GrantThornton - regiony
  • en
  • de
    • GrantThornton - regiony

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com
      1. Strona główna
      2. Artykuły
      3. Kiedy w Polsce wchodzi w życie NIS2?

      Kiedy w Polsce wchodzi w życie NIS2?

      Usługi

      12.11.2025

      Dyrektywa NIS2 formalnie weszła w życie w Unii Europejskiej 16 stycznia 2023 r., a państwa członkowskie miały czas na jej implementację do prawa krajowego do 17 października 2024 r., w Polsce ten proces uległ opóźnieniu. Choć konkretna data wejścia w życie nowej ustawy w Polsce nie jest jeszcze pewna i ulega zmianom w planach legislacyjnych, szacuje się, że nastąpi to pod koniec 2025 roku lub na początku 2026 roku.

      Spis treści

      NIS2 – od kiedy w Polsce? Aktualny stan prac legislacyjnych

      W Polsce, wdrożenie Dyrektywy NIS2 (poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa – KSC) wciąż trwa i ulega opóźnieniom. Pomimo, że ostateczny termin transpozycji minął 17 października 2024 roku, polski proces legislacyjny jest obecnie w zaawansowanej, ale nieukończonej fazie.

      Projekt ustawy został skierowany do dalszych prac w Sejmie RP.

      Wicepremier i Minister Cyfryzacji Krzysztof Gawkowski wyraził determinację, aby proces w parlamencie zakończył się do końca 2025 roku. Jeśli tak się stanie, ustawa wejdzie w życie po upływie vacatio legis (okres przejściowy, prawdopodobnie 3 lub 6 miesięcy) – co wskazuje na pierwszą połowę 2026 roku jako najbardziej prawdopodobny termin.

      Google news

      Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

      Usługi

      NIS2 – zwiększenie odporności na cyberataki

      Wiele firm postrzega NIS2 jako kolejny biurokratyczny obowiązek. Tymczasem sedno Dyrektywy leży w podniesieniu ogólnego poziomu cyberbezpieczeństwa w kluczowych sektorach gospodarki. W obliczu rosnącej liczby i zaawansowania ataków typu ransomware, phishing czy ataków na łańcuch dostaw, wymogi NIS2 stanowią sprawdzoną ramę obronną.

      Główne korzyści z wczesnego wdrożenia:

      • Identyfikacja i Łagodzenie Ryzyk: Obowiązkowa analiza ryzyka pozwala na wykrycie i zaadresowanie słabych punktów, zanim zostaną one wykorzystane przez cyberprzestępców.
      • Wzmocniona Ciągłość Działania: Wdrożenie procedur Business Continuity i zarządzania kryzysowego zapewnia, że organizacja przetrwa poważny incydent bez paraliżu.
      • Bezpieczny Łańcuch Dostaw: Wymóg audytowania i zabezpieczania relacji z dostawcami (supply chain security) chroni przed włamaniami przez słabsze ogniwa partnerów biznesowych.

      NIS-2 – czy moja firma podlega? [ANKIETA]

      Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.

      1

      Informacje o Twoim biznesie

      2

      Kwestionariusz

      3

      Wynik

      Czy Twoja firma operuje w jednym z poniższych sektorów?

      • Energia
      • Transport
      • Bankowość i infrastruktura rynków finansowych
      • Ochrona zdrowia
      • Zaopatrzenie w wodę pitną i jej dystrybucja
      • Infrastruktura cyfrowa
      • Zarządzanie usługami ICT
      • Przestrzeń kosmiczna
      • Produkcja, wytwarzanie i dystrybucja chemikaliów
      • Produkcja, przetwarzanie i dystrybucja żywności
      • Inna produkcja
      • Usługi pocztowe
      • Gospodarowanie odpadami
      • Dostawcy usług cyfrowych
      • Badania naukowe
      • dostawca usług DNS
      • kwalifikowany albo niekwalifikowany dostawca usług zaufania
      • Podmiot krytyczny
      • Podmiot publiczny
      • Rejestr nazw domen najwyższego poziomu (TLD)
      • przedsiębiorca komunikacji elektronicznej
      • INNE

        W szczególności:

