Dyrektywa NIS2 znacząco zmienia podejście do cyberbezpieczeństwa w polskich firmach. Jak wskazuje ekspertka, nowe przepisy kończą erę marginalizowania zagrożeń i wymuszają konkretne działania na poziomie zarządów.

NIS 2 w Polsce

Z pełnym przekonaniem mogę powiedzieć, że jest to dobry moment, żeby firmy takie jak nasza zadbały o wyższy poziom bezpieczeństwa. Przez lata bezpieczeństwo w spółkach IT działało na zasadzie: jakoś to będzie. Dyrektywa NIS2 to koniec tej epoki - przekazała w rozmowie z redakcją Forsal prezes Zarządu Dasoft Technologies sp. z o.o. Małgorzata Goszczyńska.

Ekspertka zwróciła uwagę, że wcześniejsza dyrektywa obejmowała ok. 400 podmiotów, natomiast nowelizacja z 3 kwietnia 2026 r. rozszerzyła ten zakres do ponad 40 tys. organizacji. Przez łańcuch dostaw skutki odczuje nawet 80–90% firm na rynku - dodała. Jest jeszcze coś, o czym mówi się za rzadko, ponieważ dyrektywa NIS2 po raz pierwszy w polskim prawie wprowadza osobistą odpowiedzialność majątkową członków zarządu za cyberbezpieczeństwo firmy. Prezes spółki nie może już przekazać tego tematu wyłącznie do działu IT i zapomnieć. To jest również jego decyzja, jego nadzór i odpowiedzialność. W skrajnych przypadkach, naruszenie dyrektywy NIS może grozić zakazem pełnienia funkcji zarządczych - przekazała. W jej ocenie, wprowadzenie dyrektywy NIS 2 bardzo dobrze porządkuje kwestie związane z cyberprzestrzenią.

Osobiście uważam, że bardzo dobrze, bo Polska była w pierwszej połowie 2025 r. jednym z najczęściej atakowanych krajów europejskich przez ransomware (6% globalnych incydentów wg ESET). Oznacza to, że mamy bardzo dużo do nadrobienia w obszarze cyberbezpieczeństwa. Rozmowy, które kiedyś zaczynały się od zastanowienia się na sensem w inwestycji w tym obszarze dzisiaj się kończą. Właśnie o to chodzi w NIS2 - podsumowała Goszczyńska.

Czym jest NIS 2?

NIS 2 to unijna regulacja mająca zwiększyć poziom cyberbezpieczeństwa w 18 kluczowych sektorach gospodarki w Unii Europejskiej. W Polsce została wdrożona poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia 2026 r. Nowe przepisy mają zwiększyć odporność firm i instytucji na cyberataki oraz zapewnić ciągłość działania usług. Do 3 października 2026 r. podmioty uznane za kluczowe i ważne muszą złożyć wniosek o wpis do odpowiedniego wykazu. Termin ten oznacza sześć miesięcy na weryfikację, czy dany podmiot podlega przepisom oraz dopełnienie wymaganych formalności.

Harmonogram wdrożenia UKSC: terminy

  • 13 kwietnia 2026 r. – uruchomienie wykazu podmiotów kluczowych i ważnych
  • 13 kwietnia – 6 maja 2026 r. – wpisy z urzędu realizowane przez Ministra Cyfryzacji
  • 7 maja – 3 października 2026 r. – samorejestracja w wykazie podmiotów kluczowych i ważnych
  • 12 czerwca 2026 r. – uruchomienie możliwości korzystania z systemu S46 dla nowych podmiotów
  • 3 kwietnia 2027 r. – koniec terminu na rozpoczęcie korzystania z systemu S46 i wdrożenie obowiązków (koniec okresu dostosowawczego)
  • 3 kwietnia 2028 r. – pierwszy audyt SZBI (dla podmiotów kluczowych, które nie były operatorami usług kluczowych)
  • 3 kwietnia 2028 r. – początek obowiązywania przepisów o karach
Polecamy: NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa
Drony. Kierujesz pod wpływem alkoholu? Możesz stracić prawo jazdy
Drony. Kierujesz pod wpływem alkoholu? Możesz stracić prawo jazdy

Zobacz również

Kto musi wdrożyć NIS 2?

Aby ustalić, czy firma podlega nowym regulacjom, należy:

  • Ustalić wielkość przedsiębiorstwa W szczególności na podstawie danych zawartych w sprawozdaniu finansowym, według stanu na dzień jego sporządzenia, oraz określić liczbę zatrudnionych pracowników.
  • Określić zakres prowadzonej działalności W oparciu o zadeklarowane kody Polskiej Klasyfikacji Działalności (PKD), a także posiadane decyzje administracyjne, w tym koncesje, zezwolenia oraz wpisy do rejestrów działalności regulowanej.
  • Dokonać analizy przepisów ustawy W szczególności art. 5 ustawy o krajowym systemie cyberbezpieczeństwa, określającego katalog podmiotów kluczowych i ważnych, a także załączników nr 1 i nr 2 do ustawy, zawierających wykaz rodzajów działalności objętych regulacją. Spełnienie wskazanych kryteriów może oznaczać zakwalifikowanie przedsiębiorcy jako podmiotu kluczowego lub podmiotu ważnego w rozumieniu ustawy.