Baker Tilly Poland Legal
Zamknij
Philipp katzenberger i I Jr Uoe Ro CQ unsplash
Aktualności

Nowe obowiązki przedsiębiorców w świetle implementacji Dyrektywy NIS 2 do polskiego porządku prawnego

Grzegorz Antonowicz 30 mar 2026
Prawo

3 kwietnia br. wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), implementująca Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555, czyli tzw. Dyrektywę NIS 2. Nowe regulacje stanowią rozszerzenie dotychczasowego reżimu prawnego i obejmą według różnych szacunków nawet kilkadziesiąt tysięcy podmiotów działających na rynku polskim. 

Czym jest NIS 2 

Dyrektywa NIS 2 stanowi rozwinięcie i zaostrzenie dotychczasowych regulacji unijnych w zakresie cyberbezpieczeństwa. Jej celem jest ustanowienie wysokiego, jednolitego poziomu bezpieczeństwa cyfrowego systemów informacyjnych w Unii Europejskiej, poprzez rozszerzenie katalogu podmiotów objętych regulacjami oraz wprowadzenie bardziej szczegółowych obowiązków w zakresie zarządzania ryzykiem i reagowania na incydenty. Nowelizacja UKSC implementuje te założenia na poziomie krajowym, zmieniając jednocześnie model identyfikacji podmiotów objętych regulacją – z systemu opartego na decyzjach administracyjnych na model samookreślenia (self-assessment) i obowiązkowej rejestracji. 

Kogo obejmą nowe przepisy 

Nowe przepisy opierają się na dwóch podstawowych kryteriach kwalifikacji: (1) wielkości przedsiębiorstwa oraz (2) prowadzeniu działalności w obszarach wskazanych w załącznikach do ustawy, tj. załączniku nr 1 obejmującym tzw. sektory kluczowe i załączniku nr 2 obejmującym tzw. sektory ważne (tutaj Dyrektywa NIS 2 znacząco rozszerza zakres przedmiotowy). 

Regulacje obejmą co do zasady przedsiębiorców: 

  • Będących średnimi lub dużymi przedsiębiorstwami, tj. zatrudniających co najmniej 50 pracowników oraz osiągających określone progi finansowe (obrót ≥ 10 mln EUR / bilans ≥ 10 mln EUR). Tutaj uwaga: możliwe jest wyłączenie w ramach opisanego niżej wyjątku dotyczącego członków większych grup kapitałowych. 

  • Działających nie tylko w obszarze obejmującym zwyczajowo rozumianą infrastrukturę krytyczną (energia, transport, ochrona zdrowia, rynki finansowe, zaopatrzenie w wodę pitną, infrastruktura cyfrowa), ale również prowadzących działalność m.in. w sektorach takich jak:

    • zarządzanie usługami ICT (niezależnie od wielkości przedsiębiorstwa), 

    • produkcja: wyrobów medycznych, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i innych urządzeń, pojazdów samochodowych, przyczep, naczep i sprzętu transportowego,  

    • produkcja, przetwarzanie i dystrybucja żywności

    • produkcja, wytwarzanie i dystrybucja chemikaliów

    • gospodarka odpadami,  

    • usługi pocztowe i kurierskie

  • Ponadto – niezależnie od wielkości przedsiębiorstwa – przedsiębiorców prowadzących określoną działalność w obszarze infrastruktury cyfrowej i usług zarządzanych w zakresie bezpieczeństwa. 

Najważniejsze obowiązki przedsiębiorców 

Każdy przedsiębiorca będzie zobowiązany do samodzielnej analizy i oceny, czy spełnia przesłanki kwalifikacji jako podmiot kluczowy lub ważny, a jeżeli tak, również do dokonania rejestracji w Wykazie podmiotów kluczowych i podmiotów ważnych (obecni operatorzy usług kluczowych wpisywaniu są do wykazu z urzędu). 

Nowelizacja wprowadza kompleksowy model zarządzania cyberbezpieczeństwem, którego centralnym elementem jest obowiązek wdrożenia adekwatnych środków organizacyjnych i technicznych, wynikający z fundamentalnej zasady podejścia opartego na analizie ryzyka (tzw. risk-based approach). Oznacza to, że przedsiębiorcy zobowiązani są do samodzielnej identyfikacji ryzyk związanych z prowadzoną działalnością oraz samodzielnego doboru środków technicznych i organizacyjnych adekwatnych do poziomu zidentyfikowanych ryzyk, a zakres tych środków będzie zależeć m.in. od charakteru działalności, skali operacji oraz potencjalnych skutków możliwych incydentów. 

