Dyrektywa NIS2 i jej implementacja do polskiego prawa – ważne dla firm

Czym była dyrektywa NIS (2016/1148) i jakie miała znaczenie?

Na wstępie warto kilka słów poświęcić dyrektywie NIS – tj. dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Dyrektywa NIS poprzedzała dyrektywę NIS2, weszła w życie 8 sierpnia 2016 r.  i została uchylona przez dyrektywę NIS2 z dniem 17 października 2024 r.

Celem dyrektywy 2016/1148 było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa.

Dzięki tej dyrektywie m.in. utworzono w poszczególnych państwach członkowskich UE krajowe strategie w zakresie bezpieczeństwa sieci i systemów informatycznych i określono krajowe zdolności oraz wdrożono przepisy obejmujące niezbędną infrastrukturę i podmioty wskazane przez poszczególne państwa członkowskie.

W Polsce implementacja dyrektywy NIS nastąpiła w ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która określa zasady organizacji krajowego systemu cyberbezpieczeństwa, w tym podmioty wchodzące w jego skład, ich prawa, obowiązki i formy współpracy.

Dyrektywa 2016/1148 przyczyniła się także do współpracy na poziomie Unii dzięki ustanowieniu Grupy Współpracy oraz sieci krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego.

Wskutek ewolucji i wzrostu liczby cyber-zagrożeń, a także sytuacji geopolitycznej związanej w szczególności z wojną rosyjsko-ukraińską, UE postanowiła stworzyć w miejsce dyrektywy 2016/1148 nową dyrektywę – Dyrektywę NIS2.

Co zmienia dyrektywa NIS2 w zakresie cyberbezpieczeństwa?

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r. Przepisy tej dyrektywy miały być implementowane przez państwa członkowskie do 17 października 2024 r.

Dyrektywa NIS2 utworzyła nowe ramy systemu cyberbezpieczeństwa w Unii Europejskiej. Wprowadziła nowe zadania państw członkowskich UE, rozszerzyła zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa oraz zmodyfikowała zadania organów Unii Europejskiej w tym obszarze.

Jakie sektory obejmuje dyrektywa NIS2?

Rozszerzeniu uległ katalog sektorów objętych dyrektywą NIS 2 – obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej, w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności.

Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych określony w NIS, na podmioty kluczowe i podmioty ważne. Dyrektywa NIS 2 nakłada również szereg obowiązków na podmioty kluczowe i podmioty ważne. Podstawowym obowiązkiem jest stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

Jakie są najważniejsze zmiany wprowadzone przez dyrektywę NIS2?

Jak oceniło polskie Ministerstwo Infrastruktury najważniejsze zmiany wynikające z Dyrektywy NIS 2 są następujące:

1. Wyróżnienie dwóch typów podmiotów objętych tą dyrektywą: podmioty kluczowe (essential entities) oraz podmioty ważne (important entities). Dyrektywa nakazuje zróżnicować systemy nadzoru i egzekwowania cyberbezpieczeństwa między tymi dwiema kategoriami podmiotów, aby zapewnić odpowiednią równowagę między wymogami i obowiązkami związanymi z ryzykiem a obciążeniem administracyjnym wynikającym z nadzoru nad zgodnością z przepisami.
2. Rozszerzenie zakresu podmiotowego dyrektywy m.in. o administrację publiczną, sektor żywności, ścieki, przemysł, zarzadzanie odpadami i przestrzeń kosmiczną oraz szerzej traktuje niektóre sektory (m.in. rozszerzenie zakresu infrastruktury cyfrowej).
3. Na podmioty objęte Dyrektywą NIS2 zostały nałożone większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania.
4. Dyrektywa NIS2 precyzuje zapisy w zakresie raportowania incydentów.
5. Dyrektywa wprowadza odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie.
6. Dyrektywa wprowadza nowe mechanizmy współpracy międzynarodowej poprzez ustanowienie Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni.
7. Dyrektywa wzmacnia rolę Europejskiej Agencji ds. Cyberbezpieczeństwa.

Jak wygląda wdrożenie dyrektywy NIS2 w Polsce?

Aktem prawnym implementującym przepisy dyrektywy NIS2 w Polsce jest ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, która wejdzie w życie 3 kwietnia 2026 r.

Jak wskazuje autor tej nowelizacji – Ministerstwo Cyfryzacji, nowelizacja polega w szczególności na:

• rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki (ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności);
• nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe lub podmioty ważne w cyberbezpieczeństwie, dotyczące w szczególności stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, zgodne z dyrektywą NIS 2; 
• wprowadzeniu odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa – kierownik takiego podmiotu będzie odpowiedzialny za realizację tych zadań przez dany podmiot; w przypadku niewywiązania się z tych zadań na kierownika będą mogły być nałożone kary; kierownik będzie obowiązany również do przejścia stosownego szkolenia z?zakresu cyberbezpieczeństwa;
• wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, zwanego dalej „ministrem”, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
• utworzeniu zespołów CSIRT sektorowych w poszczególnych sektorach gospodarki, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;
• wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa, polegających na możliwości wydawania ostrzeżeń, wyznaczania urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy, nakazywanie przeprowadzenia oceny bezpieczeństwa systemu informacyjnego, nakazywanie przeprowadzenia audytu bezpieczeństwa;
• wprowadzeniu nowych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe lub podmioty ważne, m. in. za nie wdrożenie systemu zarządzania bezpieczeństwem informacji czy nie zarejestrowanie się w wykazie podmiotów kluczowych i podmiotów ważnych;
• wprowadzeniu Krajowego Planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
• rozszerzeniu kompetencji ministra (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego);
• wzmocnieniu pozycji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa poprzez wyposażenie go w?konkretne uprawnienia w?zakresie wydawania rekomendacji mających na celu wzmocnienie poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa; Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa będzie mógł także żądać informacji niezbędnych do wykonywania jego zadań od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do realizacji jego zadań; Pełnomocnikowi Rządu do Spraw Cyberbezpieczeństwa umożliwi się także zakupy oprogramowania z zakresu cyberbezpieczeństwa dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa;
• rozszerzeniu kompetencji zespołów CSIRT poziomu krajowego, w tym CSIRT NASK, co jest związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym CSIRT NASK będzie udzielał wsparcia w reagowaniu na incydenty;
• rozwijaniu kompetencji ministra w zakresie edukacji cyberbezpieczeństwa – przewiduje się środki na prowadzenie kampanii edukacyjnych i programów z zakresu cyberbezpieczeństwa.

Skrót CSIRT oznacza: Computer Security Incident Response Team. Czyli chodzi o Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego.

Podstawa prawna:

• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.
• Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (U. 2026 poz. 252).

Autor
Paweł Huczko
Ukończył Wydział Prawa i Administracji Uniwersytetu Warszawskiego. Od 2005 roku związany z INFOR PL SA. Autor kilkuset artykułów i porad opublikowanych na portalu infor.pl.

Więcej na temat NIS2 przeczytasz w książce, która jest do kupienia w naszym Sklepie:
NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa