Kogo dotyczy NIS2?

PrzezMichał Świnoga
Kogo dotyczy NIS2?

Wg raportu ESET z 2025 aż 36% ekspertów cyberbezpieczeństwa nie jest pewnych, czy ich firma będzie objęta dyrektywą NIS2. Warto jednak podkreślić, że NIS2 może też dotyczyć podmiotów, które z takimi ekspertami na stałe nawet nie współpracują, szczególnie że o ile NIS1 dotyczył około 400-500 podmiotów w Polsce, w przypadku NIS2 liczba ta może wzrosnąć do ponad 200 000. Ten drastyczny wzrost powodowany jest z jednej strony znaczącym rozszerzeniem listy sektorów, z drugiej naciskiem na kontrolę łańcucha dostaw.

Sektory

W NIS2 sektory podzielone zostały na kluczowe i ważne. Wymagania w obu tych grupach są identyczne, różni się natomiast stopień audytu i monitorowania oraz karami. Względem NIS1 wprowadzono nowe sektory kluczowe:

  • administracja publiczna,
  • przestrzeń kosmiczna,
  • zaopatrzenie w wodę pitną oraz ścieki.

Sektory ważne to natomiast:

  • usługi pocztowe i kurierskie,
  • gospodarka odpadami,
  • produkcja i dystrybucja chemikaliów,
  • produkcja i przetwórstwo żywności,
  • produkcja urządzeń medycznych,
  • przemysł motoryzacyjny (w tym produkcja pojazdów i części),
  • usługi cyfrowe (takie jak media społecznościowe, chmura obliczeniowa, wyszukiwarki internetowe)
  • sektor badawczo-rozwojowy.

Podmioty same są odpowiedzialne za zaklasyfikowanie do tych kategorii, co najłatwiej można zrobić korzystając z kodów PKD. Warto jednak podkreślić, że kraje członkowskie mogą wskazać dany podmiot jako krytyczny również w innych przypadkach, na przykład gdy usługa jest unikalna w skali państwa.

Skala

Dyrektywa obowiązywać będzie bezpośrednio podmioty które zatrudniają ponad 50 pracowników (wliczają się w to bezpośredni kontraktorzy, ale nie pracownicy zatrudnieni poprzez agencje pracy) oraz mające roczny obrót ponad 10 mln euro. Dyrektywą mogą być objęte też mniejsze podmioty, o ile zostaną wskazane na poziomie krajowym, lub są związane z sektorem usług cyfrowych:

  • dostawcy usług TLD (top level domain)
  • dostawcy usług DNS (domain name server)
  • dostawcy kwalifikowanych usług zaufania
  • dostawcy publicznych sieci łączności elektronicznej

Łańcuch dostaw

Jedną z najważniejszych zmian w NIS2 jest objęcie dyrektywą nie tylko samych podmiotów sektorów kluczowych, lecz także całego łańcucha dostaw, a więc firm świadczących usługi i podwykonawców. W NIS1 aspekt ten był potraktowany ogólnikowo, natomiast NIS2 szczegółowo wskazuje również na konieczność oceny ryzyka u dostawców i partnerów.

Szacuje się, że bezpośrednio dyrektywą NIS2 zostanie objęte około 40 – 45 tys. podmiotów w Polsce, natomiast trudno oszacować skalę biorąc pod uwagę łańcuchy dostaw.

Kary

O ile NIS1 nie wskazywał konkretnych kar za niedopatrzenia, NIS2 definiuje już konkretne wartości zależenie od sektora:

  • do 10 mln € lub 2% globalnego obrotu dla podmiotów kluczowych,
  • do 7 mln € lub 1,4% obrotu dla podmiotów ważnych

Co więcej, przewidziana jest też osobista odpowiedzialność zarządu, co może skończyć się zakazem zajmowania stanowisk kierowniczych, a nawet odpowiedzialnością karną w przypadku rażących zaniedbań.

W dalszych artykułach dowiesz się czego dokładnie wymagają przepisy w zakresie bezpieczeństwa, zarządzania ryzykiem, monitoringu, raportowania i reagowania na incydenty.