Blog, czyli co ciekawego w prawie

W erze cyfryzacji i nieustannie rosnącej liczby zagrożeń w sieci, cyberbezpieczeństwo stało się jednym z fundamentów działalności każdej nowoczesnej firmy. Unijna Dyrektywa NIS2 to odpowiedź na pilną potrzebę ujednolicenia i zaostrzenia standardów ochrony systemów informacyjnych w państwach członkowskich. Jej głównym celem jest nie tylko zabezpieczenie infrastruktury krytycznej, lecz także zwiększenie ogólnej odporności organizacji na cyberzagrożenia.

Dla przedsiębiorców i prawników NIS2 oznacza zarówno wyzwania, jak i nowe możliwości. Z jednej strony nakłada konkretne obowiązki — od wdrożenia mechanizmów raportowania incydentów, po zarządzanie ryzykiem i audyty bezpieczeństwa. Z drugiej strony, daje jasne ramy do budowy efektywnych systemów ochrony danych i informacji, co może znacząco zwiększyć zaufanie klientów oraz partnerów biznesowych.

Aby ułatwić zrozumienie i praktyczne zastosowanie przepisów dyrektywy, opracowaliśmy publikację, która odpowiada na 24 najczęściej zadawane pytania uczestników szkolenia „Obowiązki przedsiębiorcy w zakresie cyberbezpieczeństwa (NIS2)”. To syntetyczne kompendium wiedzy, które w przystępny sposób wyjaśnia kluczowe zagadnienia i rozwiewa najczęstsze wątpliwości.

Celem tego ebooka jest wyposażenie zarówno prawników, jak i właścicieli oraz menedżerów firm w praktyczne narzędzia niezbędne do skutecznego dostosowania się do wymogów NIS2. Dzięki niemu łatwiej będzie poruszać się w złożonej rzeczywistości prawnej i technologicznej, jaką niesie ze sobą nowa unijna regulacja.

1.Które podmioty są objęte obowiązkiem wdrożenia i przestrzegania NIS-2:

1. biblioteki publiczne
2. czelnie niepubliczne
3. jednoosobowa działalność gosp. (zatrudniająca <5 osób) o działalności IT tworząca rozwiązania chmurowe
4. mała firma (<10 pracowników) sprzedająca oprogramowanie medyczne (działające w chmurze)
5. podmiot, który zatrudnia powyżej 50 pracowników, ale ma obroty poniżej 10 mln euro będzie musiał wdrożyć politykę NIS 2? i odwrotnie – podmiot, który nie zatrudnia 50 pracowników, ale posiada obroty 10 mln euro
6. spółka prawa handlowego sp. z o.o. spółka miejska mająca 200 pracowników
7. firma produkująca farby wewnętrzne i elewacyjne
8. wytwórcy energii z OZE niezatrudniający pracowników
9. Domy Pomocy Społecznej
10. producent farmaceutyków dedykowanych do leczenia szpitalnego
11. dysponent zespołów ratownictwa medycznego

2.Czy w zakładzie strategicznym można przeprowadzić samodzielny audyt w kontekście NIS2?

Dyrektywa NIS2 nie posługuje się pojęciem zakładu strategicznego i nie określa wprost szczegółowych obowiązków związanych z przeprowadzaniem audytu w takich podmiotach. W samym akcie prawnym (również w jego polskim tłumaczeniu) znajdziemy natomiast klasyfikację sektorów ważnych i kluczowych, opisanych w załącznikach do dyrektywy, a także pojęcia podmiotu ważnego i podmiotu kluczowego.

Z kolei polskie przepisy krajowe odwołują się do terminu „kluczowe”, m.in. w rozporządzeniu Rady Ministrów z 4 października 2010 r. w sprawie wykazu spółek i jednostek prowadzących działalność istotną z punktu widzenia bezpieczeństwa i obronności państwa oraz międzynarodowego pokoju (Dz.U. Nr 198, poz. 1313). W tym kontekście niektóre z tych podmiotów mogą być traktowane jako „strategiczne”.