      • Wydobywanie kopalin
      • Energia elektryczna - jako operator systemów dystrybucyjnych, przesyłowych, wytwórca lub uczestnik rynku magazynowania, agregacji, a także jako operator punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności
      • System ciepłowniczy lub chłodniczy - operator systemu ciepłowniczego lub chłodniczego
      • Ropa naftowa - jako operator ropociągu, operator instalacji służącej do produkcji, rafinacji, przetwarzania lub magazynowania i przesyłu ropy naftowej, jak również stanowiący krajową centralę zapasów ropy naftowej
      • Gaz - Jako przedsiębiorca dostarczający gaz lub operator systemu dystrybucyjnego, przesyłowego, magazynowania, LNG, jak również przedsiębiorstwo gazowe lub operator instalacji służących do rafinacji i przetwarzania gazu ziemnego; podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego na podstawie koncesji
      • Energetyka jądrowa - podmiot będący operatorem obiektu energetyki jądrowej, podmiot będący inwestorem obiektu energetyki jądrowej
      • Wodór - jako operator instalacji służących do produkcji, magazynowania i przesyłu wodoru
      • Transport lotniczy - jako przewoźnik lotniczy, Zarządzający portem lotniczym lub jako obsługujący urządzenia pomocnicze w porcie lotniczym; operator zarządzający ruchem lotniczym, który zapewnia służbę kontroli ruchu lotniczego (ATC)
      • Transport kolejowy - zarządcy infrastruktury kolejowej lub przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej
      • Transport wodny - armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, a także organy zarządzające portami, oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach, a także operatorzy systemów ruchu statków
      • Transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

        • W szczególności:

      • Instytucja kredytowa
      • operatorzy systemów obrotu
      • kontrahenci centralni (CCP)
      • SKOK
      • Biura maklerskie

        • W szczególności:

      • Podmiot leczniczy
      • Laboratoria referencyjne UE
      • podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
      • podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub ważnych w sektorze ochrona zdrowi
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne
      • Apteka ogólnodostępna
      • Hurtownia farmaceutyczna
      • dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi
      • Zbiorowe odprowadzanie ścieków Przedsiębiorstwo wodociągowo-kanalizacyjne

        • W szczególności:

      • Dostawca punktu wymiany ruchu internetowego
      • Dostawca chmury obliczeniowej
      • Dostawca usług centrum przetwarzania danych
      • Dostawca sieci dostarczania treści
      • Podmiot świadczący usługę rejestracji nazw domen
      • Dostawca usług zarządzanych
      • Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa
      • operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej
      • W szczególności przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, a także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów
      • Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem
      • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
      • produkcja komputerów, wyrobów elektronicznych i optycznych
      • produkcja urządzeń elektrycznych
      • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
      • produkcja pojazdów samochodowych, przyczep i naczep
      • produkcja pozostałego sprzętu transportowego
      • operatorzy świadczący usługi pocztowe
      • Zbieranie odpadów
      • Transport odpadów
      • Przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
      • Działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
      • Dostawy i usługi dla sektora gospodarowania odpadami
      • Zbieranie odpadów
      • dostawcy internetowych platform handlowych
      • dostawcy wyszukiwarek internetowych
      • dostawcy platform usług sieci społecznościowych
      • organizacje badawcze
      • uczelnie
      • federacje podmiotów systemu szkolnictwa wyższego i nauki
      • instytuty naukowe PAN
      • międzynarodowe instytuty naukowe
      • Centrum Łukasiewicz
      • instytuty działające w ramach Sieci Badawczej Łukasiewicz
      • Polska Akademia Umiejętności

        • W szczególności:

      • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa
      • sądy i trybunały
      • jednostki samorządu terytorialnego oraz ich związki
      • związki metropolitalne
      • jednostki budżetowe
      • samorządowe zakłady budżetowe
      • agencje wykonawcze
      • instytucje gospodarki budżetowej
      • Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego
      • uczelnie publiczne
      • Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne
      • państwowe i samorządowe instytucje kultury
      • Instytuty badawcze
      • Narodowy Bank Polski
      • Bank Gospodarstwa Krajowego
      • Urząd Dozoru Technicznego
      • Polska Agencja Żeglugi Powietrznej
      • Polskie Centrum Akredytacji
      • Urząd Komisji Nadzoru Finansowego
      • Narodowy Fundusz Zdrowia
      • Polska Agencja Prasowa
      • Państwowe Gospodarstwo Wodne Wody Polskie, o którym mowa w ustawie z dnia 20 lipca 2017 r. - Prawo wodne (Dz. U. z 2024 r. poz. 1087 i 1089)
      • Polski Fundusz Rozwoju i inne instytucje rozwoju, o których mowa w art. 2 ust. 1 pkt 1 i 3-6 ustawy z dnia 4 lipca 2019 r. o systemie instytucji rozwoju
      • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
      • Wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
      • Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych
      • Zakład Unieszkodliwiania Odpadów Promieniotwórczych z siedzibą w Otwocku-Świerku
      • Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679)

