Dyrektywa NIS2: Kogo dotyczy i jakie są obowiązki

Otrzymałeś wiadomość od prawnika firmy o “jakiejś nowej dyrektywie NIS2”? Albo przeczytałeś w branżowym portalu, że może dotyczyć Twojego biznesu?

To naturalne, żea czujesz się zagubiony. Dyrektywa NIS2 kogo dotyczy – to pytanie zadaje sobie dziś wielu właścicieli firm w Polsce.

Rzecz w tym, że nie każda firma musi się martwić NIS2. Ale jeśli Twoja organizacja spełnia określone kryteria wielkości i działa w konkretnych sektorach, ignorowanie nowych przepisów może kosztować nawet kilka milionów złotych kary.

Które firmy objęte są NIS2?

85% polskich firm może spać spokojnie – dyrektywa ich nie dotyczy. Dlaczego? Bo NIS2 skupia się na średnich i dużych przedsiębiorstwach, które mogą wpłynąć na bezpieczeństwo całej gospodarki.

Podstawowe wykluczenia są jasne:

– Mikroprzedsiębiorstwa (do 10 pracowników i 2 mln euro przychodu)

– Małe firmy (do 50 pracowników i 10 mln euro przychodu)

– Organizacje spoza wskazanych sektorów

Ale uwaga – jeśli prowadzisz średnią firmę budowlaną z 80 pracownikami i przychodem 15 mln złotych, możesz podlegać dyrektywie jako “podmiot ważny”. To zależy od tego, czy budujesz infrastrukturę krytyczną.

Co ciekawe, dyrektywa wprowadza podział na podmioty kluczowe i ważne. Pierwsza grupa to duże firmy o strategicznym znaczeniu. Druga to średnie przedsiębiorstwa, które mogą wpływać na łańcuchy dostaw.

Przykład? Duży szpital wojewódzki będzie podmiotem kluczowym. Średnia firma transportowa obsługująca kilka miast – podmiotem ważnym.

Kryteria kwalifikacji do NIS2

Sprawdzenie czy podlegasz dyrektywie przypomina wypełnianie prostego kwestionariusza. Musisz odpowiedzieć na trzy pytania:

Pytanie 1: Jaka jest wielkość Twojej firmy?

– Średnie: 50-249 pracowników ORAZ 10-50 mln euro przychodu

– Duże: ponad 250 pracowników LUB ponad 50 mln euro przychodu

Pytanie 2: W jakim sektorze działasz?

Lista obejmuje 18 sektorów – od energetyki po usługi cyfrowe. Pełny wykaz znajdziesz w kolejnej sekcji.

Pytanie 3: Czy przekraczasz dodatkowe progi sektorowe?

Niektóre branże mają swoje specjalne kryteria. Na przykład podmioty zarządzające domenami internetowymi podlegają NIS2 niezależnie od wielkości.

Prawda jest taka: większość firm poznaje swoją klasyfikację dopiero po analizie prawnej. Przepisy pozostawiają sporo miejsca na interpretację.

Weźmy firmę IT świadczącą usługi w chmurze. Zatrudnia 120 osób, ma przychód 25 mln złotych. Na pierwszy rzut oka – podmiot ważny. Ale czy wszystkie jej usługi kwalifikują się jako “usługi w chmurze obliczeniowej” w rozumieniu dyrektywy? To już wymaga analizy prawnika.

Sektory objęte dyrektywą

Dyrektywa NIS2 dzieli sektory na dwie kategorie. Sektory o wysokiej krytyczności (podmioty kluczowe) i inne ważne sektory (podmioty ważne).

Sektory o wysokiej krytyczności:

– Energia (elektrownie, ciepłownictwo, rafinerie)

– Transport (porty lotnicze, kolejowe, wodne, drogowe)

– Bankowość i infrastruktura rynków finansowych

– Ochrona zdrowia (szpitale, laboratoria diagnostyczne)

– Woda pitna i ścieki

– Infrastruktura cyfrowa (IXP, DNS, TLD)

– Administracja publiczna

– Przestrzeń kosmiczna

Inne ważne sektory:

– Usługi pocztowe i kurierskie

– Gospodarka odpadami

– Produkcja chemikaliów

– Produkcja żywności

– Produkcja urządzeń medycznych, komputerów, elektroniki

– Pojazdy silnikowe

– Usługi cyfrowe (chmura, centra danych, sieci dostarczania treści)

– Badania naukowe

Przykład z życia? Twoja firma produkuje oprogramowanie dla szpitali. Sam nie jesteś szpitalem, ale świadczysz “usługi cyfrowe” dla sektora ochrony zdrowia. Jeśli zatrudniasz ponad 50 osób – prawdopodobnie podlegasz NIS2.