Warto podkreślić, że NIS2 pozostawia państwom członkowskim pewną swobodę w zakresie implementacji – pozwala uwzględniać krajowe uwarunkowania prawne i organizacyjne. Z tego powodu to właśnie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) przesądzi o tym, czy i w jakim zakresie możliwe będzie przeprowadzenie samodzielnego audytu przez podmioty uznawane w Polsce za strategiczne.

Na dziś, w ocenie autorów, projekt nowelizacji KSC jest w swoim zakresie zbliżony do regulacji NIS2. Kluczowe będzie przyporządkowanie podmiotu do odpowiedniego sektora (kluczowego lub ważnego), a także spełnienie określonych kryteriów dotyczących wielkości organizacji i obrotów.

Warto również zaznaczyć, że podmioty finansowe nie będą podlegać bezpośrednio przepisom NIS2, lecz osobnej regulacji – rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Zgodnie z art. 4 dyrektywy NIS2, podmioty te są wyłączone spod jej reżimu.

3.Do kiedy przedsiębiorstwa muszą wdrożyć politykę zgodną z NIS2?

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r., a państwa członkowskie Unii Europejskiej mają czas na jej implementację do 17 października 2024 r. Oznacza to, że do tego terminu powinny zostać uchwalone krajowe przepisy wprowadzające regulacje wynikające z dyrektywy do porządku prawnego każdego państwa.

W praktyce jednak obowiązek wdrożenia polityk i środków zgodnych z NIS2 przez przedsiębiorstwa będzie ściśle uzależniony od momentu wejścia w życie przepisów krajowych. To one bowiem przesądzą o konkretnych obowiązkach, terminach i sankcjach dla objętych regulacją podmiotów.

W Polsce za implementację NIS2 odpowiada nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zgodnie z obecnym harmonogramem legislacyjnym, nowelizacja ta powinna zostać uchwalona w 2025 roku.

W związku z tym:

• przedsiębiorstwa już dziś powinny przygotowywać się do nadchodzących zmian,
• konieczne jest bieżące monitorowanie procesu legislacyjnego,
• podmioty objęte zakresem dyrektywy powinny być gotowe do wdrożenia odpowiednich polityk i procedur niezwłocznie po wejściu w życie znowelizowanej ustawy o KSC.

Zarządzanie ryzykiem, opracowanie procedur reagowania na incydenty czy zapewnienie ciągłości działania to tylko niektóre z obowiązków, jakie mogą wynikać z nowych regulacji – warto przygotować się do ich spełnienia z odpowiednim wyprzedzeniem.

4.Kogo najlepiej wyznaczyć jako osoby kontaktowe ds. NIS2 w spółce?

Zgodnie z art. 23 ust. 1 dyrektywy NIS2, każdy podmiot objęty jej zakresem ma obowiązek wyznaczyć co najmniej jedną osobę kontaktową (a w praktyce zalecane są dwie) do komunikacji z właściwymi organami ds. cyberbezpieczeństwa oraz z zespołami reagowania na incydenty komputerowe (CSIRT).

Kogo warto wyznaczyć w praktyce?

1. Dyrektor ds. Bezpieczeństwa Informacji (CISO) lub Kierownik ds. Bezpieczeństwa IT

To osoba, która:

• odpowiada za strategię i wdrażanie polityki bezpieczeństwa informacji w organizacji,
• posiada specjalistyczną wiedzę z zakresu systemów IT, zarządzania ryzykiem oraz obsługi incydentów,
• jest naturalnym łącznikiem między spółką a organami nadzorczymi w kwestiach technicznych,
• potrafi skutecznie ocenić wpływ incydentu na funkcjonowanie organizacji i przekazać kluczowe informacje.

2. Przedstawiciel Działu Prawnego lub Compliance Officer

To osoba, która: potrafi komunikować się z organami w sposób formalny i precyzyjny, zwłaszcza w zakresie interpretacji obowiązków prawnych wynikających z NIS2. nadzoruje zgodność działań organizacji z obowiązującymi przepisami prawa, śledzi zmiany w regulacjach i wspiera ich wdrażanie.

