GrantThornton - regiony
  • en
  • de
    • GrantThornton - regiony

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com
      1. Strona główna
      2. Artykuły
      3. Dyrektywa NIS-2: Czym jest, kogo dotyczy i kiedy wchodzi w życie?

      Dyrektywa NIS-2: Czym jest, kogo dotyczy i kiedy wchodzi w życie?

      Usługi

      27.02.2024

      Aktualizacja: 12.11.2025

      NIS2 jest nowelizacją pierwszego europejskiego prawa dotyczycącego cyberbezpieczeństwa państw członkowskich Unii Europejskiej oraz podmiotów działających na obszarze UE, które są kluczowe dla bezpieczeństwa sieci i systemów informacyjnych.

      Dyrektywa NIS2 (Network and Information Systems Directive 2)”, dotycząca cyberbezpieczeństwa, weszła w życie 16 stycznia 2023 roku. Państwa członkowskie miały obowiązek wdrożenia jej przepisów do 17 października 2024 roku. Nowe regulacje obejmują szerszą niż dotychczas grupę organizacji i mają duże znaczenie dla podmiotów działających w przestrzeni cyfrowej – zarówno w sektorze publicznym, jak i prywatnym.

      23 kwietnia 2024 roku w Rządowym Centrum Legislacji opublikowano projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, przygotowany przez Ministerstwo Cyfryzacji w celu implementacji dyrektywy NIS2. Mimo wcześniejszych zapowiedzi, że projekt zostanie przyjęty przez rząd w trzecim kwartale 2024 roku, na listopad 2025 roku proces legislacyjny nie został jeszcze zakończony.

      Spis treści

      Rozwiń

      Czy Twoja spółka jest objęta dyrektywą NIS2?

      Dyrektywa NIS2 dotyczy średnich i dużych firm oraz instytucji z wielu sektorów, między innymi: energii, transportu, bankowości, infrastruktury rynku finansowego, ochrona zdrowia( szpitale, labolatoria, producenci leków), zaopatrzenie w wodę pitną, gospodarka ścieków, infrastruktury cyfrowej, administracji publicznej, przestrzeni kosmicznej i żywności. W niektórych przypadkach obowiązki te mogą objąć również podmioty z łańcuchów dostaw, jeśli spełniają określone kryteria.

      Podmioty objęte dyrektywą będą zobowiązane do wdrożenia odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem i reagowania na incydenty cyberbezpieczeństwa.

      Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma na celu wdrożenie do polskiego porządku prawnego przepisów unijnej Dyrektywy (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (tzw. dyrektywa NIS2).

      Jakie kary za niewdrożenie Dyrektywy NIS2? 

      Zgodnie z unijną dyrektywą NIS2, każde państwo członkowskie – w tym Polska – musi wprowadzić system sankcji za brak odpowiednich działań w zakresie cyberbezpieczeństwa. Niestosowanie się do nowych przepisów może kosztować firmę nawet 10 mln euro lub 2% światowych obrotów dla podmiotów kluczowych, co powinno wypromować zasady wprowadzane w tej dyrektywie na najwyższy priorytet. Ponadto, istnieje również odpowiedzialność finansowa i osobista kierownictwa wyższego szczebla.

      Jakie podmioty są objęte regulacją NIS2?

      Zgodnie z projektowaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), Polska wdroży wymagania wynikające z unijnej dyrektywy NIS2, obejmujące znacznie szerszy zakres sektorów niż dotychczas. Celem nowych przepisów jest wzmocnienie odporności cyfrowej podmiotów świadczących usługi istotne dla społeczeństwa i gospodarki.

      Do nowych obszarów objętych obowiązkami w zakresie cyberbezpieczeństwa należą m.in.:

      • Usługi pocztowe i kurierskie
      • Zarządzanie odpadami
      • Produkcja żywności i napojów
      • Produkcja farmaceutyczna
      • Produkcja chemiczna
      • Produkcja urządzeń medycznych
      • Transport publiczny
      • Wodociągi i kanalizacja

      Obowiązki nie będą dotyczyć wszystkich firm w tych sektorach, lecz tych, które spełnią określone kryteria, np. wielkościowe lub związane z ryzykiem dla bezpieczeństwa usług.

      Usługi

      NIS-2 – czy moja firma podlega? [ANKIETA]

      Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.

      1

      Informacje o Twoim biznesie

      2

      Kwestionariusz

      3

      Wynik

      Czy Twoja firma operuje w jednym z poniższych sektorów?

