC.
- Budujemy świadomość i kompetencje personelu w zakresie ochrony danych i infrastruktury.
Stałe wsparcie i monitorowanie
- Zapewniamy bieżące doradztwo oraz monitoring zgodności z przepisami.
- Pomagamy wprowadzać zmiany wynikające z aktualizacji regulacji.