GrantThornton - regiony
  • en
    • GrantThornton - regiony

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com
      1. Strona główna
      2. Artykuły
      3. Obowiązki sektora chemicznego w kontekście NIS2

      Obowiązki sektora chemicznego w kontekście NIS2

      Skontaktuj się
      Magdalena Bilicka

      Counsel, Radca Prawny

      Specjalizacje

      Usługi

      07.05.2025

      Aktualizacja: 31.03.2026

      Czy dystrybutorzy chemikaliów podlegają NIS2? Unia Europejska w 2022 roku przyjęła Dyrektywę NIS2, której celem jest znaczne wzmocnienie poziomu cyberbezpieczeństwa w całej Wspólnocie. Dyrektywa nakłada szereg nowych obowiązków na różne grupy podmiotów, w tym przedsiębiorstwa z wyjątkowo szeroko rozumianego sektora chemicznego.

      Spis treści

      Od kiedy obowiązuje NIS2 i jakie terminy mają przedsiębiorcy?

      Dyrektywa NIS2 (a właściwie: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) ma na celu ustanowienie wysokiego poziomu cyberbezpieczeństwa w państwach członkowskich. Warto podkreślić, że jej postanowienia nie mają charakteru bezpośrednio obowiązującego, a jedynie zobowiązują państwa członkowskie do wdrożenia odpowiednich regulacji krajowych.

      W Polsce implementacja Dyrektywy NIS2 została przeprowadzona poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej: „Ustawa o KSC”). To przepisy tej ustawy będą obowiązywały polskie podmioty, a nie sama dyrektywa jako akt prawny. Przepisy znowelizowanej Ustawy o KSC wchodzą w życie 3 kwietnia 2026 r.

      Zgodnie z obecnym projektem nowelizacji, przedsiębiorcy objęci zakresem regulacji będą mieli dwanaście miesięcy na wdrożenie wymaganych działań w zakresie cyberbezpieczeństwa od dnia wejścia w życie nowych przepisów. Natomiast w ciągu sześciu miesięcy od tego momentu konieczne będzie dokonanie zgłoszenia do wykazu podmiotów kluczowych i ważnych. Warto podkreślić, że Ustawa o KSC przewiduje zasadę samoidentyfikacji – każdy przedsiębiorca będzie musiał samodzielnie ocenić, czy spełnia kryteria objęcia przepisami.

      Usługi

      Google news

      Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

      Czy producenci i dystrybutorzy chemikaliów podlegają NIS2?

      Przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, o których mowa w art. 3 pkt 9 i 14 rozporządzenia (WE) nr 1907/2006 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2006 r. w sprawie rejestracji, oceny, udzielania zezwoleń i stosowanych ograniczeń w zakresie chemikaliów (REACH) i utworzenia Europejskiej Agencji Chemikaliów, zmieniające dyrektywę 1999/45/WE oraz uchylające rozporządzenie Rady (EWG) nr 793/93 i rozporządzenie Komisji (WE) nr 1488/94, jak również dyrektywę Rady 76/769/EWG i dyrektywy Komisji 91/155/EWG, 93/67/EWG, 93/105/WE i 2000/21/WE (Dz. Urz. UE L 396 z 30.12.2006, str.1, z późn. zm.) (dalej zwane: „REACH”) oraz przedsiębiorstwa zajmujące się wytwarzaniem z substancji mieszanin wyrobów o których mowa w art. 3 pkt 3 rozporządzenia REACH zostały przez projekt nowelizacji Ustawy o KSC oraz samą Dyrektywę NIS2 uznane za sektor ważny.

      Oznacza to, że podmioty działające w powyższym sektorze podlegają nowym regulacjom jeśli są co najmniej przedsiębiorstwem średnim w rozumieniu art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.7.

