Dyrektywa NIS 2 (UE) 2022/2555 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.) wprowadza na poziomie unijnym nowy, znacznie szerszy niż dotychczas, model regulacji cyberbezpieczeństwa. Celem jest osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informacyjnych w państwach członkowskich. Polska realizuje ten obowiązek poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, nad którą prace sejmowe są w toku (projekt trafił do Sejmu 7 listopada 2025). Projekt ustawy przewiduje daleko idące modyfikacje: rozbudowuje definicje, porządkuje katalog podmiotów objętych regulacją, tworzy nowe mechanizmy nadzoru oraz – co szczególnie istotne z perspektywy przedsiębiorców – wprowadza obowiązek samodzielnego określenia statusu jako podmiotu kluczowego lub podmiotu ważnego oraz nowe obowiązki organizacyjne i techniczne.

Jakie branże będą objęte nowymi regulacjami?

Projektowana ustawa implementująca NIS 2 obejmuje bardzo szeroki zakres sektorów gospodarki i administracji publicznej. Punkt wyjścia stanowią załączniki do ustawy, które określają działalności właściwe dla podmiotów kluczowych i ważnych.

W praktyce chodzi między innymi o przedsiębiorstwa z sektora energii, a więc podmioty działające w elektroenergetyce, gazownictwie i ciepłownictwie, których systemy informacyjne są niezbędne dla wytwarzania, przesyłu i dystrybucji energii. Bardzo silnie akcentowany jest również sektor transportu – kolejowego, lotniczego, morskiego i drogowego – obejmujący zarówno przewoźników, jak i operatorów infrastruktury krytycznej dla przemieszczania osób i towarów.

Istotny obszar regulacji stanowi sektor zdrowia, w którym mieszczą się szpitale, jednostki ratownictwa medycznego, laboratoria diagnostyczne, a także producenci wyrobów medycznych o znaczeniu krytycznym. NIS 2 i projekt ustawy dotyczą ponadto szeroko rozumianej infrastruktury cyfrowej, takiej jak punkty wymiany ruchu internetowego, rejestry nazw domen, dostawcy usług DNS, operatorzy centrów danych, dostawcy usług w chmurze obliczeniowej oraz dostawcy usług zarządzanych ICT.

Regulacją obejmowane są także przedsiębiorstwa odpowiedzialne za zaopatrzenie ludności w wodę pitną i odprowadzanie ścieków, podmioty systemu gospodarki odpadami, a w określonym zakresie – podmioty z łańcucha dostaw żywności, jak również – w odrębnym segmencie – działalność w zakresie wytwarzania, przetwarzania i dystrybucji żywności oraz produkcji, wytwarzania i dystrybucji chemikaliów. Te ostatnie kategorie, podobnie jak wskazane wyżej branże produkcyjne, zostały wprost wymienione wśród „innych sektorów krytycznych” w załączniku II dyrektywy.

Ważną grupę stanowią dostawcy usług cyfrowych, w tym platformy handlu elektronicznego i wyszukiwarki internetowe, a także przedsiębiorcy komunikacji elektronicznej, operatorzy sieci i dostawcy usług łączności.

Szczególnie istotne jest to, że – zgodnie z NIS 2 – regulacjami zostanie objęta również wybrana działalność produkcyjna. Nie chodzi przy tym o cały szeroko rozumiany sektor wytwórczy, lecz o określone branże, które uznano na poziomie unijnym za krytyczne dla łańcuchów dostaw.

Wreszcie, projekt obejmuje szeroko sektor podmiotów publicznych: ministerstwa, urzędy centralne, wybrane organy administracji zespolonej, ale także określone jednostki samorządu terytorialnego oraz podmioty wykonujące zadania o charakterze użyteczności publicznej, jeżeli realizują zadania publiczne z wykorzystaniem systemów informacyjnych. Odrębną kategorię stanowią podmioty finansowe, w szczególności banki i infrastruktura rynków finansowych, dla których przewidziano m.in. specjalny CSIRT sektorowy.

Można więc powiedzieć, że projekt ustawy, zgodnie z NIS 2, dotyka w praktyce większości kluczowych sektorów gospodarki i znaczącej części administracji publicznej – w tym tych branż, których funkcjonowanie warunkuje ciągłość podstawowych usług dla obywateli i przedsiębiorstw.

Samodefiniowanie się jako podmiot kluczowy lub ważny – istota i kryteria

Nowością systemową jest obowiązek tzw. samodefiniowania się. Projekt zakłada, że podmiot wykonujący działalność odpowiadającą sektorom i podsektorom wskazanym w załącznikach do ustawy będzie zobowiązany samodzielnie zbadać, czy spełnia przesłanki zaliczenia go do kategorii podmiotu kluczowego lub podmiotu ważnego. Chodzi nie tylko o prostą identyfikację branży, ale też o ocenę skali działalności i znaczenia świadczenia usług z wykorzystaniem systemów informacyjnych.

