Baker Tilly Poland Legal
Zamknij
27 ENR
Aktualności

Q&A: NIS 2 w sektorze energetycznym

Grzegorz Antonowicz 30 cze 2026
Prawo

Odpowiedzi na pytania zadane przez uczestników webinaru "NIS 2 w sektorze energetycznym", który odbył się 12 czerwca 2026 r.

Pytanie 1: Czy podmioty świadczące usługi profesjonalne na rzecz organizacji objętych NIS 2, takie jak kancelarie prawne, brokerzy czy firmy ochrony osób i mienia, mogą podlegać obowiązkom wynikającym z KSC, jeśli mają dostęp do informacji istotnych z punktu widzenia bezpieczeństwa?

Pytanie 2: Jak obowiązki wynikające z NIS 2 odnoszą się do podmiotów świadczących na rzecz organizacji objętych regulacjami usługi serwisowe, utrzymaniowe lub gwarancyjne, w szczególności związane z infrastrukturą krytyczną?

Odpowiedź: Przedsiębiorcy świadczący usługi dla podmiotów objętych Dyrektywą NIS 2 nie są bezpośrednio objęci obowiązkami wynikającymi z KSC. Mogą oni zostać objęci skutkami wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji przez swoich klientów, którzy będą przenosili wymogi dotyczące cyberbezpieczeństwa na kolejne ogniwa łańcucha dostaw. Niemniej ewentualne obowiązki w tym zakresie będą wynikały przede wszystkim z wymogów kontraktowych stawianych przez podmioty kluczowe i podmioty ważne, dotyczących m.in. wymagań operacyjnych, zapisów umownych, procedur zakupowych, audytów czy okresowych ocen bezpieczeństwa.

---

Pytanie 3: Czy właściciel farmy fotowoltaicznej o mocy 1 MW lub 10 MW, będący np. prywatnym inwestorem, rolnikiem lub przedsiębiorcą prowadzącym inną działalność gospodarczą, może podlegać obowiązkom wynikającym z KSC/NIS 2?

Odpowiedź: Warunkiem podlegania pod przepisy KSC jest status przynajmniej średniego przedsiębiorcy (tj. przekroczenie progów, jakie musi spełniać małe przedsiębiorstwo) oraz posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej. Wytwarzanie energii elektrycznej na podstawie koncesji jest formą prowadzenia działalności gospodarczej niezależnie od intencji posiadacza koncesji. Z drugiej strony, wytwarzanie energii elektrycznej w mikroinstalacji lub małej instalacji (tj. odnawialnym źródle energii o łącznej zainstalowanej mocy elektrycznej nie większej niż 1 MW) nie wymaga koncesji, w związku z czym nie podlega pod przepisy KSC.

---

Pytanie 4: Jeżeli koncesję na dystrybucję energii elektrycznej posiada mikroprzedsiębiorstwo kontrolowane przez średnie przedsiębiorstwo, to który podmiot będzie objęty obowiązkami wynikającymi z KSC?

Odpowiedź: Obowiązki wynikające z KSC dotyczą podmiotu wykonującego działalność w zakresie określonym w ustawie. W podanej sytuacji regulacjom w zakresie cyberbezpieczeństwa podlegać może jedynie przedsiębiorstwo posiadające koncesję na wykonywanie działalności gospodarczej w zakresie dystrybucji energii elektrycznej.

---

Pytanie 5: Czy muzea, w tym muzea narodowe oraz muzea prowadzące działalność wydawniczą, są objęte regulacjami NIS 2?

Odpowiedź: Działalność muzeów jako taka nie jest objęta zakresem KSC. Niemniej jednak muzea będą podlegały regulacjom KSC w zakresie, w zakresie w jakim prowadzone są przez podmioty publiczne podlegające regulacjom ustawy.

---

Pytanie 6: Jak interpretować wyłączenia dotyczące grup kapitałowych, w szczególności pojęcie „wspólnego świadczenia usług”?

Odpowiedź: Wspólne świadczenie usług można interpretować jako świadczenie tej samej usługi wspólnie z przedsiębiorstwem partnerskim lub przedsiębiorstwem powiązanym.

---

Pytanie 7: Czy spółka celowa (SPV) rozwijająca projekt PV lub BESS, która nie posiada jeszcze koncesji i samodzielnie ma status mikroprzedsiębiorcy, może podlegać NIS 2 po uwzględnieniu danych całej grupy kapitałowej przy ustalaniu statusu przedsiębiorstwa?