      Opowiedz nam o swoim biznesie

      • Mniej niż 50
      • Pomiędzy 50 a 250
      • Więcej niż 250
      • Mniej niż 10 mln Euro
      • Pomiędzy 10 a 50 mln Euro
      • Powyżej 50 mln Euro

      Twój wynik:

      Twoje odpowiedzi
      Wielkość firmy 0 - 10 pracowników Zmień

      Adam Woźniak

      Partner

      Skontaktuj się z Adam Woźniak, by skonsultować swój wynik.

      *Zgoda obowiązkowa
      Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej.
      Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo
      Dowiedz się więcej

      4 kluczowe etapy przygotowań do NIS2

       Dostosowanie się do nowych regulacji nie jest czynnością, którą można zrealizować w ciągu kilku tygodni. Jest to kompleksowy projekt organizacyjny i technologiczny, wymagający zaangażowania kadry zarządzającej i zasobów IT.

      1  Analiza zakresu i ryzyka:

      • Ustalenie, czy firma jest Podmiotem Kluczowym (Essential) czy Ważnym (Important).
      • Przeprowadzenie kompleksowej analizy ryzyka (Gap Analysis) na podstawie szczegółowych wymogów NIS2.
      • Implementacja procesu analizy ryzyka opartego o wymagania NIS2

      2  Opracowanie i wdrożenie polityk:

      • Stworzenie, aktualizacja lub wdrożenie nowych polityk bezpieczeństwa (np. zarządzanie incydentami, kontrola dostępu, BCP/DR).
      • Dostosowanie istniejących procesów do wymagań ustawy

      3 Dokumentacja i technologia:

      • Opracowanie kompletnej i aktualnej dokumentacji (np. procedury, rejestry incydentów).
      • Wdrożenie systemów monitorujących i ochronnych w celu spełnienia wymogów bezpieczeństwa technicznego.
      • Wdrożenie niezbędnej, wynikającej z wymogów technologii

      4  Szkolenia pracowników:

      • Przeprowadzenie obowiązkowych i regularnych szkoleń
      • Szkolenia z zakresu szybkiego zgłaszania incydentów zgodnie z nowym, rygorystycznym, 24-godzinnym terminem powiadomienia wstępnego.

      Nie czekaj na ostatnią chwilę. Już dziś skontaktuj się z naszym ekspertem w obszarze zarządzania ryzykiem i bezpieczeństwem informacji! Adam Woźniak tel. 600 805 785, adam.wozniak@pl.gt.com

      Choć polska implementacja NIS2 wciąż jest w toku, nie warto czekać na ostatnią chwilę. Każdy miesiąc to okazja, by przygotować organizację na nadchodzące obowiązki i jednocześnie realnie zwiększyć jej bezpieczeństwo. Wdrożenie odpowiednich procesów już dziś pozwoli uniknąć chaosu i kar jutro – a przede wszystkim wzmocni odporność Twojej firmy na cyberzagrożenia.

      Czytaj więcej:

      AUTORKA: Paulina Wójcik, Specjalistka ds. sprzedaży, Outsourcing IT

      Zobacz wideo:

      Porozmawiajmy o Twoich wyzwaniach

      Świadczymy usługi w zakresie Cyberbezpieczeństwo

      Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

      Pole zawiera niedozwolone znaki

      Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Skontaktuj się Poproś o kontakt

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Poproś o kontakt

      Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

      Artykuły z kategorii: Cyberbezpieczeństwo i outsourcing IT

      Zobacz wszystkie

      Newsletter

      Subskrybuj specjalny newsletter, aby otrzymywać informacje o wszystkich najnowszych wpisach na blogu Grant Thornton!

      Najczęściej czytane

      Zobacz wszystkie
      Powered by  Zgodności ciasteczek z RODO
      Informacja o ciasteczkach

      1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

      2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

      3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

      4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

      3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

      Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.