+48 792 911 906 | kancelaria@cenkier.pl
Joanna Cenkier Radca Prawny
Strona główna
O kancelarii
Specjalizacje
Obsługa firm Nowoczesne technologie Kredyty frankowe Prawo gospodarcze Windykacja Prawo budowlane
Branże
Firmy IT i software houses E-commerce i sklepy online Startupy i scale-upy AI i automatyzacja SaaS i platformy cyfrowe Agencje marketingowe Deweloperzy nieruchomości Firmy budowlane Podwykonawcy budowlani Inwestorzy indywidualni Spółki handlowe Produkcja i przemysł Handel hurtowy i dystrybucja Franczyza Transport i spedycja
Artykuły
Kalkulatory
FAQ
Kontakt
Konsultacja
Strona główna
O kancelarii
Specjalizacje
Obsługa firm Nowoczesne technologie Kredyty frankowe Prawo gospodarcze Windykacja Prawo budowlane
Branże
Firmy IT i software houses E-commerce i sklepy online Startupy i scale-upy AI i automatyzacja SaaS i platformy cyfrowe Agencje marketingowe Deweloperzy nieruchomości Firmy budowlane Podwykonawcy budowlani Inwestorzy indywidualni Spółki handlowe Produkcja i przemysł Handel hurtowy i dystrybucja Franczyza Transport i spedycja
Artykuły
Kalkulatory
FAQ
Kontakt
Konsultacja
Powrót do artykułów Nowoczesne technologie

NIS2 — jakie firmy są objęte dyrektywą i jakie obowiązki z tego wynikają

7 czerwca 2026 4 min czytania
NIS2 — jakie firmy są objęte dyrektywą i jakie obowiązki z tego wynikają

NIS2 — co to jest i dlaczego ważna dla Twojej firmy?

Dyrektywa NIS2 (Network and Information Security 2, dyrektywa 2022/2555/UE) to unijna regulacja dotycząca cyberbezpieczeństwa, która zastąpiła pierwotną dyrektywę NIS z 2016 roku. Jej celem jest znaczące podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w kluczowych sektorach gospodarki. Polska wdrożyła dyrektywę do prawa krajowego — co oznacza, że obowiązki z niej wynikające dotyczą konkretnych polskich firm i instytucji.

NIS2 drastycznie rozszerzyła krąg podmiotów objętych regulacjami w porównaniu do poprzedniej dyrektywy. Teraz objętych jest znacznie więcej branż i przedsiębiorstw — i to zarówno dużych korporacji, jak i średnich firm.

Kto jest objęty dyrektywą NIS2?

Dyrektywa wyróżnia dwie kategorie podmiotów:

Podmioty kluczowe (essential entities)

Duże firmy z sektorów o wysokim znaczeniu dla społeczeństwa i gospodarki:

  • energetyka (prąd, gaz, ropa, ciepłownictwo, wodór),
  • transport (lotniczy, kolejowy, wodny, drogowy),
  • bankowość i infrastruktura rynków finansowych,
  • ochrona zdrowia (szpitale, laboratoria, producenci leków),
  • woda pitna i ścieki,
  • infrastruktura cyfrowa (dostawcy chmury, DNS, CDN, centra danych),
  • zarządzanie usługami ICT (dostawcy usług zarządzanych),
  • administracja publiczna,
  • przestrzeń kosmiczna.

Podmioty ważne (important entities)

Firmy z szerszego kręgu branż, o mniejszej krytyczności, ale wciąż istotne:

  • usługi pocztowe i kurierskie,
  • gospodarka odpadami,
  • produkcja chemikaliów,
  • produkcja żywności,
  • produkcja wyrobów medycznych, elektronicznych, maszyn, pojazdów,
  • dostawcy usług cyfrowych (platformy e-commerce, wyszukiwarki, media społecznościowe),
  • badania naukowe.
Kryterium wielkości: Co do zasady NIS2 obejmuje średnie i duże firmy — czyli zatrudniające co najmniej 50 pracowników lub osiągające obrót powyżej 10 mln EUR rocznie. Małe firmy są zwolnione — o ile nie działają w sektorze krytycznej infrastruktury. Niezależnie od wielkości obowiązki mają też niektóre podmioty administracji publicznej.

Jakie obowiązki nakłada NIS2?

1. Zarządzanie ryzykiem cyberbezpieczeństwa

Firmy objęte dyrektywą muszą wdrożyć politykę bezpieczeństwa informacji obejmującą m.in. analizę ryzyka, zabezpieczenie sieci, zarządzanie incydentami, ciągłość działania (backup, disaster recovery) oraz bezpieczeństwo łańcucha dostaw.