5.Które z poniższych podmiotów należą do sektorów ważnych według dyrektywy NIS2?
1. Producenci urządzeń chłodniczych
2. Przedsiębiorcy działający w sektorze restauracyjnym

Zgodnie z załącznikiem do dyrektywy NIS2, do sektorów ważnych zaliczają się m.in.:

• usługi pocztowe i kurierskie,
• gospodarowanie odpadami,
• produkcja, wytwarzanie i dystrybucja chemikaliów,
• produkcja, przetwarzanie i dystrybucja żywności,
• szeroko pojęta produkcja,
• dostawcy usług cyfrowych,
• działalność badawczo-naukowa.

Na tej podstawie:

✅ Producenci urządzeń chłodniczych – tak, mogą zostać zakwalifikowani jako podmioty działające w sektorze produkcji, który znajduje się w wykazie sektorów ważnych.

❌ Przedsiębiorcy z sektora restauracyjnego – nie, ten sektor nie jest wymieniony w NIS2 jako sektor ważny ani kluczowy. Działalność gastronomiczna nie mieści się również w definicji przetwarzania żywności w rozumieniu dyrektywy.

6.NIS 2 a grupa kapitałowa w branży IT: wspólne bezpieczeństwo czy niezależność spółek?

W kontekście wdrażania dyrektywy NIS 2 wiele firm działających w formie grup kapitałowych, szczególnie w branży IT, zastanawia się, jak podejść do kwestii cyberbezpieczeństwa w różnych jurysdykcjach UE. Czy można stosować jednolitą politykę w całej grupie? Kto ponosi odpowiedzialność – lokalne zarządy czy centrala? I wreszcie: czy przepisy pozwalają na ujednolicenie strategii bezpieczeństwa?

Harmonizacja w ujęciu NIS 2

Dyrektywa NIS 2 uwzględnia działalność transgraniczną, zwracając uwagę na potrzebę daleko idącej harmonizacji wymagań wobec podmiotów świadczących kluczowe usługi cyfrowe. Jak wskazano w motywie 84, ułatwienia w zakresie wdrażania środków zarządzania ryzykiem mają dotyczyć m.in.:

• dostawców usług DNS,
• rejestrów nazw domen (TLD),
• dostawców chmury obliczeniowej,
• centrów danych,
• dostawców usług zarządzanych i usług zarządzanych w zakresie bezpieczeństwa,
• platform e-commerce i sieci społecznościowych,
• dostawców usług zaufania.

Z tego względu kluczowym dokumentem uzupełniającym dyrektywę jest rozporządzenie wykonawcze Komisji (UE) 2024/2690 z 17 października 2024 r., które precyzuje techniczne i metodologiczne wymagania dotyczące zarządzania ryzykiem w cyberbezpieczeństwie oraz kryteria uznawania incydentów za istotne. Rozporządzenie to ma wyznaczyć ramy wdrażania polityk bezpieczeństwa w skali unijnej.

Czy można przyjąć wspólną politykę bezpieczeństwa?

Z perspektywy praktycznej – tak, ale z pewnymi zastrzeżeniami. Grupa kapitałowa może dążyć do ujednolicenia podejścia do bezpieczeństwa IT, jednak każda spółka wchodząca w jej skład musi wziąć pod uwagę lokalne przepisy implementujące NIS 2.

Przykładowo, państwa członkowskie mogą inaczej definiować obowiązki w zakresie:

• raportowania incydentów,
• procedur audytu,
• poziomów dopuszczalnego ryzyka,
• kar za naruszenia.

Do czasu pełnej harmonizacji – co rozporządzenie 2024/2690 ma ułatwić – niektóre działania będą musiały być realizowane lokalnie, aby spełnić krajowe wymogi.

Odpowiedzialność – centrala czy spółki zależne?

W świetle motywu 114 NIS 2, jurysdykcję nad daną jednostką ustala się na podstawie jej głównego miejsca prowadzenia działalności w UE. Co ważne, nie chodzi o lokalizację serwerów czy biur, ale o to, gdzie faktycznie zapadają decyzje w zakresie zarządzania cyberbezpieczeństwem.