Odpowiedź: Przedsiębiorstwo na etapie dewelopmentu nie podlega pod regulacje KSC ze względu na brak spełnienia warunków kwalifikacji (brak koncesji), niezależnie od statusu wynikającego z wielkości przedsiębiorstwa. Zgodnie z art. 7c KSC, podmiot kluczowy lub podmiot ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od spełnienia warunków kwalifikacji, a zatem - co do zasady - w terminie 6 miesięcy od uzyskania koncesji (przy założeniu posiadania statusu średniego przedsiębiorstwa). Natomiast obowiązki wynikające z KSC podmiot taki musi zacząć realizować w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (zgodnie z art. 16 KSC).

---

Pytanie 8: Czy samo przekroczenie progu 43 mln euro rocznego obrotu może skutkować objęciem przedsiębiorstwa obowiązkami wynikającymi z KSC/NIS 2?

Odpowiedź: Nie. Obowiązki wynikające z KSC obejmują podmioty spełniające przede wszystkim kryterium prowadzenia działalności w określonym ustawą zakresie. Sam status dużego przedsiębiorcy nie oznacza obowiązku stosowania wymogów KSC w zakresie cyberbezpieczeństwa.

---

Pytanie 9: Czy instalacja PV, która nie posiada jeszcze koncesji, ale prowadzi sprzedaż energii w okresie rozruchu technologicznego, może podlegać regulacjom KSC/NIS 2?

Odpowiedź: Przesłanką określoną w Załączniku nr 1 do KSC określającym sektory kluczowe jest posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej. Do momentu uzyskania koncesji w tym zakresie przedsiębiorca nie spełnia kryterium kwalifikacji jako podmiot kluczowy lub podmiot ważny.

---

Pytanie 10: Czy jednoosobowa działalność gospodarcza posiadająca dwie elektrownie wiatrowe o łącznej mocy do 0,8 MW, wpisana do MIOZE i niewymagająca obecnie koncesji, podlega przepisom KSC/NIS 2?

Odpowiedź: Przesłanką określoną w Załączniku nr 1 do KSC określającym sektory kluczowe jest posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej. Wytwarzanie energii elektrycznej w mikroinstalacji lub małej instalacji (tj. odnawialnym źródle energii o łącznej zainstalowanej mocy elektrycznej nie większej niż 1 MW) nie wymaga koncesji, w związku z czym nie podlega pod przepisy KSC.

---

Pytanie 11: Gdzie można znaleźć oficjalne wyjaśnienia i odpowiedzi Ministerstwa Cyfryzacji dotyczące NIS 2 i KSC?

Pytanie 12: Czy udostępnione wyjaśnienia pochodzą z oficjalnego Q&A Ministerstwa Cyfryzacji?

Odpowiedź: Wyjaśnienia (Q&A) Ministerstwa Cyfryzacji: 

https://cyber.gov.pl/faq 
https://www.gov.pl/attachment/c19a078f-60ca-49ab-ac19-f743f8f64903

---

Pytanie 13: Jakie wymagania należy spełnić pod względem technicznym i organizacyjnym, aby zapewnić zgodność farm wiatrowych, instalacji PV lub magazynów energii (BESS) z wymogami NIS 2?

Odpowiedź: Wymagania techniczne powinny każdorazowo uwzględniać kontekst organizacji i być uzależnione m.in. od zakresu i rodzaju oszacowanego ryzyka. Nie można ich uniwersalnie określić z zastosowaniem do każdego przypadku.

---

Pytanie 14: Czy do zastosowania wyłączenia dla przedsiębiorstw z grup kapitałowych wystarczy spełnienie jednej z przesłanek (np. brak niezależności systemów lub brak wspólnego świadczenia usług), czy też przesłanki te powinny być spełnione łącznie?

Odpowiedź: Oceniając przesłanki wyłączenia w świetle treści Dyrektywy NIS 2 należy uznać, że co do zasady przesłanki te powinny być spełnione łącznie. Celem wyjątku jest wyłączenie takich przedsiębiorstw w grupie kapitałowej, których niezależność samoistnie ogranicza ryzyka w zakresie cyberbezpieczeństwa. Niemniej jednak każdy taki przypadek powinien być indywidualnie badany i oceniany, uwzględniając również aspekty techniczne.

---

Pytanie 15: Czy przedsiębiorstwo posiadające wiele instalacji PV o mocy do 1 MW każda, niewymagających uzyskania koncesji, może zostać objęte KSC/NIS 2 ze względu na łączną skalę działalności?

