O dyrektywie NIS2 mówiło się w Polsce od dwóch lat jako o czymś „unijnym i odległym”. Problem w tym, że dyrektywa sama z siebie nie nakłada obowiązków na firmy — robi to dopiero ustawa krajowa, która ją wdraża. W Polsce tym narzędziem jest znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (KSC). I to ona, a nie sam tekst dyrektywy, będzie podstawą ewentualnej kontroli i kary.
Jeśli prowadzisz małą firmę i do tej pory zakładałeś, że „to nie o nas”, ten wpis jest dla Ciebie. Bez prawniczego żargonu, bez straszenia — konkretnie: kogo ustawa obejmuje, czego wymaga i od czego zacząć.
Dyrektywa kontra ustawa — dlaczego to rozróżnienie ma znaczenie
Dyrektywa UE to ramy. Mówi państwom członkowskim „macie osiągnąć taki a taki poziom bezpieczeństwa”, ale szczegóły — kto dokładnie podlega, do jakiego organu się zgłasza, jakie są terminy i sankcje — dopisuje każde państwo we własnej ustawie. Dlatego praktyczne pytania zadajemy nie dyrektywie NIS2, tylko polskiej ustawie o KSC.
Pisaliśmy już szerzej o tym, dlaczego NIS2 dotyczy też Twojej firmy, nawet jeśli masz 10 pracowników. Nowelizacja KSC to moment, w którym te przepisy przestają być teorią i zaczynają obowiązywać w praktyce.
Kogo obejmuje znowelizowana ustawa
Ustawa dzieli organizacje na dwie główne grupy: podmioty kluczowe i podmioty ważne. Przynależność zależy od dwóch rzeczy: sektora działalności oraz wielkości firmy (liczba pracowników i obroty).
- Sektory objęte regulacją to m.in. energetyka, transport, ochrona zdrowia, woda, infrastruktura cyfrowa, usługi ICT, gospodarka odpadami, produkcja, usługi pocztowe i kurierskie oraz administracja publiczna.
- Próg wielkości — co do zasady firmy średnie (od ok. 50 osób lub 10 mln euro obrotu) i większe. Ale uwaga: w niektórych sektorach próg nie obowiązuje i regulacja obejmuje także mikro- i małe podmioty, jeśli pełnią kluczową rolę.
To dlatego twierdzenie „mamy 12 osób, więc nas to nie dotyczy” bywa pułapką. Coraz częściej kluczowe staje się też to, czy jesteś dostawcą lub podwykonawcą dużego podmiotu objętego ustawą — wtedy wymagania spłyną na Ciebie kontraktowo, niezależnie od wielkości. Wrócimy do tego w osobnym wpisie o bezpieczeństwie łańcucha dostaw.
Jakie obowiązki nakłada ustawa
Niezależnie od kategorii, zestaw obowiązków układa się w kilka praktycznych filarów:
1. Rejestracja i identyfikacja
Podmioty objęte ustawą muszą zgłosić się do właściwego organu i zostać wpisane do wykazu. To pierwszy, czysto formalny krok — ale wymaga, byś najpierw świadomie ocenił, czy podlegasz.
2. Zarządzanie ryzykiem i środki techniczne
Firma ma wdrożyć adekwatne środki bezpieczeństwa: analizę ryzyka, kontrolę dostępu, szyfrowanie, kopie zapasowe, segmentację sieci, monitoring i plan ciągłości działania. Kluczowe słowo to adekwatne — nikt nie wymaga od 15-osobowej firmy rozwiązań jak z banku, ale wymaga się świadomych, udokumentowanych decyzji.
3. Zgłaszanie incydentów
To jeden z najbardziej konkretnych obowiązków: poważny incydent trzeba zgłosić do właściwego CSIRT w ściśle określonych terminach (wstępne zgłoszenie liczone w godzinach, pełny raport w kolejnych dniach). Jak zorganizować to bez korporacyjnego budżetu, opisaliśmy w przewodniku o zarządzaniu incydentami NIS2 w małej firmie.
4. Odpowiedzialność kierownictwa
Nowość, która zaskakuje wielu właścicieli: za cyberbezpieczeństwo odpowiada zarząd, osobiście. Nie da się już „zrzucić tematu na informatyka”. Kierownictwo ma zatwierdzać środki ryzyka i odbywać szkolenia.
Kary — ile to realnie kosztuje
Tu kończą się żarty. Ramy NIS2 przewidują kary administracyjne sięgające 10 mln euro lub 2% rocznego światowego obrotu dla podmiotów kluczowych oraz 7 mln euro lub 1,4% obrotu dla ważnych — w zależności od tego, która kwota jest wyższa. Polska ustawa osadza te sankcje w krajowym systemie, dokładając możliwość kar dla osób pełniących funkcje kierownicze.
W praktyce dla małej firmy realnym ryzykiem nie jest maksymalna kara, lecz utrata kontraktu z większym klientem, który wymaga zgodności od swoich dostawców — oraz koszt i chaos po incydencie, którego nikt nie monitorował.
Od czego zacząć już dziś
Nie trzeba czekać na ostatnią wersję rozporządzeń wykonawczych, żeby zrobić rzeczy, które i tak będą potrzebne:
- ✅ Ustal, czy podlegasz — sektor, wielkość, rola w łańcuchu dostaw. To 30 minut analizy, które oszczędza miesiące niepewności.
- ✅ Zrób inwentaryzację — jakie masz systemy, dane, dostawców i kto ma do nich dostęp.
- ✅ Wdróż podstawowy monitoring — bez wykrywania nie ma zgłaszania incydentów. Dobry start to Uptime Kuma albo Zabbix z Grafaną.
- ✅ Uporządkuj dokumentację — analiza ryzyka, polityki, procedura incydentu. Punkt po punkcie przejdziesz to z naszą checklistą NIS2.
Jeśli działasz w sektorze publicznym, przyda Ci się też nasz kompletny przewodnik po dokumentacji NIS2 dla podmiotów publicznych.
Co dalej w tym cyklu
W kolejnych wpisach pokażemy, jak przełożyć te wymagania na konkrety: analizę ryzyka krok po kroku z gotowym szablonem, różnice między NIS2 a RODO oraz bezpieczeństwo łańcucha dostaw — czyli jak sprawdzać dostawców i nie dać się wciągnąć w cudze zaniedbania.
Nie wiesz, czy ustawa o KSC obejmuje Twoją firmę i co konkretnie musisz zrobić? Napisz do nas — pomożemy ocenić Twój status, zaplanować wdrożenie i wziąć na siebie część techniczną, byś nie musiał budować wszystkiego od zera.