Oznacza to, że jeżeli to spółka matka podejmuje decyzje dotyczące środków bezpieczeństwa w całej grupie, a pozostałe podmioty działają zgodnie z jej wytycznymi, to zarząd spółki matki może ponosić odpowiedzialność za niewypełnienie obowiązków wynikających z NIS 2.

Forma prawna nie ma tu decydującego znaczenia – ważne są rzeczywiste kompetencje decyzyjne w zakresie polityki bezpieczeństwa.

7.Czy przedsiębiorstwa energetyki cieplnej mogą przeprowadzać audyty cyberbezpieczeństwa samodzielnie?

Na obecnym etapie odpowiedź na to pytanie nie jest jednoznaczna. Możliwość samodzielnego przeprowadzania audytów przez przedsiębiorstwa energetyki cieplnej będzie zależeć od szczegółowych przepisów krajowych, które zostaną przyjęte w ramach implementacji dyrektywy NIS 2.

Kluczowe znaczenie będzie mieć nowelizacja ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2024 r. poz. 1077). To właśnie ten akt – po dostosowaniu do wymogów NIS 2 – określi, czy i w jakich warunkach dopuszczalne będzie przeprowadzanie audytu wewnętrznego zamiast zlecenia go podmiotowi zewnętrznemu.

Dyrektywa NIS 2 nie rozstrzyga tej kwestii wprost – pozostawia państwom członkowskim swobodę w określeniu szczegółowych zasad dotyczących audytów.

8.Czy przynależność do sektora w ramach NIS 2 będzie określana na podstawie kodu PKD czy faktycznej działalności?

Dyrektywa NIS 2 opiera się na zasadzie samookreślenia się podmiotów, z pewnymi wyjątkami przewidzianymi w przepisach. Oznacza to, że to sam przedsiębiorca – a nie urząd czy rejestr – ocenia, czy jego działalność wpisuje się w zakres dyrektywy.

W ocenie autorów, kluczowym kryterium przyporządkowania do sektora (a co za tym idzie – objęcia obowiązkami wynikającymi z NIS 2) powinna być faktyczna działalność prowadzona przez spółkę, a nie tylko formalny wpis do rejestru działalności gospodarczej czy przypisany kod PKD.

PKD może stanowić wskazówkę, ale nie jest rozstrzygające. Niezgodność kodu PKD z realnym profilem działalności nie zwalnia z obowiązków, jeśli przedsiębiorstwo de facto realizuje usługi objęte dyrektywą.

9.Czy dealer samochodowy kwalifikuje się jako podmiot z sektora transportu według NIS 2?

Nie – przedsiębiorstwo prowadzące działalność jako dealer samochodowy nie jest uznawane za podmiot działający w sektorze transportu w rozumieniu dyrektywy NIS 2. Sektor ten obejmuje przede wszystkim operatorów infrastruktury transportowej i usług transportowych, a nie działalność handlową związaną ze sprzedażą pojazdów.

Wyjątek może stanowić sytuacja, w której dealer samochodowy prowadzi dodatkową działalność, np. związaną z systemami zarządzania flotą, logistyką lub serwisami telematycznymi, które w praktyce wpisywałyby się w zakres jednego z sektorów wskazanych w załącznikach do NIS 2.

10.Czym jest zarządzanie usługami ICT w kontekście NIS 2?

Zarządzanie usługami ICT (Information and Communication Technologies) to pojęcie, które znajduje się w centrum zainteresowania dyrektywy NIS 2 – zostało ono wskazane w załączniku I jako element sektora kluczowego. W tym kontekście NIS 2 wyróżnia dwie kluczowe kategorie podmiotów:

• Dostawców usług zarządzanych (MSP – Managed Services Providers)
• Dostawców zarządzanych usług bezpieczeństwa (MSSP – Managed Security Services Providers)

Są to firmy outsourcingowe, które w imieniu klientów zdalnie zarządzają lub świadczą usługi ICT, często obejmujące infrastrukturę IT, aplikacje, systemy bezpieczeństwa czy platformy komunikacyjne.

Co rozumiemy przez usługi ICT?

