NIS2 – co to jest, kogo dotyczy i jak przygotować firmę (2025)

  • Home
  • Szczegóły artykułu
26 września 2025

Czym jest NIS2 – w skrócie i „po ludzku”

NIS2 to unijna dyrektywa podnosząca wspólny poziom cyberbezpieczeństwa w 18 krytycznych sektorach (m.in. energia, zdrowie, administracja, usługi cyfrowe, operatorzy DNS, rejestry domen, łączność) i zastępująca starszą NIS1. Wprowadza obowiązkowe środki zarządzania ryzykiem, terminowe raportowanie incydentów oraz odpowiedzialność kadry zarządzającej. Jej pełny tekst znajdziesz na EUR-Lex, a skrót na stronie Komisji Europejskiej. EUR-Lex+1

Kogo dotyczy NIS2?

Dwa „koszyki” podmiotów

  • Podmioty kluczowe (essential) – zwykle duże firmy z sektorów wysokiej krytyczności (załącznik I).
  • Podmioty ważne (important) – średnie/duże firmy z pozostałych sektorów (załącznik II).

Próg „wchodzenia” do dyrektywy opiera się co do zasady na kryteriach wielkości przedsiębiorstwa (rekomendacja 2003/361/WE). Są też wyjątki „bez progu” dla wybranych usług cyfrowych (np. rejestry domen, DNS). Advisera+1

Przykłady sektorów objętych NIS2

  • Łańcuchy usług cyfrowych i infrastruktura (rejestry TLD, DNS, centra danych, CDN, chmury).
  • Opieka zdrowotna, woda, transport, energia, administracja publiczna itd. – łącznie 18 sektorów. Strategia Cyfrowa Europy

Najważniejsze obowiązki – o co chodzi w praktyce

1) Środki zarządzania ryzykiem (art. 21)

  • polityka bezpieczeństwa, klasyfikacja i ochrona zasobów,
  • ciągłość działania/DR, kopie zapasowe i testy odtwarzania,
  • bezpieczeństwo łańcucha dostaw (wymogi wobec dostawców, due diligence),
  • zarządzanie podatnościami i łatkami,
  • szkolenia personelu oraz nadzór zarządu nad cyberbezpieczeństwem.
    ENISA opublikowała techniczne wytyczne wdrożeniowe i mapowanie dowodów zgodności (pomocne przy audytach). ENISA

2) Raportowanie incydentów (art. 23)

  • wczesne ostrzeżenie w ciągu 24 h od wykrycia istotnego incydentu,
  • raport w 72 h z oceną wstępną,
  • raport końcowy do 1 miesiąca (lub raport postępów i końcowy po zakończeniu). ECSO+1

3) Odpowiedzialność zarządu

Zarząd musi zatwierdzać środki bezpieczeństwa, nadzorować wdrożenie i może podlegać sankcjom w razie rażącego naruszenia. W praktyce oznacza to m.in. obowiązkowy board-level ownership dla cyberbezpieczeństwa. (Patrz także praktyki i komentarze wdrożeniowe). twobirds.com

4) Wymogi dla DNS/TLD i danych rejestracyjnych domen (art. 28)

Rejestry TLD i rejestratorzy muszą prowadzić dokładne i kompletne dane rejestracyjne, wdrożyć procedury weryfikacji, upubliczniać dane nie-osobowe oraz udostępniać dane na uzasadniony wniosek w terminie (co do zasady) do 72 h. centr.org+1

5) Zgłaszanie podatności (CVD, art. 12)

Każde państwo wyznacza CSIRT-koordynatora do CVD; ENISA rozwija Europejską Bazę Podatności. Dla firm oznacza to potrzebę posiadania polityki zgłaszania podatności i procesu obsługi researcherów. ENISA+1

Kary i egzekwowanie

  • Podmioty kluczowe: do 10 mln € lub 2% globalnego obrotu (w zależności co wyższe).
  • Podmioty ważne: do 7 mln € lub 1,4% globalnego obrotu.
    Szczegółowe progi i reżimy nadzorcze wynikają z samej dyrektywy i aktów wdrożeniowych. Advisera

NIS2 w Polsce – status na dziś

Państwa UE miały transponować NIS2 do 17 października 2024 r.. 7 maja 2025 r. Komisja Europejska skierowała uzasadnioną opinię do 19 państw (w tym Polski) za brak pełnej notyfikacji transpozycji. W PL prace nad nowelizacją ustawy o KSC nadal trwają – warto przygotowywać się już teraz. Strategia Cyfrowa Europy