2. Odpowiedzialność zarządu

NIS2 wprost wskazuje, że za wdrożenie wymogów cyberbezpieczeństwa odpowiadają organy zarządzające firmą. Zarząd musi przejść szkolenie z zakresu cyberbezpieczeństwa i aktywnie nadzorować realizację polityki bezpieczeństwa. To ważna zmiana — cyberbezpieczeństwo staje się tematem zarządczym, nie tylko IT.

3. Zgłaszanie incydentów

Podmioty objęte NIS2 mają obowiązek zgłaszania poważnych incydentów bezpieczeństwa do właściwego organu (w Polsce — CERT Polska / CSIRT). Terminy są ścisłe:

  • wczesne ostrzeżenie — w ciągu 24 godzin od wykrycia,
  • zgłoszenie incydentu — w ciągu 72 godzin,
  • raport końcowy — w ciągu miesiąca.

4. Bezpieczeństwo łańcucha dostaw

Firmy muszą weryfikować bezpieczeństwo swoich dostawców i partnerów biznesowych. Jeśli korzystasz z usług zewnętrznych dostawców IT, musisz mieć procedury oceny ich bezpieczeństwa.

5. Szyfrowanie i uwierzytelnianie

Dyrektywa wymaga stosowania silnych mechanizmów uwierzytelniania (MFA) i szyfrowania danych — zarówno w transmisji, jak i w przechowywaniu.

Kary za naruszenia: Podmioty kluczowe — do 10 mln EUR lub 2% globalnego obrotu (wyższa z kwot). Podmioty ważne — do 7 mln EUR lub 1,4% globalnego obrotu. W Polsce właściwy organ nadzoru prowadzi kontrole i może nakładać kary administracyjne.

Co powinna zrobić firma objęta NIS2?

Jeśli Twoja firma może być objęta NIS2, pierwszym krokiem jest:

  • weryfikacja, czy firma należy do objętych sektorów i spełnia kryteria wielkości,
  • przeprowadzenie audytu obecnego stanu bezpieczeństwa (gap analysis),
  • opracowanie lub aktualizacja polityki bezpieczeństwa informacji,
  • wdrożenie procedur zarządzania incydentami i zgłaszania do CSIRT,
  • przeszkolenie zarządu i kluczowych pracowników,
  • przegląd umów z dostawcami IT pod kątem wymagań bezpieczeństwa.

Aspekty prawne — rola prawnika przy NIS2

Wdrożenie NIS2 to nie tylko zadanie działu IT — wymaga też analizy prawnej. Prawnik pomoże ocenić, czy firma podlega dyrektywie, przygotować lub zrewidować polityki bezpieczeństwa pod kątem wymogów prawnych, dostosować umowy z dostawcami i klientami, a także opracować procedury postępowania przy incydentach zgodne z wymogami zgłoszeniowymi.

Podsumowanie

NIS2 to realne i poważne zobowiązanie dla tysięcy polskich firm. Podmioty, które nie dostosują się do wymagań, narażają się na wysokie kary i odpowiedzialność zarządu. Warto sprawdzić, czy Twoja firma jest objęta dyrektywą i — jeśli tak — jak najszybciej przystąpić do wdrożenia wymaganych środków.

Powiązane strony

Specjalizacja: Nowoczesne technologie · Więcej artykułów: Nowoczesne technologie
Umów konsultację
Joanna Cenkier Radca Prawny

Kancelaria Radcy Prawnego specjalizująca się w obsłudze przedsiębiorstw, prawie gospodarczym oraz sprawach frankowych. Ponad 10 lat doświadczenia w ochronie interesów Klientów.

Specjalizacje

  • Wszystkie specjalizacje
  • Obsługa firm
  • Nowoczesne technologie
  • Kredyty frankowe
  • Prawo gospodarcze
  • Windykacja
  • Prawo budowlane

Szybkie linki

  • O kancelarii
  • Branże
  • Kalkulatory
  • Wszystkie artykuły
  • Artykuły — Kredyty frankowe
  • Artykuły — Prawo gospodarcze
  • Artykuły — Nowoczesne technologie
  • Artykuły — Obsługa firm
  • Artykuły — Prawo budowlane
  • Artykuły — Windykacja
  • FAQ
  • Polityka prywatności

Kontakt

  • +48 792 911 906
  • kancelaria@cenkier.pl
  • ul. Krótka 4/3

    20-077 Lublin

© 2026 Kancelaria Radcy Prawnego Joanna Cenkier. Wszelkie prawa zastrzeżone.

NIP: 7123053374 | REGON: 386450770