Zgodnie z odniesieniem zawartym w NIS 2, szczegółowa definicja znajduje się w rozporządzeniu (UE) 2019/881 (tzw. „akt o cyberbezpieczeństwie”). Usługi ICT to takie, które polegają w całości lub w głównej mierze na:

• przekazywaniu,
• przechowywaniu,
• przetwarzaniu
• lub pobieraniu informacji

za pośrednictwem sieci i systemów informatycznych.

Sieci i systemy informatyczne – co obejmują?

To między innymi:

• sieci łączności elektronicznej (np. internet, sieci komórkowe, sieci kablowe, satelitarne),
• urządzenia przetwarzające dane cyfrowe (np. serwery, komputery, urządzenia brzegowe),
• oprogramowanie i dane służące do eksploatacji, ochrony i utrzymania infrastruktury cyfrowej.

Dlaczego to istotne?

Podmioty świadczące tego rodzaju usługi odgrywają kluczową rolę w ekosystemie cyfrowym i z tego względu zostały objęte szczególnymi wymogami w zakresie cyberbezpieczeństwa. NIS 2 traktuje ich działalność jako krytyczną dla funkcjonowania państwa i gospodarki, dlatego zarządzanie ryzykiem, audyty i zgłaszanie incydentów są dla nich obowiązkowe.

11.Do kogo należy zgłaszać incydenty w świetle NIS 2?

Dyrektywa NIS 2 ustanawia ogólne ramy dotyczące obowiązku zgłaszania incydentów cyberbezpieczeństwa, jednak nie precyzuje bezpośrednio, do jakiego podmiotu należy kierować takie zgłoszenia. Szczegóły tej procedury będą określone na poziomie krajowym, w ramach implementacji dyrektywy do prawa krajowego.

Jak to wygląda w Polsce?

W Polsce zasady zgłaszania incydentów będą szczegółowo uregulowane w nowelizowanej ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. To właśnie ta ustawa wskaże:

• właściwe CSIRT-y (zespoły reagowania na incydenty bezpieczeństwa komputerowego),
• lub inne wyznaczone organy, które będą odpowiedzialne za przyjmowanie zgłoszeń o incydentach.

Do czasu wejścia w życie nowelizacji, procedura zgłaszania incydentów może się różnić w zależności od sektora i przypisanego CSIRT-u (np. CSIRT NASK, CSIRT GOV, CSIRT MON).

12.Czy jako podmiot ważny muszę zgłosić się do jakiegoś rejestru w związku z NIS 2?

Obowiązek zgłoszenia do rejestru nie wynika z samego faktu bycia podmiotem ważnym lub kluczowym, lecz z przynależności do konkretnych kategorii podmiotów wskazanych enumeratywnie w art. 27 dyrektywy NIS 2.

Kogo dotyczy obowiązek rejestracji?

Rejestr dotyczy wyłącznie wybranych typów podmiotów, w szczególności:

• dostawców usług DNS,
• rejestrów nazw domen najwyższego poziomu (TLD),
• dostawców usług chmurowych,
• dostawców usług ośrodków przetwarzania danych,
• dostawców sieci dostarczania treści (CDN),
• dostawców usług zarządzanych (MSP),
• dostawców zarządzanych usług w zakresie bezpieczeństwa (MSSP),
• dostawców internetowych platform handlowych,
• wyszukiwarek internetowych,
• platform usług społecznościowych.

Te podmioty są zobowiązane do przekazania odpowiednich informacji właściwym organom w celu rejestracji – niezależnie od tego, czy zostały zakwalifikowane jako podmioty ważne, czy kluczowe.

Kto prowadzi rejestr?

Rejestr tworzony i prowadzony jest przez ENISA – Agencję Unii Europejskiej ds. Cyberbezpieczeństwa, na podstawie danych przekazanych przez jednolite punkty kontaktowe państw członkowskich.

13.Czy naruszenie ochrony danych osobowych skutkujące stratami finansowymi należy zgłosić zarówno na gruncie RODO, jak i NIS 2?