      Przedsiębiorca jest przedsiębiorcą średnim, jeśli

      • zatrudnia więcej niż 50 osób (przez zatrudnionych należy rozumieć osoby na umowach o pracę, ale również umowy zatrudnione na podstawie umów cywilnoprawnych) lub
      • ma obrót lub całkowity bilans roczny nieprzekraczający 10 mln EUR,

      przy czym wystarczy spełnianie jednej z powyższych przesłanek.

      Wynika to z tego, że przedsiębiorca mały musi jednocześnie spełnić dwa warunki: zatrudniać mniej niż 50 osób i nie przekraczać rocznego obrotu lub bilansu rocznego 10 mln EUR. Jeśli przedsiębiorca nie spełnia choć jednego z powyższych warunków, jest podmiotem co najmniej średnim.

      NIS-2 – czy moja firma podlega? [ANKIETA]

      Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.

      1

      Informacje o Twoim biznesie

      2

      Kwestionariusz

      3

      Wynik

      Czy Twoja firma operuje w jednym z poniższych sektorów?

      • Energia
      • Transport
      • Bankowość i infrastruktura rynków finansowych
      • Ochrona zdrowia
      • Zaopatrzenie w wodę pitną i jej dystrybucja
      • Infrastruktura cyfrowa
      • Zarządzanie usługami ICT
      • Przestrzeń kosmiczna
      • Produkcja, wytwarzanie i dystrybucja chemikaliów
      • Produkcja, przetwarzanie i dystrybucja żywności
      • Inna produkcja
      • Usługi pocztowe
      • Gospodarowanie odpadami
      • Dostawcy usług cyfrowych
      • Badania naukowe
      • dostawca usług DNS
      • kwalifikowany albo niekwalifikowany dostawca usług zaufania
      • Podmiot krytyczny
      • Podmiot publiczny
      • Rejestr nazw domen najwyższego poziomu (TLD)
      • przedsiębiorca komunikacji elektronicznej
      • INNE

        W szczególności:

      • Wydobywanie kopalin
      • Energia elektryczna - jako operator systemów dystrybucyjnych, przesyłowych, wytwórca lub uczestnik rynku magazynowania, agregacji, a także jako operator punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności
      • System ciepłowniczy lub chłodniczy - operator systemu ciepłowniczego lub chłodniczego
      • Ropa naftowa - jako operator ropociągu, operator instalacji służącej do produkcji, rafinacji, przetwarzania lub magazynowania i przesyłu ropy naftowej, jak również stanowiący krajową centralę zapasów ropy naftowej
      • Gaz - Jako przedsiębiorca dostarczający gaz lub operator systemu dystrybucyjnego, przesyłowego, magazynowania, LNG, jak również przedsiębiorstwo gazowe lub operator instalacji służących do rafinacji i przetwarzania gazu ziemnego; podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego na podstawie koncesji
      • Energetyka jądrowa - podmiot będący operatorem obiektu energetyki jądrowej, podmiot będący inwestorem obiektu energetyki jądrowej
      • Wodór - jako operator instalacji służących do produkcji, magazynowania i przesyłu wodoru
      • Transport lotniczy - jako przewoźnik lotniczy, Zarządzający portem lotniczym lub jako obsługujący urządzenia pomocnicze w porcie lotniczym; operator zarządzający ruchem lotniczym, który zapewnia służbę kontroli ruchu lotniczego (ATC)
      • Transport kolejowy - zarządcy infrastruktury kolejowej lub przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej
      • Transport wodny - armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, a także organy zarządzające portami, oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach, a także operatorzy systemów ruchu statków
      • Transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

        • W szczególności:

      • Instytucja kredytowa
      • operatorzy systemów obrotu
      • kontrahenci centralni (CCP)
      • SKOK
      • Biura maklerskie

        • W szczególności:

      • Podmiot leczniczy
      • Laboratoria referencyjne UE
      • podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
      • podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub ważnych w sektorze ochrona zdrowi
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne
      • Apteka ogólnodostępna
      • Hurtownia farmaceutyczna
      • dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi
      • Zbiorowe odprowadzanie ścieków Przedsiębiorstwo wodociągowo-kanalizacyjne