W ramach powyższego przedsiębiorcy zobowiązani są do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), obejmującego m.in. systemową analizę ryzyka, polityki bezpieczeństwa, procedury reagowania na incydenty cyberbezpieczeństwa, zarządzanie podatnościami, a także organizację szkoleń i wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo w organizacji, prowadzenie dokumentacji incydentów i raportowanie do CSIRT i innych organów (pierwsze zgłoszenie poważnego incydentu do właściwego CSIRT powinno nastąpić w ciągu 72 godzin).  

SZBI powinien obejmować również zapewnienie bezpieczeństwa i ciągłości łańcucha dostaw, w tym nadzór nad dostawcami usług i rozwiązań IT. Podmioty kluczowe i podmioty ważne będą zobowiązane do identyfikacji i oceny dostawców, eliminowania tzw. dostawców wysokiego ryzyka (HRS), zaprzestania nowych wdrożeń z wykorzystaniem ich technologii, a także stopniowego do wycofania już wykorzystywanych rozwiązań. 

Terminy wdrożenia 

Przedsiębiorcy zobowiązani są dostosować się do poniższych terminów: 

  • 6 miesięcy – na dokonanie samooceny i rejestracji jako podmiot kluczowy lub ważny, 

  • 12 miesięcy – na pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji. 

Wyjątek dla podmiotów w grupach kapitałowych 

Na szczególną uwagę zasługuje wyjątek dotyczący podmiotów funkcjonujących w ramach grup kapitałowych, który może ograniczyć zakres podmiotowy obowiązków regulacyjnych. Nowelizacja UKSC wdrożyła wyjątek, zgodnie z którym przedsiębiorca, który posiada status średniego lub dużego przedsiębiorstwa wyłącznie ze względu na agregację danych z danymi przedsiębiorstw partnerskich i przedsiębiorstwa powiązanych, nie będzie mieć statusu podmiotu kluczowego ani podmiotu ważnego, o ile przeprowadzi tzw. test niezależności i wykaże, że

  • sieci i systemy informatyczne przedsiębiorcy są niezależne od systemów jego przedsiębiorstw powiązanych lub przedsiębiorstw partnerskich, 

  • usługi świadczone przez przedsiębiorcę nie są świadczone wspólnie z jego przedsiębiorstwami powiązanymi lub przedsiębiorstwami partnerskimi. 

W praktyce wymaga to pogłębionej analizy obejmującej w szczególności ocenę: 

  • stopnia integracji systemów IT w ramach grupy kapitałowej, 

  • modelu operacyjnego grupy i sposobu świadczenia usług, 

  • struktury zarządzania bezpieczeństwem informacji i decyzyjność w tym obszarze. 

Co przedsiębiorcy powinni zrobić już teraz 

W związku z wejściem w życie nowelizacji UKSC przedsiębiorcy powinni: 

  • Niezwłocznie przeprowadzić wstępną kwalifikację pod kątem objęcia regulacją, a w uzasadnionych przypadkach zweryfikować wstępnie ustalony status w oparciu o pogłębioną analizę, w tym ewentualny test niezależności. 

  • Jeżeli są objęci nową regulacją, dokonać rejestracji w Wykazie podmiotów kluczowych i podmiotów ważnych oraz przygotować się do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji. 

  • Przeprowadzić analizę ryzyka i na jej podstawie rozpocząć proces projektowania i wdrażania Systemu Zarządzania Bezpieczeństwem Informacji

Wsparcie prawne 

Złożoność nowych regulacji i ich konsekwencje, tak organizacyjne, jak i finansowe, wymaga kompleksowego podejścia, łączącego aspekty prawne, technologiczne i operacyjne wdrożenia Dyrektywy NIS 2. W kontekście zakresu obowiązków wynikających z nowelizacji UKSC istotnego znaczenia nabiera też właściwa identyfikacja możliwości skorzystania z wyjątku dla podmiotów w grupach kapitałowych spełniających warunki niezależności. 

W Baker Tilly Legal Poland łączymy kompetencje poszczególnych obszarów i oferujemy wsparcie na każdym etapie dostosowania do nowych przepisów.  

Zachęcamy do kontaktu! 

Kontakt
Photo of Grzegorz Antonowicz
Grzegorz Antonowicz
Associate Partner | Radca prawny
Zobacz profil

Zobacz także

Prawo Audyt
Rok w spółce z o.o. – badanie sprawozdania finansowego
Karolina Cieśla 6 mar 2026
Chcesz skorzystać z naszych usług? Wypełnij formularz zapytań ofertowych – to najszybsza droga do kontaktu z właściwym ekspertem.
Zapytanie ofertowe