Tak. W przypadku incydentu związanego z naruszeniem ochrony danych osobowych, który prowadzi do strat finansowych, należy:

1. Zgłosić naruszenie danych osobowych zgodnie z art. 33 RODO – czyli do Prezesa Urzędu Ochrony Danych Osobowych (UODO), o ile spełnione są przesłanki zgłoszenia wynikające z ogólnego rozporządzenia o ochronie danych (RODO, Rozporządzenie (UE) 2016/679).
2. Zgłosić incydent cyberbezpieczeństwa na podstawie dyrektywy NIS 2, a więc w Polsce – zgodnie z procedurą przewidzianą w nowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa (KSC), jeżeli incydent spełnia kryteria poważnego incydentu.

Współpraca organów

Zgodnie z art. 35 ust. 1 dyrektywy NIS 2:

„Jeżeli w toku nadzoru lub egzekwowania przepisów właściwe organy powzięły wiedzę, że naruszenie przez podmiot kluczowy lub ważny obowiązków określonych w art. 21 i 23 niniejszej dyrektywy może pociągać za sobą naruszenie ochrony danych osobowych zdefiniowane w art. 4 pkt 12 rozporządzenia (UE) 2016/679, które podlega zgłoszeniu na podstawie art. 33 tego rozporządzenia, bez zbędnej zwłoki informują o tym organy nadzorcze, o których mowa w art. 55 i 56 tego rozporządzenia.”

Oznacza to, że organy odpowiedzialne za egzekwowanie przepisów NIS 2 mają obowiązek informowania organów ochrony danych osobowych, jeżeli incydent dotyczy także naruszenia RODO.

14.Czy każdy dostawca usług ICT będzie objęty dyrektywą NIS 2?

Nie każdy dostawca usług ICT będzie automatycznie objęty dyrektywą NIS 2. Kwestia ta zależy od rodzaju świadczonych usług oraz spełnienia określonych kryteriów – w szczególności dotyczących sektora działalności oraz skali przedsiębiorstwa (wielkości i obrotu).

Dyrektywa NIS 2, odwołując się do aktu o cyberbezpieczeństwie (Rozporządzenie (UE) 2019/881), definiuje usługi ICT jako usługi polegające w całości lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych.

Sieci te obejmują m.in.:

• sieci łączności elektronicznej (np. internet, sieci satelitarne, naziemne, kablowe),
• systemy transmisyjne,
• urządzenia przełączające i routingowe,
• powiązane zasoby umożliwiające transmisję sygnału.

W załącznikach do NIS 2:

• Załącznik I (sektory kluczowe) – wyróżniono m.in. infrastrukturę cyfrową oraz zarządzanie usługami ICT między przedsiębiorstwami (np. dostawcy usług zarządzanych, MSP).
• Załącznik II (sektory ważne) – wskazano m.in. dostawców usług cyfrowych.

Warto zaznaczyć, że:

Pozostałe podmioty działające w wyżej wymienionych sektorach będą objęte dyrektywą, jeśli spełnią kryteria dotyczące wielkości przedsiębiorstwa (np. liczby pracowników, obrotu).

Niektóre podmioty są objęte NIS 2 bez względu na wielkość, np.:

rejestry nazw TLD,

dostawcy usług DNS (z wyjątkiem operatorów głównych serwerów nazw),

dostawcy usług zaufania,

dostawcy publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej.

15.Do której kategorii należą przedsiębiorstwa energetyki cieplnej (PEC)?

Przedsiębiorstwa energetyki cieplnej (PEC) zostały zakwalifikowane do sektora energetyki zgodnie z załącznikiem I do dyrektywy NIS 2. Wynika to z faktu, że są one operatorami systemów ciepłowniczych lub chłodniczych w rozumieniu art. 2 pkt 19 dyrektywy 2018/2001/UE, czyli zajmują się dystrybucją energii cieplnej (np. pary, gorącej wody czy schłodzonych płynów) z centralnych lub zdecentralizowanych źródeł do odbiorców końcowych – np. budynków mieszkalnych, instytucji czy przedsiębiorstw.