        • W szczególności:

      • Dostawca punktu wymiany ruchu internetowego
      • Dostawca chmury obliczeniowej
      • Dostawca usług centrum przetwarzania danych
      • Dostawca sieci dostarczania treści
      • Podmiot świadczący usługę rejestracji nazw domen
      • Dostawca usług zarządzanych
      • Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa
      • operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej
      • W szczególności przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, a także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów
      • Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem
      • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
      • produkcja komputerów, wyrobów elektronicznych i optycznych
      • produkcja urządzeń elektrycznych
      • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
      • produkcja pojazdów samochodowych, przyczep i naczep
      • produkcja pozostałego sprzętu transportowego
      • operatorzy świadczący usługi pocztowe
      • Zbieranie odpadów
      • Transport odpadów
      • Przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
      • Działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
      • Dostawy i usługi dla sektora gospodarowania odpadami
      • Zbieranie odpadów
      • dostawcy internetowych platform handlowych
      • dostawcy wyszukiwarek internetowych
      • dostawcy platform usług sieci społecznościowych
      • organizacje badawcze
      • uczelnie
      • federacje podmiotów systemu szkolnictwa wyższego i nauki
      • instytuty naukowe PAN
      • międzynarodowe instytuty naukowe
      • Centrum Łukasiewicz
      • instytuty działające w ramach Sieci Badawczej Łukasiewicz
      • Polska Akademia Umiejętności

        • W szczególności:

      • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa
      • sądy i trybunały
      • jednostki samorządu terytorialnego oraz ich związki
      • związki metropolitalne
      • jednostki budżetowe
      • samorządowe zakłady budżetowe
      • agencje wykonawcze
      • instytucje gospodarki budżetowej
      • Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego
      • uczelnie publiczne
      • Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne
      • państwowe i samorządowe instytucje kultury
      • Instytuty badawcze
      • Narodowy Bank Polski
      • Bank Gospodarstwa Krajowego
      • Urząd Dozoru Technicznego
      • Polska Agencja Żeglugi Powietrznej
      • Polskie Centrum Akredytacji
      • Urząd Komisji Nadzoru Finansowego
      • Narodowy Fundusz Zdrowia
      • Polska Agencja Prasowa
      • Państwowe Gospodarstwo Wodne Wody Polskie, o którym mowa w ustawie z dnia 20 lipca 2017 r. - Prawo wodne (Dz. U. z 2024 r. poz. 1087 i 1089)
      • Polski Fundusz Rozwoju i inne instytucje rozwoju, o których mowa w art. 2 ust. 1 pkt 1 i 3-6 ustawy z dnia 4 lipca 2019 r. o systemie instytucji rozwoju
      • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
      • Wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
      • Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych
      • Zakład Unieszkodliwiania Odpadów Promieniotwórczych z siedzibą w Otwocku-Świerku
      • Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679)

      Opowiedz nam o swoim biznesie

      • Mniej niż 50
      • Pomiędzy 50 a 250
      • Więcej niż 250
      • Mniej niż 10 mln Euro
      • Pomiędzy 10 a 50 mln Euro
      • Powyżej 50 mln Euro

      Twój wynik:

      Twoje odpowiedzi
      Wielkość firmy 0 - 10 pracowników Zmień

      Adam Woźniak

      Partner

      Skontaktuj się z Adam Woźniak, by skonsultować swój wynik.

      *Zgoda obowiązkowa
      Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej.

      Czy każdy dystrybutor farb musi stosować NIS2?

      Aby móc jednoznacznie ustalić, czy dany podmiot podlega nowym regulacjom o cyberbezpieczeństwie konieczne jest przyjrzenie się poniższym definicjom wynikającym z REACH.

      • Substancja – pierwiastek chemiczny lub jego związki w stanie, w jakim występują w przyrodzie lub zostają uzyskane za pomocą procesu produkcyjnego, z wszelkimi dodatkami wymaganymi do zachowania ich trwałości oraz wszelkimi zanieczyszczeniami powstałymi w wyniku zastosowanego procesu, wyłączając rozpuszczalniki, które można oddzielić bez wpływu na stabilność i skład substancji.

