\n
Wróć do bloga
Osoby w zarządzie analizujące dokumentację

RODO / Prawo

Dyrektywa NIS2 – co każda firma musi wiedzieć? Kompleksowy przewodnik

CTB
Zespół CTB
14 marca 2026 8 min czytania

Cyberbezpieczeństwo przestało być wyłącznie zmartwieniem działów IT. Dzisiaj to jeden z fundamentów stabilnego funkcjonowania każdego biznesu. Unia Europejska, dostrzegając rosnącą skalę i zaawansowanie cyberataków, wprowadziła nową dyrektywę o bezpieczeństwie sieci i informacji – NIS2.

Choć przepisy te weszły w życie już w październiku 2024 roku, wiele firm wciąż zastanawia się, czy nowe regulacje ich dotyczą i jakie obowiązki na nich nakładają. Nawet jeśli Twoja firma z pozoru nie jest technologicznym gigantem, NIS2 może zapukać do Twoich drzwi – chociażby przez łańcuch dostaw.

Co zatem każda firma musi wiedzieć o dyrektywie NIS2? Oto najważniejsze informacje w pigułce.

Czym właściwie jest NIS2?

Dyrektywa NIS2 (Network and Information Security Directive 2) to unijne prawo, którego głównym celem jest podniesienie i ujednolicenie poziomu cyberbezpieczeństwa w całej Europie. Zastąpiła ona swoją poprzedniczkę (NIS z 2016 roku), drastycznie rozszerzając listę sektorów i firm, które muszą wdrożyć rygorystyczne procedury ochrony przed cyberzagrożeniami.

Główna idea? Zbudować europejską "tarczę", która ochroni gospodarkę, infrastrukturę krytyczną i obywateli przed paraliżem w wyniku ataków hakerskich.

Kogo dotyczy dyrektywa NIS2?

Największym błędem jest myślenie: "Jesteśmy firmą produkcyjną, a nie bankiem, więc to nas nie dotyczy". NIS2 dzieli organizacje na dwie główne kategorie: podmioty kluczowe (essential) i podmioty ważne (important).

Dyrektywa obejmuje zazwyczaj średnie i duże przedsiębiorstwa (zatrudniające od 50 pracowników lub generujące powyżej 10 mln euro rocznego obrotu), które działają w strategicznych sektorach, takich jak:

  • Energetyka, transport, bankowość, ochrona zdrowia.
  • Woda pitna i ścieki.
  • Infrastruktura cyfrowa (dostawcy chmury, centrów danych, telekomunikacja).
  • Produkcja (chemikalia, wyroby medyczne, maszyny, żywność!).
  • Gospodarka odpadami, usługi pocztowe i kurierskie.

Efekt domina: Łańcuch dostaw

Nawet jeśli Twoja firma jest za mała, by podlegać bezpośrednio pod NIS2, ale dostarczasz usługi lub produkty dla podmiotu kluczowego – musisz spełniać ich wymogi bezpieczeństwa. Duże firmy są teraz zobowiązane do kontrolowania swoich łańcuchów dostaw. Będą wymagać od swoich podwykonawców audytów i certyfikatów. Brak zgodności może oznaczać utratę kluczowych kontraktów.

4 główne filary obowiązków dla firm

Jeśli Twoja firma podlega pod NIS2, musisz wdrożyć odpowiednie środki zarządzania ryzykiem:

  1. Analiza ryzyka i bezpieczeństwo systemów: Posiadanie udokumentowanych polityk, stosowanie kryptografii, szyfrowania oraz wdrożenie MFA (uwierzytelniania wieloskładnikowego).
  2. Ciągłość działania (Business Continuity): Przygotowanie planów reagowania na incydenty, przywracania systemów po awarii (Disaster Recovery) oraz zarządzania backupami.
  3. Bezpieczeństwo łańcucha dostaw: Monitorowanie poziomu zabezpieczeń u dostawców oprogramowania i usług.
  4. Rygorystyczne raportowanie: Zgłaszanie poważnych incydentów do CERT Polska: 24h na wczesne ostrzeżenie, 72h na pełne zgłoszenie, 1 miesiąc na raport końcowy.

Osobista odpowiedzialność zarządu i kary

To przełomowy punkt NIS2. Dyrektywa wprowadza osobistą odpowiedzialność członków zarządu za zaniedbania w obszarze cyberbezpieczeństwa. Zarząd musi nadzorować wdrażanie środków ryzyka i odbywać regularne szkolenia. Kary finansowe są dotkliwe:

  • Dla podmiotów kluczowych: do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu.
  • Dla podmiotów ważnych: do 7 000 000 EUR lub 1,4% obrotu.

FAQ – Najczęściej zadawane pytania o NIS2

Czy NIS2 dotyczy mojej firmy, jeśli zatrudniam 40 osób?
Tak, jeśli Twoja firma jest częścią krytycznego łańcucha dostaw lub działa w sektorze wysokiego ryzyka (np. energetyka), możesz zostać uznany za podmiot kluczowy niezależnie od liczby pracowników.
Jakie są kary za brak wdrożenia NIS2?
Kary mogą wynosić do 10 mln EUR lub 2% całkowitego rocznego światowego obrotu dla podmiotów kluczowych. Ważna jest również osobista odpowiedzialność członków zarządu za zaniedbania w obszarze cyberbezpieczeństwa.

Od czego zacząć? Twój plan działania

  • Zweryfikuj swój status: Sprawdź, czy podlegasz bezpośrednio pod NIS2 lub czy jesteś w łańcuchu dostaw.
  • Przeprowadź audyt wewnętrzny (Gap Analysis): Zbadaj obecny stan i porównaj go z wymogami dyrektywy.
  • Zaangażuj zarząd: Zbudujcie budżet i strategię na najwyższym poziomie decyzyjnym.
  • Wdrażaj procedury i technologie: Zaktualizuj polityki, szkol pracowników i wdróż rozwiązania techniczne (EDR/XDR, bezpieczne backupy).

Podsumowanie: Traktowanie cyberbezpieczeństwa jako opcjonalnego kosztu to prosta droga do utraty klientów i odpowiedzialności prawnej. Nie czekaj na pierwszy atak czy audyt – zacznij działać już dziś.

NIS2 Audyty IT Prawo Zarządzanie Ryzykiem