Zgodnie z dyrektywą NIS 2, zakwalifikowanie danego PEC do konkretnej kategorii (kluczowej lub ważnej) zależy od jego wielkości i obrotów:

• Niepodlegające NIS 2 – podmioty zatrudniające mniej niż 50 pracowników oraz mające obrót lub sumę bilansową poniżej 10 mln euro rocznie.
• Podmioty ważne – firmy, które:
  • mają mniej niż 250 pracowników, obrót poniżej 50 mln euro lub suma bilansowa poniżej 43 mln euro,
  • ale przekraczają przynajmniej jeden z progów wykluczających je z kategorii mikro- i małych przedsiębiorstw.
• Podmioty kluczowe – przedsiębiorstwa zatrudniające co najmniej 250 pracowników lub mające ponad 50 mln euro obrotu albo 43 mln euro sumy bilansowej rocznie.

Warto pamiętać, że ostateczny status PEC (kluczowy lub ważny) może zostać doprecyzowany w ramach krajowej implementacji dyrektywy, np. poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.

16.Czy jeśli mój klient musi stosować NIS 2, to ja – jako kancelaria prawna – również?

Samo świadczenie usług prawnych na rzecz klienta objętego obowiązkami wynikającymi z dyrektywy NIS 2 nie oznacza, że kancelaria prawna (np. prowadzona w formie indywidualnej działalności gospodarczej) automatycznie podlega tej regulacji.

Dyrektywa NIS 2 nakłada obowiązki bezpośrednio na tzw. podmioty kluczowe i ważne, działające w sektorach wskazanych w załącznikach I i II. Kancelarie prawne nie zostały ujęte w tych sektorach, chyba że prowadzą działalność w zakresie usług cyfrowych (np. zarządzania usługami ICT).

Jednakże – jeżeli w ramach współpracy z klientem objętym NIS 2 kancelaria:

• przetwarza poufne informacje,
• korzysta z systemów informatycznych klienta, lub
• ma dostęp do jego zasobów teleinformatycznych,

– może być zobowiązana na mocy umowy do przestrzegania dodatkowych standardów bezpieczeństwa, wymaganych przez klienta w związku z jego obowiązkami wynikającymi z NIS 2.

Podsumowanie:

Tak – kancelaria może być zobowiązana umownie do stosowania określonych środków cyberbezpieczeństwa w ramach współpracy z takim klientem.

Nie – kancelaria prawna nie podlega NIS 2 tylko dlatego, że jej klient musi ją stosować.

17.Czy istnieje zestandaryzowana lista kontrolna (checklista) do oceny zgodności z NIS 2 – np. wobec klientów lub dostawców?

Dyrektywa NIS 2 nie zawiera jednej, oficjalnej listy kontrolnej, która mogłaby być uniwersalnie stosowana do oceny stron trzecich. Mimo to możliwe jest przygotowanie takiej checklisty na podstawie wymagań zawartych w dyrektywie, z uwzględnieniem lokalnej implementacji (np. w Polsce – nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa), ponieważ niektóre szczegóły mogą się różnić w zależności od kraju.

Kluczowe obszary do weryfikacji, które można ująć w checkliście:

1. Zarządzanie ryzykiem w cyberbezpieczeństwie – poproś o dokumentację lub informacje potwierdzające wdrożenie środków zaradczych, w szczególności:
   • ocenę i analizę ryzyka,
   • zarządzanie incydentami,
   • zapewnienie bezpieczeństwa w łańcuchu dostaw.
2. Polityki bezpieczeństwa – zweryfikuj, czy istnieją i są stosowane odpowiednie procedury oraz polityki bezpieczeństwa informacji.
3. Stosowane produkty, usługi i procesy ICT – uzyskaj informacje o używanych narzędziach, usługach oraz ich certyfikatach bezpieczeństwa (np. zgodność z normami ISO/IEC).
4. Kwalifikowane usługi zaufania – sprawdź, czy podmiot korzysta z takich usług (np. e-podpis, e-pieczęć), które – choć nieobowiązkowe – są zalecane w kontekście zgodności z NIS 2.
5. Szkolenia i świadomość pracowników – zapytaj, czy i jak często realizowane są szkolenia z zakresu cyberbezpieczeństwa.
6. Środki techniczne i organizacyjne – oceń, czy wdrożono mechanizmy adekwatne do skali i rodzaju ryzyka, a także procedury reagowania i minimalizowania skutków incydentów.
7. Certyfikacje jako forma potwierdzenia zgodności – szczególnie istotne może być:
   • ISO/IEC 27001 (system zarządzania bezpieczeństwem informacji),
   • ISO/IEC 22301 (ciągłość działania).

