Viktoria ComplianceStart Assessment
Powrót do bloga
NIS26 min readFebruary 28, 2026

Rozszyfrowany zakres NIS2: Które MŚP podlegają dyrektywie - i co to oznacza dla Państwa firmy?

Dyrektywa NIS2 (dyrektywa (UE) 2022/2555) stanowi najbardziej znaczący przegląd unijnych przepisów dotyczących cyberbezpieczeństwa od czasu pierwotnej dyrektywy NIS z 2016 roku. Poprzez radykalne rozszerzenie jej zakresu, wprowadzenie bardziej rygorystycznych obowiązków i nałożenie znacznych kar, NIS2 zmusza tysiące organizacji w całej Europie do ponownej oceny ich cyberbezpieczeństwa. Dla MŚP wyzwaniem jest zrozumienie, czy i w jaki sposób dyrektywa ma zastosowanie do ich działalności.

Rozszerzenie zakresu: Kto jest objęty ubezpieczeniem?

Pierwotna dyrektywa NIS miała zastosowanie do wąskiej grupy operatorów usług kluczowych i dostawców usług cyfrowych. NIS2 zastępuje to znacznie szerszą klasyfikacją: podmioty istotne i podmioty ważne. Rozróżnienie to ma znaczenie, ponieważ określa intensywność nadzoru nadzorczego i surowość kar.

Istotne podmioty

Podmioty istotne podlegają proaktywnym środkom nadzoru ex ante. Kategoria ta obejmuje organizacje z następujących sektorów:

  • Energia (elektryczność, olej, gaz, wodór, ogrzewanie miejskie)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Infrastruktura bankowa i rynku finansowego
  • Zdrowie (dostawcy opieki zdrowotnej, laboratoria referencyjne UE, produkcja farmaceutyczna)
  • Dostawa i dystrybucja wody pitnej
  • Zarządzanie ściekami
  • Infrastruktura cyfrowa (IXP, dostawcy DNS, rejestry TLD, przetwarzanie w chmurze, centra danych, CDN)
  • Zarządzanie usługami ICT w B2B (dostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa)
  • Administracja publiczna (rząd centralny)
  • Przestrzeń

Ważne podmioty

Ważne podmioty podlegają reaktywnemu nadzorowi ex post. Sektory obejmują:

  • Usługi pocztowe i kurierskie
  • Zarządzanie odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Produkcja urządzeń medycznych, komputerów, elektroniki, maszyn i pojazdów silnikowych
  • Dostawcy cyfrowi (rynki internetowe, wyszukiwarki, platformy społecznościowe)
  • Organizacje badawcze

Progi rozmiaru

NIS2 stosuje zasadę ograniczenia wielkości. Ogólnie rzecz biorąc, dyrektywa obejmuje średnie przedsiębiorstwa i większe: organizacje zatrudniające co najmniej 50 pracowników LUB o rocznym obrocie (lub rocznej sumie bilansowej) w wysokości co najmniej 10 mln EUR. Jednak niektóre podmioty są objęte zakresem dyrektywy niezależnie od ich wielkości, w tym dostawcy usług DNS, rejestry nazw TLD oraz podmioty, które są jedynym dostawcą usług o kluczowym znaczeniu w państwie członkowskim.

MŚP poniżej tych progów są zasadniczo zwolnione, chyba że działają w jednym ze specjalnie wyznaczonych podsektorów. Jednak każda organizacja w łańcuchu dostaw istotnego lub ważnego podmiotu może być narażona na umowne zobowiązania w zakresie cyberbezpieczeństwa nałożone przez ich klientów w celu spełnienia wymogów bezpieczeństwa łańcucha dostaw NIS2.

Kluczowe obowiązki wynikające z NIS2

1. Zarządzanie ryzykiem cyberbezpieczeństwa (art. 21)

Artykuł 21 nakłada na istotne i ważne podmioty wymóg podjęcia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Środki te muszą obejmować co najmniej:

  • Zasady dotyczące analizy ryzyka i bezpieczeństwa systemów informatycznych
  • Procedury obsługi incydentów
  • Ciągłość działania i zarządzanie kryzysowe (w tym zarządzanie kopiami zapasowymi i odzyskiwanie danych po awarii)
  • Bezpieczeństwo łańcucha dostaw, w tym aspekty bezpieczeństwa dotyczące relacji z bezpośrednimi dostawcami
  • Bezpieczeństwo w pozyskiwaniu, rozwoju i utrzymaniu sieci i systemów informatycznych, w tym obsługa i ujawnianie luk w zabezpieczeniach
  • Zasady i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
  • Podstawowe praktyki higieny cybernetycznej i szkolenia w zakresie cyberbezpieczeństwa
  • Zasady korzystania z kryptografii i, w stosownych przypadkach, szyfrowania
  • Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie zasobami
  • Korzystanie z uwierzytelniania wieloskładnikowego, zabezpieczonej komunikacji i zabezpieczonej komunikacji awaryjnej

2. Zgłaszanie incydentów (art. 23 i 30)

NIS2 wprowadza wieloetapowy obowiązek zgłaszania incydentów, który jest znacznie bardziej rygorystyczny niż pierwotna dyrektywa:

  1. Wczesne ostrzeganie: W ciągu 24 godzin od uzyskania informacji o istotnym incydencie należy powiadomić właściwy organ lub CSIRT. Wczesne ostrzeżenie musi wskazywać, czy podejrzewa się, że incydent jest spowodowany bezprawnymi lub złośliwymi działaniami i czy może mieć skutki transgraniczne.
  2. Powiadomienie o incydencie: W ciągu 72 godzin proszę przedstawić wstępną ocenę obejmującą powagę i wpływ incydentu oraz wskaźniki naruszenia bezpieczeństwa, jeśli są dostępne.
  3. Raport końcowy: W ciągu miesiąca proszę przedstawić szczegółowy opis incydentu, jego pierwotną przyczynę, zastosowane środki łagodzące oraz, w stosownych przypadkach, skutki transgraniczne.