Inny przypadek: prowadzisz średnią firmę kurierską. Usługi pocztowe i kurierskie są wprost wymienione jako “inny ważny sektor”. Twoja firma może być podmiotem ważnym.

Obowiązki małych firm

Dobra wiadomość: jeśli Twoja firma ma mniej niż 50 pracowników, dyrektywa NIS2 Cię nie dotyczy. To jedno z najważniejszych wykluczeń.

Ale uwaga na pułapki. Niektóre małe firmy mogą zostać objęte przepisami przez “tylne drzwi”:

Przypadek 1: Jesteś częścią większej grupy kapitałowej

Liczy się wielkość całej grupy, nie pojedynczej spółki. Twoja 30-osobowa firma może podlegać NIS2, jeśli należy do koncernu zatrudniającego 500 osób.

Przypadek 2: Świadczysz usługi dla podmiotów kluczowych

Duże firmy objęte NIS2 będą wymagać od podwykonawców określonych standardów cyberbezpieczeństwa. To nie są formalne obowiązki z dyrektywy, ale praktyczne wymagania kontraktowe.

Przykład? Jesteś małą firmą IT obsługującą systemy dużego szpitala. Szpital jako podmiot kluczowy będzie musiał zapewnić cyberbezpieczeństwo całego łańcucha dostaw. W umowie z Tobą pojawią się dodatkowe wymagania techniczne.

Przypadek 3: Świadczysz specjalistyczne usługi cyfrowe

Niektóre małe firmy technologiczne mogą podlegać dyrektywie ze względu na charakter działalności, nie wielkość. Dotyczy to zwłaszcza dostawców usług DNS, operatorów punktów wymiany internetowej.

Co to oznacza praktycznie? Jako właściciel małej firmy powinieneś monitorować zmiany w kontraktach z dużymi klientami. Prawdopodobnie pojawią się nowe klauzule dotyczące cyberbezpieczeństwa.

Obowiązki średnich firm

Jeśli Twoja firma zatrudnia 50-249 osób i ma przychód 10-50 mln euro, możesz zostać podmiotem ważnym. To oznacza konkretne obowiązki do wypełnienia.

Najważniejsze wymagania to:

1. Zarządzanie ryzykiem cyberbezpieczeństwa

Musisz wdrożyć https://jeton.pl/bezpieczenstwo-it/. To nie znaczy, że potrzebujesz całego działu IT security. Ale musisz mieć udokumentowane procedury.

2. Incident response

Każdy poważny incydent cybernetyczny musisz zgłosić organowi nadzoru w ciągu 24 godzin. Szczegółowy raport – w ciągu 72 godzin.

3. Ciągłość działania

Potrzebujesz planów odtwarzania działalności po cyberatakach. Plus regularne testy tych planów.

4. Bezpieczeństwo łańcucha dostaw

Musisz oceniać ryzyko cybernetyczne swoich dostawców i podwykonawców. To może oznaczać dodatkowe klauzule w umowach.

5. Szkolenia pracowników

Regularne training z cyberbezpieczeństwa dla zespołu.

Ile to kosztuje? Średnia firma powinna zarezerwować 50-150 tys. złotych rocznie na wdrożenie i utrzymanie wymogów NIS2. Sprawdź https://jeton.pl/ile-kosztuje-outsourcing-it-dla-malych-i-srednich-firm/, żeby lepiej zaplanować budżet. To obejmuje software, konsultacje, szkolenia i ewentualnie dodatkowe stanowisko pracy.

Realne podejście? Zacznij od audytu obecnego stanu cyberbezpieczeństwa. Większość firm ma już część wymaganych elementów – trzeba je tylko udokumentować i usystematyzować.

Zwolnienia z dyrektywy

Nie wszystkie firmy spełniające kryteria wielkości muszą implementować NIS2. Istnieją konkretne wyłączenia, o których warto wiedzieć.