Odpowiedź: Suma projektów nie powinna skutkować kwalifikacją przedsiębiorcy jako podmiotu kluczowego lub podmiotu ważnego. Przesłanką określoną w Załączniku nr 1 do KSC określającym sektory kluczowe jest bowiem posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej (w przeciwieństwie np. do sektora gazowego, gdzie koncesja nie zawsze jest przesłanką konieczną).

---

Pytanie 16: Czy przedsiębiorstwo zatrudniające ok. 120 osób, budujące farmy fotowoltaiczne oraz monitorujące ich pracę za pomocą własnego systemu SCADA na rzecz właścicieli instalacji, może zostać uznane za podmiot ważny i czy w związku z tym powinno przygotowywać dokumentację dla swoich klientów?

Odpowiedź: Z treści pytania wynika, że Spółka nie prowadzi koncesjonowanej działalności w zakresie wytwarzania energii elektrycznej, w związku z czym wielkość mocy zainstalowanej u kontrahentów (klientów) nie będzie miała rozstrzygającego znaczenia. Natomiast - według opisu - Spółka może spełniać kryteria uznania za dostawcę usług zarządzanych, co objęte jest Załącznikiem nr 1 Podmioty kluczowe w ramach sektora usług ICT. W takim zaś przypadku ciężar obowiązków wynikających z KSC będzie dotyczyć bezpośrednio Spółki, a nie odbiorców jej usług (klientów).

---

Pytanie 17: Kto może przeprowadzać audyt bezpieczeństwa wymagany przez KSC?

Pytanie 18: Jakie kwalifikacje lub uprawnienia muszą posiadać podmioty przeprowadzające zewnętrzne audyty bezpieczeństwa?

Odpowiedź: Uprawnienia do przeprowadzania audytów bezpieczeństwa określa art. 15 ust. 2 KSC. Audyt taki może przeprowadzać jednostka akredytowana zgodnie z przepisami ustawy o systemach oceny zgodności i nadzoru rynku lub co najmniej dwóch audytorów posiadających uprawnienia określone we wskazanym przepisie.

---

Pytanie 19: Czy funkcję osób kontaktowych do spraw KSC mogą pełnić pracownicy podmiotu świadczącego usługi MSSP, np. ze spółki matki z innego państwa UE, jeżeli podmiot kluczowy jest spółką celową (SPV) nieposiadającą własnych pracowników?

Odpowiedź: Nie ma zakazu w tym zakresie. Niemniej osoby wyznaczone do utrzymywania kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa muszą zapewnić realizację komunikacji w pełnym zakresie obowiązków wynikających z KSC (a w ślad za tym należy przyjąć, że osoby takie powinny posługiwać się językiem polskim). Odpowiedzialność za prawidłowe wyznaczenia takich osób ponosi bezpośrednio kierownik jednostki.

---

Pytanie 20: Czy realizowanie obowiązków z zakresu cyberbezpieczeństwa przez spółkę matkę z innego państwa UE zwalnia polską spółkę z obowiązków wynikających z KSC/NIS 2?

Odpowiedź: Nie. Obowiązki wynikające z KSC spoczywają bezpośrednio na przedsiębiorcy podlegającemu pod przepisy ustawy, zwłaszcza w zakresie odpowiedzialności zarządczej spoczywającej bezpośrednio na kierowniku podmiotu. Czym innym jest sposób realizacji tych obowiązków.

---

Pytanie 21: Czy istnieje centralny rejestr urządzeń lub produktów ICT spełniających wymagania KSC/NIS 2?

Odpowiedź: KSC nie przewiduje prowadzenia rejestru urządzeń zgodnych. Na stronie BIP Pełnomocnika Rządu ds. Cyberbezpieczeństwa publikowane są natomiast rekomendacje dotyczące stosowania produktów ICT lub usług ICT w przypadku wykrycia w nich podatności.

Dyrektywa NIS 2 w praktyce

Wszystko, co musisz wiedzieć o obowiązkach wynikających​ z Dyrektywy NIS 2 - w jednym miejscu.​ Artykuły, checklisty i bezpośredni kontakt z prawnikiem specjalizującym się​ w cyberbezpieczeństwie.

Kontakt
Photo of Grzegorz Antonowicz
Grzegorz Antonowicz
Associate Partner | Radca prawny
Zobacz profil

Zobacz także

Prawo
NIS 2 - Kogo dokładnie obejmuje?
Grzegorz Antonowicz 28 kwi 2026
Wideo Prawo
NIS 2 w sektorze energetycznym | Nagranie webinaru
Grzegorz Antonowicz 22 cze 2026
Chcesz skorzystać z naszych usług? Wypełnij formularz zapytań ofertowych – to najszybsza droga do kontaktu z właściwym ekspertem.
Zapytanie ofertowe