Jak sprawdzić, czy Twoja firma podlega NIS2 (checklista)

  1. Sektor – czy działamy w jednym z 18 sektorów z zał. I/II? (np. usługi cyfrowe, hosting, DNS). Strategia Cyfrowa Europy
  2. Wielkość – czy jesteśmy min. średnim przedsiębiorstwem wg 2003/361/WE? (wyjątki „bez progu” istnieją). Ubuntu
  3. Rola w łańcuchu – czy jesteśmy krytycznym dostawcą (np. rejestr domen, operator DNS, data center)? ENISA
  4. Zależności – czy obsługujemy klientów objętych NIS2 (wymogi kontraktowe i due diligence)? ENISA

Plan wdrożenia NIS2 – praktyczne kroki (z doświadczeń youITcare)

Krok 1: Inwentaryzacja i klasyfikacja

  • zasoby IT/OT, systemy krytyczne, dane i przepływy, zależności od dostawców.

Krok 2: Gap-analysis vs. art. 21

  • polityka bezpieczeństwa, kopie i odtwarzanie, hardening, EDR/AV, monitoring (Zabbix/Wazuh), SOC/SIEM, MFA, zarządzanie łatkami, dzienniki i retencja. ENISA

Krok 3: Łańcuch dostaw

  • ocena dostawców (SOC2/ISO 27001), wymagania w umowach (SLA, RTO/RPO, zgłaszanie incydentów), testy przy odbiorze. Bitsight

Krok 4: IRP i raportowanie 24h/72h

  • procedury detekcji i eskalacji, szablony raportów na 24h/72h/1 miesiąc, kontakt z CSIRT. ECSO

Krok 5: Polityka CVD

  • proces przyjmowania zgłoszeń, kanały i SLA, odpowiedzialności, integracja z zarządzaniem podatnościami. ENISA

Krok 6: Nadzór zarządu i szkolenia

  • wyznaczenie właściciela w zarządzie, KPI bezpieczeństwa, cykliczne raporty ryzyka i testy scenariuszowe. twobirds.com

Garść ciekawostek (które często zaskakują)

  • Rejestry i rejestratorzy domen muszą weryfikować co najmniej jeden kanał kontaktu abonenta domeny i publikować polityki weryfikacji. To de facto „KYC dla domen”. centr.org
  • NIS2 przewiduje centralną europejską bazę podatności prowadzoną przez ENISĘ – ma ułatwiać zgłaszanie i koordynację luk. ENISA
  • Lista podmiotów (essential/important) ma być tworzona i aktualizowana przez państwa co najmniej co 2 lata; pierwszy deadline minął w 2025 r. nis-2-directive.com

FAQ (krótkie, SEO-friendly)

Czy mikro i małe firmy też podlegają NIS2?
Zasadniczo nie – chyba że świadczą wybrane usługi cyfrowe wysokiego ryzyka (np. rejestry TLD/DNS), wtedy „bez progu”. Advisera

Jak szybko trzeba zgłosić incydent?
Wstępne ostrzeżenie w 24 h, raport w 72 h, finalny do 1 miesiąca. ECSO

Jakie są kary?
Do 10 mln € / 2% (essential) i do 7 mln € / 1,4% (important). Advisera

Czy w Polsce NIS2 już obowiązuje?
Trwają prace nad pełną transpozycją KSC; KE wysłała do PL uzasadnioną opinię 7.05.2025 r. Strategia Cyfrowa Europy

Źródła (wybór)

  • Tekst prawny NIS2 (EUR-Lex) i wersja skonsolidowana. EUR-Lex+1
  • Komisja Europejska – opis dyrektywy i zakres 18 sektorów. Strategia Cyfrowa Europy
  • ENISA – Technical Implementation Guidance (praktyczne dowody zgodności). ENISA
  • Raportowanie 24h/72h/1 miesiąc – przegląd wymogów. ECSO
  • Kary pieniężne – progi dla essential/important. Advisera
  • Status w Polsce – uzasadniona opinia KE z 7.05.2025. Strategia Cyfrowa Europy
  • Artykuł 28 (domeny, WHOIS/KYC) i praktyka branży. centr.org+1
  • CVD i rola ENISA/CSIRT (art. 12). ENISA

Poprzedni Następny

Skomentuj

Dodając komentarz, wyrażasz zgodę na przetwarzanie danych osobowych (nazwa, e-mail, treść komentarza) w celu publikacji komentarza. Szczegóły znajdziesz w naszej Polityce prywatności.