Zwolnienia ze względu na wielkość:

– Mikroprzedsiębiorstwa (do 10 pracowników, do 2 mln euro przychodu)

– Małe przedsiębiorstwa (do 50 pracowników, do 10 mln euro przychodu)

Zwolnienia sektorowe:

Niektóre branże są całkowicie wyłączone, niezależnie od wielkości firmy:

– Podmioty świadczące usługi dostępu do internetu dla odbiorców indywidualnych

– Bardzo małe dostawcy sieci i usług łączności elektronicznej

Zwolnienia ze względu na charakter działalności:

– Organy sądowe, prokuratura

– Parlamenty krajowe

– Banki centralne (działające jako organy władzy monetarnej)

Przypadki graniczne wymagające analizy:

Twoja firma może znajdować się w szarej strefie. Przykłady:

Prowadzisz średnią firmę budowlaną. Czy podlegasz NIS2? Zależy. Jeśli budujesz infrastrukturę krytyczną (elektrownie, szpitale, infrastruktura kolejowa) – prawdopodobnie tak. Jeśli budujesz domy mieszkalne – prawdopodobnie nie.

Inny przykład: świadczysz usługi IT dla banków. Sam nie jesteś bankiem, ale Twoje usługi wpływają na bezpieczeństwo sektora finansowego. Status zależy od konkretnego typu usług i skali działalności.

Praktyczna rada? Jeśli masz wątpliwości co do swojego statusu, zamów analizę prawną. Koszt 5-10 tys. złotych za opinię prawną to nic w porównaniu z potencjalnymi karami za nieprzestrzeganie przepisów.

Najczęściej zadawane pytania

Jak sprawdzić, czy podlegam dyrektywie NIS 2?

Użyj prostej metody trzech kroków. Pierwszy: sprawdź wielkość firmy – czy masz ponad 50 pracowników i przychód ponad 10 mln euro. Drugi: zidentyfikuj czy Twoja branża jest na liście 18 sektorów objętych dyrektywą. Trzeci: oceń czy przekraczasz ewentualne dodatkowe progi sektorowe. Jeśli odpowiedź na wszystkie pytania brzmi “tak”, prawdopodobnie podlegasz NIS2 jako podmiot ważny lub kluczowy.

Kto nie podlega dyrektywie NIS 2?

Mikrofirmy (do 10 pracowników), małe firmy (do 50 pracowników), organizacje spoza wskazanych sektorów oraz podmioty objęte szczególnymi wyłączeniami jak sądy czy parlamenty. Dodatkowo bardzo małe dostawcy internetu i niektóre podmioty świadczące usługi tylko dla odbiorców indywidualnych są zwolnione.

Jakie sektory są objęte dyrektywą NIS2?

Dyrektywa obejmuje 18 sektorów podzielonych na dwie kategorie. Sektory o wysokiej krytyczności: energia, transport, bankowość, ochrona zdrowia, woda, infrastruktura cyfrowa, administracja, przestrzeń kosmiczna. Inne ważne sektory: poczta, odpady, chemia, żywność, urządzenia medyczne, motoryzacja, usługi cyfrowe, badania naukowe.

Jakie kary grożą za nieprzestrzeganie NIS2?

Dyrektywa przewiduje kary finansowe do 10 mln euro lub 2% rocznego obrotu (wybrana zostaje wyższa kwota) dla podmiotów kluczowych. Dla podmiotów ważnych maksymalne kary to 7 mln euro lub 1,4% obrotu. Dodatkowo możliwe są kary wobec zarządu – zakaz pełnienia funkcji kierowniczych, odpowiedzialność osobista.

Potrzebujesz wsparcia w implementacji NIS2?

Implementacja wymagań dyrektywy NIS2 to złożony proces, który wymaga współpracy prawników, specjalistów IT i ekspertów ds. cyberbezpieczeństwa.

Czy Twoja firma jest gotowa na nowe wymogi? Większość organizacji potrzebuje zewnętrznego wsparcia – szczególnie w początkowej fazie implementacji. To nie oznacza, że musisz budować własny dział security od zera.

Outsourcing IT może pomóc w:

– Audycie obecnego stanu cyberbezpieczeństwa

– Wdrożeniu systemów monitoringu i reagowania na incydenty

– Przygotowaniu procedur zgodnych z NIS2

– Szkoleniu zespołów

– Bieżącym zarządzaniu wymogami compliance