Podmiot jest co do zasady uznawany za podmiot kluczowy, jeżeli prowadzi działalność określoną w załączniku nr 1 do ustawy, natomiast za podmiot ważny – jeśli wykonuje działalność wymienioną w załączniku nr 2. Jednocześnie projekt odwołuje się do unijnych kryteriów wielkości przedsiębiorstwa, odróżniając mikro-, małych, średnich i dużych przedsiębiorców. Status podmiotu kluczowego powiązany jest co do zasady z działalnością o szczególnym znaczeniu systemowym lub dla świadczenia usług kluczowych na poziomie krajowym lub wojewódzkim, natomiast status podmiotu ważnego dotyczy głównie przedsiębiorstw o nieco mniejszej skali, ale nadal istotnych z perspektywy cyberbezpieczeństwa. W niektórych sektorach, takich jak infrastruktura cyfrowa czy energetyka jądrowa, przewidziano rozwiązania, w których wielkość przedsiębiorstwa traci znaczenie, a decydujące są charakter i waga wykonywanych zadań.

Samodefiniowanie się nie ogranicza się do oceny jednorazowej. Ustawa zakłada, że podmiot ma obowiązek dokonać wpisu do wykazu podmiotów kluczowych i ważnych w określonym terminie od chwili, gdy zacznie spełniać ustawowe kryteria. Brak wpisu nie uchyla jednak obowiązków – organ właściwy do spraw cyberbezpieczeństwa jest uprawniony do wpisania podmiotu z urzędu, wydania decyzji o uznaniu za podmiot kluczowy lub ważny i nałożenia odpowiednich obowiązków w określonym czasie, w tym obowiązku przeprowadzenia audytu bezpieczeństwa.

Nowe obowiązki organizacyjne i techniczne – czego będą musiały dopilnować przedsiębiorstwa i podmioty publiczne?

Projektowana nowelizacja wprowadza szeroki katalog obowiązków dla podmiotów kluczowych i ważnych. W centrum znajduje się system zarządzania bezpieczeństwem informacji, który musi zostać wdrożony w sposób adekwatny do ryzyka i charakteru działalności. Ustawodawca wymaga, aby podmioty w sposób ciągły identyfikowały i oceniały ryzyka dla swoich systemów informacyjnych, wdrażały odpowiednie środki techniczne i organizacyjne zapewniające poufność, integralność, dostępność i autentyczność danych, a także prowadziły dokumentację polityk oraz procedur bezpieczeństwa. Szczególny nacisk położono na bezpieczeństwo łańcucha dostaw ICT, aktualizację oprogramowania oraz bieżące reagowanie na podatności i cyberzagrożenia.

Kluczowym elementem jest także obowiązek wykrywania, klasyfikacji i zgłaszania incydentów. Podmiot będzie musiał nie tylko monitorować swoje systemy i reagować na zdarzenia wpływające na ciągłość usług, ale również zgłaszać incydenty do właściwego CSIRT oraz organu właściwego, w ściśle określonych terminach i z zachowaniem wskazanego zakresu informacji.

Projekt kładzie również nacisk na odpowiedzialność kierownictwa. Osoby zarządzające podmiotem muszą nie tylko formalnie zatwierdzić przyjęty system zarządzania bezpieczeństwem informacji, lecz także zapewnić środki do jego wdrożenia i utrzymania. Ustawa przewiduje obowiązek cyklicznych szkoleń dla kadry kierowniczej oraz możliwość nałożenia indywidualnych środków nadzorczych w razie rażącego naruszenia obowiązków wynikających z ustawy.

Istotną rolę przypisano audytom bezpieczeństwa – w szczególności w odniesieniu do podmiotów kluczowych, które w założeniu mają podlegać regularnym, zewnętrznym audytom oceniającym skuteczność przyjętych środków bezpieczeństwa. Wyniki audytu staną się jednym z podstawowych narzędzi organów nadzorczych przy ocenie zgodności funkcjonowania podmiotu z wymaganiami ustawy.

W praktyce oznacza to, że przedsiębiorstwa i podmioty publiczne z branż objętych regulacją będą musiały nie tylko dostosować swoje systemy techniczne, lecz także uporządkować struktury organizacyjne, zaktualizować umowy z dostawcami oraz przeprowadzić szeroko zakrojone szkolenia pracowników.

Podsumowanie

NIS 2 oraz projektowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa w istotny sposób zmieniają pejzaż regulacyjny w obszarze bezpieczeństwa systemów informacyjnych. Regulacją objęte zostaną liczne branże – w szczególności energia, transport, zdrowie, infrastruktura cyfrowa, zaopatrzenie w wodę, gospodarka odpadami, usługi cyfrowe, sektor finansowy i szeroko rozumiane podmioty publiczne – czyli te, których funkcjonowanie ma bezpośrednie przełożenie na bezpieczeństwo państwa i obywateli.

Obowiązek samodefiniowania się oraz samoistne powstanie obowiązków po spełnieniu kryteriów ustawowych powodują, że przedsiębiorcy i jednostki sektora publicznego nie mogą biernie oczekiwać na decyzję organu. Konieczne jest przeprowadzenie rzetelnej analizy własnej sytuacji prawnej i faktycznej, a następnie zaplanowanie i wdrożenie niezbędnych działań dostosowawczych.

Z perspektywy praktyki oznacza to, że już na etapie trwających prac sejmowych warto rozpocząć wewnętrzne przygotowania: zmapować systemy informacyjne, przeanalizować powiązania z łańcuchem dostaw, określić odpowiedzialności i kompetencje w organizacji oraz opracować plan dojścia do zgodności z nowymi wymogami. Dzięki temu wejście w życie ustawy będzie – w miarę możliwości – procesem kontrolowanym, a nie kryzysowym reagowaniem na nowe obowiązki w ostatniej chwili.