Znaczący incydent definiuje się jako taki, który spowodował lub może spowodować poważne zakłócenia operacyjne lub straty finansowe, lub który wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody materialne lub niematerialne.

3. Bezpieczeństwo łańcucha dostaw

Art. 21 ust. 2 lit. d) wyraźnie wymaga od podmiotów uwzględnienia kwestii bezpieczeństwa łańcucha dostaw. Oznacza to ocenę praktyk w zakresie cyberbezpieczeństwa stosowanych przez Państwa bezpośrednich dostawców i usługodawców, włączenie wymogów bezpieczeństwa do umów w sprawie zamówień publicznych oraz bieżące monitorowanie ryzyka stron trzecich. W przypadku wielu MŚP obowiązek ten będzie wynikał pośrednio z wymogów umownych nałożonych przez większych klientów, którzy sami są podmiotami regulowanymi przez NIS2.

4. Odpowiedzialność organu zarządzającego (art. 20)

NIS2 nakłada bezpośrednią odpowiedzialność na organ zarządzający (zarząd, kierownictwo wykonawcze) za zatwierdzanie i nadzorowanie wdrażania środków zarządzania ryzykiem cyberbezpieczeństwa. Członkowie organu zarządzającego muszą przejść szkolenie w zakresie cyberbezpieczeństwa i mogą zostać pociągnięci do osobistej odpowiedzialności za naruszenia. Stanowi to znaczące odejście od pierwotnej dyrektywy NIS i dostosowuje zarządzanie cyberbezpieczeństwem do poziomu odpowiedzialności obserwowanego w regulacjach finansowych.

Krajowa transpozycja i egzekwowanie przepisów

Państwa członkowskie były zobowiązane do transpozycji NIS2 do prawa krajowego do 17 października 2024 roku. Na początku 2026 r. większość państw członkowskich zakończyła transpozycję, choć terminy wdrożenia i szczegółowe wymogi różnią się. Organizacje powinny zapoznać się z krajową transpozycją w każdym państwie członkowskim, w którym prowadzą działalność, ponieważ wymogi mogą wykraczać poza minimum NIS2.

Kary

Kary w ramach NIS2 są znaczne i zróżnicowane w zależności od rodzaju podmiotu:

  • Istotne podmioty: Grzywny administracyjne w wysokości do 10 mln EUR lub 2% całkowitego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa.
  • Istotne podmioty: Grzywny administracyjne w wysokości do 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa.

Organy nadzorcze mogą również nakładać niepieniężne środki zaradcze, w tym wiążące instrukcje, nakazy wdrożenia zaleceń audytu, nakazy dostosowania środków bezpieczeństwa do wymogów oraz tymczasowe zawieszenie certyfikatów lub zezwoleń.

Praktyczne kroki dla MŚP

Jeśli Państwa organizacja jest objęta zakresem NIS2 lub jeśli działają Państwo w łańcuchu dostaw podmiotu regulowanego, poniższe kroki stanowią pragmatyczny punkt wyjścia:

  1. Ocena zakresu: Proszę określić, czy Państwa organizacja jest istotnym podmiotem, ważnym podmiotem lub podmiotem poza zakresem. Proszę wziąć pod uwagę zarówno klasyfikację sektorową, jak i progi wielkości.
  2. Analiza luk: Proszę porównać obecne środki cyberbezpieczeństwa z wymogami art. 21. Proszę zidentyfikować obszary, w których istniejące kontrole nie spełniają wymogów.
  3. Przygotowanie do reagowania na incydenty: Proszę opracować lub udoskonalić plan reagowania na incydenty, aby spełnić wymogi 24-godzinnego, 72-godzinnego i miesięcznego harmonogramu raportowania.
  4. Przegląd łańcucha dostaw: Proszę ocenić stan cyberbezpieczeństwa krytycznych dostawców i uwzględnić wymogi bezpieczeństwa w umowach zakupowych.
  5. Zaangażowanie kierownictwa: Proszę poinformować zarząd lub kadrę kierowniczą o ich obowiązkach w zakresie NIS2 i zorganizować szkolenie w zakresie cyberbezpieczeństwa.
  6. Dokumentacja: Proszę przechowywać dowody dotyczące wszystkich środków cyberbezpieczeństwa, ocen ryzyka i raportów z incydentów. Zgodność z NIS2 jest możliwa do wykazania.

Dyrektywa NIS2 nie jest odległym zagadnieniem regulacyjnym. Dla tysięcy europejskich organizacji stanowi ona aktywny obowiązek zapewnienia zgodności z przepisami. MŚP, które już teraz podejmą działania w celu zrozumienia swoich obowiązków i wypełnienia luk w cyberbezpieczeństwie, będą w znacznie lepszej sytuacji niż te, które będą czekać na wymuszenie działań egzekucyjnych.

Sprawdź swoją gotowość do zgodności

Przeprowadź naszą bezpłatną ocenę gotowości do RODO, NIS2 i Aktu o UI i otrzymaj spersonalizowane rekomendacje w ciągu kilku minut.

Rozpocznij bezpłatną ocenę

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.