      • Energia
      • Transport
      • Bankowość i infrastruktura rynków finansowych
      • Ochrona zdrowia
      • Zaopatrzenie w wodę pitną i jej dystrybucja
      • Infrastruktura cyfrowa
      • Zarządzanie usługami ICT
      • Przestrzeń kosmiczna
      • Produkcja, wytwarzanie i dystrybucja chemikaliów
      • Produkcja, przetwarzanie i dystrybucja żywności
      • Inna produkcja
      • Usługi pocztowe
      • Gospodarowanie odpadami
      • Dostawcy usług cyfrowych
      • Badania naukowe
      • dostawca usług DNS
      • kwalifikowany albo niekwalifikowany dostawca usług zaufania
      • Podmiot krytyczny
      • Podmiot publiczny
      • Rejestr nazw domen najwyższego poziomu (TLD)
      • przedsiębiorca komunikacji elektronicznej
      • INNE

        W szczególności:

      • Wydobywanie kopalin
      • Energia elektryczna - jako operator systemów dystrybucyjnych, przesyłowych, wytwórca lub uczestnik rynku magazynowania, agregacji, a także jako operator punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności
      • System ciepłowniczy lub chłodniczy - operator systemu ciepłowniczego lub chłodniczego
      • Ropa naftowa - jako operator ropociągu, operator instalacji służącej do produkcji, rafinacji, przetwarzania lub magazynowania i przesyłu ropy naftowej, jak również stanowiący krajową centralę zapasów ropy naftowej
      • Gaz - Jako przedsiębiorca dostarczający gaz lub operator systemu dystrybucyjnego, przesyłowego, magazynowania, LNG, jak również przedsiębiorstwo gazowe lub operator instalacji służących do rafinacji i przetwarzania gazu ziemnego; podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego na podstawie koncesji
      • Energetyka jądrowa - podmiot będący operatorem obiektu energetyki jądrowej, podmiot będący inwestorem obiektu energetyki jądrowej
      • Wodór - jako operator instalacji służących do produkcji, magazynowania i przesyłu wodoru
      • Transport lotniczy - jako przewoźnik lotniczy, Zarządzający portem lotniczym lub jako obsługujący urządzenia pomocnicze w porcie lotniczym; operator zarządzający ruchem lotniczym, który zapewnia służbę kontroli ruchu lotniczego (ATC)
      • Transport kolejowy - zarządcy infrastruktury kolejowej lub przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej
      • Transport wodny - armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, a także organy zarządzające portami, oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach, a także operatorzy systemów ruchu statków
      • Transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

        • W szczególności:

      • Instytucja kredytowa
      • operatorzy systemów obrotu
      • kontrahenci centralni (CCP)
      • SKOK
      • Biura maklerskie

        • W szczególności:

      • Podmiot leczniczy
      • Laboratoria referencyjne UE
      • podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
      • podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub ważnych w sektorze ochrona zdrowi
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne
      • Apteka ogólnodostępna
      • Hurtownia farmaceutyczna
      • dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi
      • Zbiorowe odprowadzanie ścieków Przedsiębiorstwo wodociągowo-kanalizacyjne

        • W szczególności:

      • Dostawca punktu wymiany ruchu internetowego
      • Dostawca chmury obliczeniowej
      • Dostawca usług centrum przetwarzania danych
      • Dostawca sieci dostarczania treści
      • Podmiot świadczący usługę rejestracji nazw domen
      • Dostawca usług zarządzanych
      • Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa
      • operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej
      • W szczególności przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, a także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów
      • Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem
      • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
      • produkcja komputerów, wyrobów elektronicznych i optycznych
      • produkcja urządzeń elektrycznych
      • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
      • produkcja pojazdów samochodowych, przyczep i naczep
      • produkcja pozostałego sprzętu transportowego
      • operatorzy świadczący usługi pocztowe
      • Zbieranie odpadów
      • Transport odpadów
      • Przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
      • Działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
      • Dostawy i usługi dla sektora gospodarowania odpadami
      • Zbieranie odpadów
      • dostawcy internetowych platform handlowych
      • dostawcy wyszukiwarek internetowych
      • dostawcy platform usług sieci społecznościowych
      • organizacje badawcze
      • uczelnie
      • federacje podmiotów systemu szkolnictwa wyższego i nauki
      • instytuty naukowe PAN
      • międzynarodowe instytuty naukowe
      • Centrum Łukasiewicz
      • instytuty działające w ramach Sieci Badawczej Łukasiewicz
      • Polska Akademia Umiejętności

        • W szczególności:

      • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa
      • sądy i trybunały
      • jednostki samorządu terytorialnego oraz ich związki
      • związki metropolitalne
      • jednostki budżetowe
      • samorządowe zakłady budżetowe
      • agencje wykonawcze
      • instytucje gospodarki budżetowej
      • Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego
      • uczelnie publiczne
      • Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne
      • państwowe i samorządowe instytucje kultury
      • Instytuty badawcze
      • Narodowy Bank Polski
      • Bank Gospodarstwa Krajowego
      • Urząd Dozoru Technicznego
      • Polska Agencja Żeglugi Powietrznej
      • Polskie Centrum Akredytacji
      • Urząd Komisji Nadzoru Finansowego
      • Narodowy Fundusz Zdrowia
      • Polska Agencja Prasowa
      • Państwowe Gospodarstwo Wodne Wody Polskie, o którym mowa w ustawie z dnia 20 lipca 2017 r. - Prawo wodne (Dz. U. z 2024 r. poz. 1087 i 1089)
      • Polski Fundusz Rozwoju i inne instytucje rozwoju, o których mowa w art. 2 ust. 1 pkt 1 i 3-6 ustawy z dnia 4 lipca 2019 r. o systemie instytucji rozwoju
      • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
      • Wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
      • Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych
      • Zakład Unieszkodliwiania Odpadów Promieniotwórczych z siedzibą w Otwocku-Świerku
      • Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679)

      Opowiedz nam o swoim biznesie

      • Mniej niż 50
      • Pomiędzy 50 a 250
      • Więcej niż 250
      • Mniej niż 10 mln Euro
      • Pomiędzy 10 a 50 mln Euro
      • Powyżej 50 mln Euro

      Twój wynik:

      Twoje odpowiedzi
      Wielkość firmy 0 - 10 pracowników Zmień

      Adam Woźniak

      Partner

      Skontaktuj się z Adam Woźniak, by skonsultować swój wynik.

      *Zgoda obowiązkowa
      Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej.
      Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo i outsourcing IT
      Dowiedz się więcej

      Rozwój systemów zgodnych z dyrektywą NIS2

      Dyrektywa NIS2 wprowadza obowiązek wdrażania kompleksowych środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa oraz obowiązek zgłaszania incydentów, które mają istotny wpływ na świadczenie usług. Organizacje będą musiały opracować i utrzymywać systemy umożliwiające skuteczne wykrywanie, analizowanie i raportowanie takich incydentów do odpowiednich organów krajowych – w tym raportowanie w ciągu 24 godzin od ich wykrycia.

      Wymagania obejmą m.in.: obsługę podatności, zarządzanie łatkami bezpieczeństwa, testy penetracyjne, szyfrowanie danych, uwierzytelnianie wieloskładnikowe i dokumentowanie polityk bezpieczeństwa. Kadra zarządzająca będzie odpowiedzialna za nadzorowanie i zatwierdzanie działań w zakresie cyberbezpieczeństwa oraz zapewnienie zgodności z wymogami.

      Jak dostosować firmę do wdrożenia NIS2?

      W związku z obowiązywaniem unijnej dyrektywy NIS2 i trwającym procesem jej wdrażania do polskiego prawa, organizacje powinny już być na zaawansowanym etapie dostosowywania swoich systemów i procedur. Mimo to, wiele firm nadal nie identyfikuje się jako podmioty objęte regulacją. Według [nazwa badania/firma badawcza], 25% przedsiębiorstw nie jest świadomych, że NIS2 ich dotyczy, a tylko 38% planuje uruchomić dedykowany projekt wdrożeniowy.

      Główne bariery we wdrażaniu to niedobór wykwalifikowanych specjalistów w zakresie cyberbezpieczeństwa (45%) oraz niewystarczający budżet (28%).

      Warto zauważyć, że wiele organizacji jeszcze nie zdaje sobie sprawy z tego, że dyrektywa NIS2 ich dotyczy oraz nie wszystkie traktują te regulacje jako priorytet.

      Świadomość regulacyjna będzie rosnąć wraz z aktywnością firm, które jako pierwsze wdrożą systemy zgodne z NIS2 i zaczną wymagać odpowiednich standardów od partnerów biznesowych i dostawców. Choć bodźcem do zmian są przepisy prawa, w praktyce wymogi te będą coraz częściej egzekwowane przez rynek. Dlatego organizacje powinny już teraz priorytetowo traktować rozwój systemów zarządzania cyberbezpieczeństwem oraz rozpocząć ich testowanie i integrację z procesami wewnętrznymi.

      Czytaj więcej:

      AUTORKA: Paulina Wójcik, Specjalistka ds. sprzedaży, Outsourcing IT

      Zobacz wideo:

      Porozmawiajmy o Twoich wyzwaniach

      Świadczymy usługi w zakresie Cyberbezpieczeństwo

      Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

      Pole zawiera niedozwolone znaki

      Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Skontaktuj się Poproś o kontakt

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Poproś o kontakt

      Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

      Artykuły z kategorii: Cyberbezpieczeństwo i outsourcing IT

      Zobacz wszystkie

      Newsletter

      Subskrybuj specjalny newsletter, aby otrzymywać informacje o wszystkich najnowszych wpisach na blogu Grant Thornton!

      Najczęściej czytane

      Zobacz wszystkie
      Powered by  Zgodności ciasteczek z RODO
      Informacja o ciasteczkach

      1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

      2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

      3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

      4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

      3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

      Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.