      Substancjami zgodnie z tą definicją są np. barwniki i pigmenty. Przykładem substancji jest Ultramaryna (Na8-10Al6Si6O24S2-4) – niebieski pigment stosowany w farbach, kosmetykach i tworzywach sztucznych. Ultramaryna spełnia przesłanki substancji, ponieważ  jest produkowana przemysłowo i zawiera dodatki stabilizujące oraz zanieczyszczenia powstałe w procesie produkcji. Nie zawiera rozpuszczalników, które można oddzielić bez wpływu na jej stabilność i skład.

      • Mieszanina – mieszanina lub roztwór składający się z dwóch lub większej liczby substancji.

      Do mieszanin można zaliczyć farby, które składają się z różnych substancji (pigmentów, rozpuszczalników, żywic i innych dodatków), które razem tworzą produkt o określonych właściwościach, takich jak kolor, lepkość i trwałość.

      • Wyrób – przedmiot, który podczas produkcji otrzymuje określony kształt, powierzchnię, konstrukcję lub wygląd zewnętrzny, co decyduje o jego funkcji w stopniu większym niż jego skład chemiczny.

      Trzymając się przykładów z branży farb za wyrób w rozumieniu rozporządzenia REACH można uznać puszki na farbę. Puszki mają cylindryczny kształt, który jest kluczowy dla ich funkcji przechowywania i aplikacji farby. Kształt i powierzchnia są dla puszki ważniejsze dla osiągnięcia ich funkcji niż skład materiału (metal lub tworzywa sztuczne). Warto jednak zaznaczyć, że wyrobem jest wszystko, co podczas produkcji otrzymuje określony kształt, powierzchnię, konstrukcję lub wygląd, tj. np. kartka papieru, mebel, śrubka itp.

      Skorzystaj z naszych usług z zakresu: Kancelaria prawna
      Dowiedz się więcej

      Jakie podmioty z sektora chemicznego podlegają NIS2?

      Zgodnie z NIS2 oraz polskim projektem nowelizacji Ustawy o KSC zobowiązani do wprowadzenia środków przewidzianych w ustawie są:

      • Producenci substancji: Osoby fizyczne lub prawne mająca siedzibę na terenie wspólnoty, które produkują substancje na terenie wspólnoty na własny użytek lub dla innych podmiotów (również na eksport).
      • Dystrybutorzy substancji i mieszanin: Osoba fizyczny lub prawne mające siedzibę na terenie wspólnoty, które wyłącznie magazynują substancje samodzielnie lub w mieszaninie i udostępniają je na rynku stronom trzecim, w tym detalistom.
      • Przedsiębiorstwa produkujące wyroby: Firmy, które wytwarzają przedmioty o określonym kształcie, powierzchni lub wzorze podczas produkcji, które w większym stopniu determinują funkcję przedmiotu niż jego skład chemiczny.

      Opis „przedsiębiorstwo zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, o których mowa w art. 3 pkt 9 i 14 REACH budzi wątpliwości interpretacyjne. W naszej ocenie można do tego podejść na 3 następujące sposoby.

      • Ustawie podlegają podmioty, które jednocześnie zajmują się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin

      To oznaczałoby, że producenci np. farb czy lakierów (czyli mieszanin), którzy jednocześnie nie produkują substancji nie podlegaliby nowym obowiązkom. Jednocześnie również producenci substancji, którzy jednocześnie nie są ich dystrybutorami (np. produkcja substancji na użytek własny w celu produkcji z nich innych produktów) nie podlegaliby nowym obowiązkom. Wydaje się, że taka interpretacja nie odpowiada ogólnym założeniom i celom NIS2. Eliminuje ona bowiem większość podmiotów reprezentujących branżę chemiczną ze stosowania nowych przepisów.

