NIS2 w Polsce KSC 2.0 – nowe fundamenty cyberbezpieczeństwa

Dyrektywa NIS2, przyjęta w 2022 roku, stała się fundamentem unijnej polityki wzmacniania cyberodporności i bezpieczeństwa sieci. Polska implementuje jej przepisy poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, znaną jako KSC 2.0. Wraz ze zbliżającym się terminem pełnego wdrożenia w 2025 roku coraz częściej pojawia się pytanie, kogo dotyczy NIS2 w 2025 roku i jakie konkretne obowiązki nakłada na przedsiębiorstwa.

Nowe regulacje obejmują szeroki katalog sektorów, wprowadzają jednolite wymogi zarządzania ryzykiem i precyzyjne procedury reagowania na incydenty. Dla spółek oznacza to konieczność nie tylko wdrożenia polityk bezpieczeństwa, ale również rejestracji w wykazie podmiotów kluczowych lub ważnych. Proces legislacyjny jest na zaawansowanym etapie, dlatego przedsiębiorstwa powinny już dziś rozpocząć analizę swoich procesów, by przygotować się na wymogi, które zaczną obowiązywać w krótkim okresie przejściowym po wejściu ustawy w życie.

NIS2 w Polsce KSC 2.0 – Progi wielkości i kryteria kwalifikacji spółek

NIS2 obejmuje przede wszystkim przedsiębiorstwa średnie i duże, które przekraczają następujące progi:

• minimum 50 pracowników lub roczny obrót albo suma bilansowa co najmniej 10 mln euro – w przypadku podmiotów ważnych,
• 250 pracowników i 50 mln euro w przypadku podmiotów kluczowych.

Obowiązki firmy a KSC 2.0 w praktyce oznaczają konieczność przeprowadzenia samooceny i formalnego ustalenia, czy dany podmiot spełnia kryteria objęcia nowymi przepisami. Wyjątkiem są dostawcy niektórych usług cyfrowych – jak operatorzy DNS, rejestry domen najwyższego poziomu czy kwalifikowani dostawcy usług zaufania – którzy podlegają regulacjom niezależnie od wielkości. Spółki, które potwierdzą, że spełniają wymagania, muszą dokonać wpisu do rejestru podmiotów prowadzonego przez ministra właściwego do spraw informatyzacji.

NIS2 w Polsce – Branże objęte nowymi przepisami

Lista sektorów regulowanych przez NIS2 jest znacznie szersza niż w poprzedniej dyrektywie, dlatego wiele firm wciąż zadaje sobie pytanie, kogo dotyczy NIS2 w 2025 roku i czy ich działalność znajdzie się w kręgu nowych obowiązków. Regulacje obejmują kluczowe gałęzie gospodarki, których ciągłość działania ma fundamentalne znaczenie dla bezpieczeństwa państwa i społeczeństwa.

Wskazane są m.in. energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa, gospodarka wodno-ściekowa, produkcja chemikaliów, gospodarka odpadami, przemysł spożywczy oraz usługi pocztowe i kurierskie. Po raz pierwszy w tak szerokim zakresie włączono również administrację publiczną i infrastrukturę kosmiczną, co jest znaczącą nowością w polskim prawie. W praktyce oznacza to, że obowiązki przestały dotyczyć wyłącznie operatorów

Zakres obowiązków wynikających z NIS2

Po zakwalifikowaniu się jako podmiot kluczowy lub ważny, spółka musi zrozumieć, że obowiązki firmy w kontekście KSC 2.0 to nie tylko formalność, lecz cały proces budowania odporności organizacji na zagrożenia cyfrowe. Obejmuje on tworzenie i wdrażanie systemów zarządzania bezpieczeństwem informacji, analizę ryzyka, bieżące monitorowanie zagrożeń oraz stosowanie środków technicznych i organizacyjnych.

W praktyce oznacza to ustanowienie polityk bezpieczeństwa, procedur reagowania na incydenty, mechanizmów weryfikacji dostawców i planów ciągłości działania. Aby ocenić, na jakim etapie dojrzałości znajduje się organizacja, warto przeprowadzić audyt cyberbezpieczeństwa w MŚP, który wskaże luki w systemach i pomoże zaplanować priorytetowe wdrożenia. Dyrektywa wymaga także szybkiego raportowania incydentów – pierwsze powiadomienie w ciągu 24 godzin oraz szczegółowy raport w terminie 72 godzin. Nadzór nad podmiotami kluczowymi będzie prowadzony w sposób prewencyjny, z możliwością kontroli, podczas gdy podmioty ważne będą podlegały nadzorowi głównie następczemu, po zgłoszeniu incydentu.

Kary za brak zgodności i znaczenie przygotowania

System sankcji przewidziany w NIS2 jest dotkliwy i ma na celu wymuszenie realnego wdrażania wymogów bezpieczeństwa. Podmiotom kluczowym grozi kara do 10 mln euro lub 2 % globalnego rocznego obrotu, a podmiotom ważnym do 7 mln euro lub 1,4 % obrotu. W polskiej implementacji ustawy przewidziano również kary minimalne w złotówkach, obejmujące m.in. brak rejestracji w wykazie czy niewykonanie analizy ryzyka.

Dla zarządów i rad nadzorczych zlekceważenie obowiązków NIS2 może oznaczać nie tylko poważne konsekwencje finansowe, ale także odpowiedzialność osobistą. Dlatego tak istotne jest, aby przedsiębiorstwa – w szczególności sektor małych i średnich firm – jak najszybciej przeprowadziły audyt cyberbezpieczeństwa w MŚP, zidentyfikowały słabe punkty i przygotowały plan działań naprawczych. Wczesne rozpoczęcie procesu dostosowawczego pozwala zminimalizować ryzyko kar i uniknąć strat wizerunkowych w przypadku wystąpienia incydentu.