W odpowiedzi na znaczący wzrost zagrożeń w cyberprzestrzeni Unia Europejska przyjęła tzw. Dyrektywę NIS 2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r.). To następca dyrektywy NIS z 2016 r., mający na celu ustanowienie wyższych i spójniejszych standardów cyberbezpieczeństwa w całej Unii.

W Polsce dyrektywa NIS-2 jest implementowana poprzez Ustawę z dnia 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

19 lutego 2026 r. proces legislacyjny implementujący nowe prawo zakończył się podpisaniem ww. ustawy przez Prezydenta RP. Dokument wprowadza liczne zmiany, które dostosowują polski system cyberbezpieczeństwa do wymogów NIS-2 i znacznie rozszerzają zakres obowiązków oraz odpowiedzialności podmiotów objętych regulacją.

Ustawa wejdzie w życie po upływie miesiąca od ogłoszenia w Dzienniku Ustaw.

Czym jest Dyrektywa NIS-2?

Dyrektywa NIS-2 ma na celu podniesienie ogólnego poziomu bezpieczeństwa sieci i systemów informacyjnych w UE poprzez wprowadzenie jednolitych wymogów dotyczących zarządzania ryzykiem cybernetycznym, raportowania incydentów oraz współpracy między państwami członkowskimi. NIS-2 rozszerza zakres podmiotów objętych regulacją, w tym:

• podmioty z kluczowych sektorów, takich jak energetyka, transport, finanse, ochrona zdrowia czy infrastruktura cyfrowa,

• podmioty ważne dla funkcjonowania państwa i społeczeństwa, obejmujące m.in. produkcję, gospodarkę wodno-ściekową oraz sektor spożywczy.

Dyrektywa kładzie również większy nacisk na odpowiedzialność organów zarządzających, nakładając na nich konkretne obowiązki i potencjalną odpowiedzialność za niedopełnienie obowiązków w zakresie cyberbezpieczeństwa.

Co dalej z ustawą po podpisaniu?

• Ustawa wdrażająca do polskiego porządku prawnego Dyrektywę NIS 2 została podpisana, natomiast Prezydent RP skierował do Trybunału Konstytucyjnego wniosek o zbadanie zgodności z Konstytucją RP części jej przepisów (w szczególności dotyczących tzw. dostawców wysokiego ryzyka). Nie wstrzymuje to jej wejścia w życie, ale może skutkować ewentualnymi zmianami po orzeczeniu TK.

• Ustawa wejdzie w życie po upływie miesiąca od ogłoszenia w Dzienniku Ustaw, co oznacza rozpoczęcie obowiązywania nowych przepisów i związanych z nimi terminów wdrożeniowych dla przedsiębiorstw.

Najważniejsze zmiany wynikające z nowelizacji

Nowe przepisy przewidują m.in.:

• Podział podmiotów na kluczowe i istotne, znacznie rozszerzając katalog podmiotów objętych obowiązkami cyberbezpieczeństwa.

• System zarządzania ryzykiem i obowiązki techniczne/organizacyjne dostosowane do profilu działalności i stopnia ryzyka.

• Szybsze reagowanie i zgłaszanie incydentów poprzez zintegrowany system zgłoszeń oraz wsparcie Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT).

• Wzmocniony nadzór i możliwość identyfikacji dostawców wysokiego ryzyka, co rodzi dodatkowe wyzwania praktyczne i proceduralne dla firm.

• Wysokie kary administracyjne za naruszenia obowiązków cyberbezpieczeństwa.

Co to oznacza dla przedsiębiorców?

Dla przedsiębiorstw działających w sektorach objętych NIS-2 oraz dla wielu organizacji z łańcucha dostaw kluczowych usług, podpisanie ustawy oznacza konieczność:

• przeprowadzenia samoidentyfikacji i oceny, czy podlegają obowiązkom,

• wdrożenia adekwatnych środków zarządzania ryzykiem i procedur bezpieczeństwa,

• przygotowania struktur raportowania incydentów i spełnienia nowych wymogów compliance,

• uwzględnienia w działalności potencjalnej odpowiedzialności zarządu.