      • Ustawie podlegają podmioty, które zajmują się produkcją substancji, a także podmioty, które zajmują się jednocześnie wytwarzaniem i dystrybucją substancji lub mieszanin

      Taka interpretacja prowadziłaby do tego, że ustawą byliby objęci wszyscy co najmniej średni producenci substancji, niezależnie od

      tego, czy dalej tę substancję dystrybuują czy nie. Jednocześnie do objęcia zakresem zastosowania ustawy niezbędne byłoby prowadzenie działalności polegającej na jednoczesnym wytwarzaniu i dystrybucji mieszanin lub substancji. Taka interpretacja wyłącza z zakresu zastosowania podmioty, które wyłącznie wytwarzają mieszaniny, podmioty które wyłącznie dystrybuują mieszaniny oraz podmioty, które wyłącznie dystrybuują substancje. Taka interpretacja wydaje się najbliższa założeniom, które przyświecały wprowadzeniu NIS2.

      • Ustawie podlegają podmioty, które zajmują się produkcją mieszanin, podmioty które zajmują się wytwarzaniem substancji lub mieszanin oraz podmioty, które zajmują się dystrybucją substancji lub mieszanin.

      Właśnie tę trzecią bardzo szeroką interpretację przyjmuje polski ustawodawca, tłumacząc w uzasadnieniu ustawy:

      „W tym przypadku sformułowanie „Przedsiębiorstwa zajmujące się produkcją substancji oraz dystrybucją substancji lub mieszanin” należy rozumieć alternatywnie, tzn. dotyczy ono przedsiębiorstw które zarówno produkują i dystrybuują substancję i mieszaniny jak również tylko te, które wyłącznie produkują albo wyłącznie dystrybuują”. Dzięki temu zostanie uchwycony łańcuch dostaw w sektorze chemicznym.”

      Oznacza to, że nowymi regulacjami objęci są zarówno producenci substancji i producenci mieszanin, jak i wszyscy dystrybutorzy mieszanin. Co za tym idzie – każdy przedsiębiorca prowadzący sklep sprzedający mieszaniny (czyli np. farby plakatowe, lakiery czy płyny do naczyń), zatrudniający więcej niż 50 osób (tj. przedsiębiorca co najmniej średni) będzie stosować NIS2.

      Kolejnym istotnym zagadnieniem jest konsekwencja objęcia NIS2 oraz projektem nowelizacji Ustawy o KSC wszystkich producentów wyrobów. O wyrobach więcej piszemy w artykule Od kartki papieru po kanapę. Czy NIS2 dotyczy prawie każdego producenta w Polsce?

      20 stycznia 2026 r. Komisja Europejska przedstawiła pakiet zmian w regulacjach cyberbezpieczeństwa. Głównym kierunkiem zmian jest doprecyzowanie przepisów, w tym również zakresu podmiotowego dyrektywy. Zmiany mają objąć w szczególności sektor chemikaliów. Celem jest zawężenie zakresu tego sektora wyłączenie do produkcji i doprecyzowanie kryteriów podlegania poprzez odesłanie do konkretnych obowiązków REACH.

      Jakie obowiązki NIS2 nakłada na sektor chemiczny?

      Zgodnie z projektem nowelizacji Ustawy o KSC, podmioty objęte regulacjami będą zobowiązane między innymi:

      • zapewnić ciągłość działania, na przykład zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego,
      • zapewnić bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
      • zapewnić bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania,
      • zapewnić polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
      • zapewnić podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
      • zapewnić polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
      • zapewnić bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
      • w stosownych przypadkach – zapewnić stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych,
      • zgłaszać osoby lub organy zarządzające w firmie, które zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie,
      • zapewnić regularny audyt bezpieczeństwa na własny koszt.

      W przypadku podmiotów ważnych, wysokość kary pieniężnej za niestosowanie nowych przepisów wynosi nie mniej niż 15 tys. zł i nie może przekroczyć 7 mln EUR. Karą pieniężną może zostać obciążony także kierownik jednostki (członek zarządu czy wspólnik).

      NIS2 traktuje branżę chemiczną bardzo szeroko. Na szczególną uwagę zasługuje fakt, że nowymi regulacjami objęci będą m.in. wszyscy dystrybutorzy mieszanin (np. farb). O tym, że tak szeroki zakres nie w pełni odpowiada pierwotnym założeniom unijnego ustawodawcy, świadczy fakt, że na poziomie Unii Europejskiej trwają obecnie prace nad ograniczeniem zakresu stosowania przepisów do podmiotów faktycznie działających w branży chemicznej w jej powszechnym rozumieniu.

      AUTORZY: Witold Chruszcz oraz Magdalena Bilicka, Kancelaria Prawna Grant Thornton

      Czytaj więcej o NIS2:

      Sektor chemiczny a NIS2 – ważne pytania

      Czy sektor chemiczny podlega NIS2?

      NIS2 obejmuje sektor chemiczny jako sektor ważny, w tym producentów substancji, producentów mieszanin, dystrybutorów mieszanin oraz producentów wyrobów w rozumieniu REACH. Kluczowe znaczenie ma charakter prowadzonej działalności oraz spełnienie kryteriów wielkości przedsiębiorstwa (co najmniej średniego).

      Czy dystrybutor farb musi stosować NIS2?

      Tak, jeżeli dystrybutor mieszanin (np. farb, lakierów czy detergentów) jest co najmniej przedsiębiorstwem średnim, podlega obowiązkom NIS2. NIS2 przyjmuje bardzo szerokie ujęcie sektora chemicznego, obejmujące wszystkich dystrybutorów mieszanin, niezależnie od tego, czy produkują substancje.

      Od kiedy NIS2 obowiązuje w Polsce?

      Przepisy wdrażające NIS2 do polskiego prawa, zawarte w nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, wchodzą w życie 3 kwietnia 2026 r. Od tej daty podmioty objęte regulacją mają 12 miesięcy na wdrożenie wymogów oraz 6 miesięcy na zgłoszenie się do wykazu podmiotów.

      Jak REACH wpływa na zakres podmiotów objętych NIS2?

      Zakres NIS2 w sektorze chemicznym jest bezpośrednio powiązany z definicjami zawartymi w rozporządzeniu REACH. To właśnie pojęcia substancji, mieszaniny i wyrobu decydują o tym, czy dana działalność kwalifikuje przedsiębiorcę do objęcia nowymi obowiązkami z zakresu cyberbezpieczeństwa.

      Jakie sankcje grożą za brak dostosowania do NIS2?

      Niedostosowanie się do obowiązków NIS2 może skutkować między innymi karą pieniężną w wysokości od 15 000 zł do 7 mln euro. Odpowiedzialność finansowa może dotyczyć nie tylko spółki, ale również osób zarządzających, w tym członków zarządu lub wspólników.

      Porozmawiajmy o Twoich wyzwaniach

      Świadczymy usługi w zakresie Kancelaria prawna

      Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

      Pole zawiera niedozwolone znaki

      Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

      Skontaktuj się
      Magdalena Bilicka

      Counsel, Radca Prawny

      Specjalizacje

      Skontaktuj się Poproś o kontakt

      Skontaktuj się
      Magdalena Bilicka

      Counsel, Radca Prawny

      Specjalizacje

      Poproś o kontakt

      Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

      Artykuły z kategorii: Kancelaria prawna

      Zobacz wszystkie

      Newsletter

      Subskrybuj specjalny newsletter, aby otrzymywać informacje o wszystkich najnowszych wpisach na blogu Grant Thornton!

      Usługi Grant Thornton z obszaru: Kancelaria prawna

      Skorzystaj z wiedzy naszych ekspertów

      Najczęściej czytane

      Zobacz wszystkie
      Powered by  Zgodności ciasteczek z RODO
      Informacja o ciasteczkach

      1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

      2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

      3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

      4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

      3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

      Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.