Dobrowolna certyfikacja w tych obszarach może stanowić przejrzysty i wiarygodny dowód na spełnianie wymogów NIS 2, a także budować zaufanie między podmiotami.

18.Kto powinien odpowiadać za realizację zadań i obowiązków związanych z wdrożeniem NIS 2 w spółce Skarbu Państwa (sektor energetyki)?

W spółkach Skarbu Państwa, zwłaszcza w sektorze energetycznym, odpowiedzialność za wdrożenie i stosowanie wymogów NIS 2 powinna spoczywać na osobach dysponujących odpowiednią wiedzą, doświadczeniem i uprawnieniami, które mają realny wpływ na zarządzanie cyberbezpieczeństwem oraz zapewnienie zgodności z obowiązującymi regulacjami.

Według autorów kluczowe role to:

1. Dyrektor ds. Bezpieczeństwa Informacji (Chief Information Security Officer, CISO)
   CISO odpowiada za opracowanie, wdrożenie oraz monitorowanie strategii bezpieczeństwa informacji w spółce. W kontekście NIS 2 to on koordynuje działania zmierzające do zapewnienia zgodności z wymaganiami dotyczącymi ochrony systemów IT, zarządzania ryzykiem i reagowania na incydenty. Ponadto odpowiada za wdrożenie polityk i procedur zgodnych z NIS 2 oraz współpracę z zespołami CSIRT i organami nadzorczymi.
2. Zarząd spółki
   Jako najwyższy organ zarządzający, zarząd sprawuje nadzór nad procesem wdrażania NIS 2. Odpowiada za zapewnienie odpowiednich zasobów – zarówno personalnych, jak i finansowych – niezbędnych do realizacji obowiązków wynikających z dyrektywy. Członkowie zarządu powinni dbać o to, by wdrożone polityki cyberbezpieczeństwa były zgodne z wymogami prawnymi oraz strategicznymi celami spółki.
3. Dział prawny (Compliance Officer)
   Dział prawny lub odpowiedzialny za compliance monitoruje prawidłowość wdrażania NIS 2 oraz innych regulacji dotyczących cyberbezpieczeństwa. Doradza w zakresie interpretacji przepisów i dba o zapewnienie zgodności spółki z wymogami prawa krajowego i unijnego.
4. Zespół IT / administracja systemów
   Osoby zarządzające infrastrukturą IT i systemami współpracują z CISO, zarządem oraz działem prawnym, wdrażając techniczne środki bezpieczeństwa. Do ich zadań należy zarządzanie ryzykiem operacyjnym, monitorowanie systemów oraz raportowanie incydentów cyberbezpieczeństwa.

19.Czy istnieje konkretna lista obowiązków działu IT wynikających z NIS 2?

Na podstawie NIS 2 można wyodrębnić kluczowe obowiązki, które dotyczą działów IT w podmiotach objętych zakresem dyrektywy. Do najważniejszych należą:

Zawiadamianie o uczestnictwie w mechanizmach wymiany informacji
Aktywne zaangażowanie w mechanizmy wymiany informacji związanej z cyberbezpieczeństwem, w tym przekazywanie odpowiednich zawiadomień.

Zarządzanie ryzykiem
Wdrożenie proporcjonalnych środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa, uwzględniających specyfikę i wielkość podmiotu oraz prawdopodobieństwo wystąpienia incydentu.

Zgłaszanie incydentów
Współpraca przy zgłaszaniu poważnych incydentów cyberbezpieczeństwa do właściwego organu nadzorczego, zgodnie z wymogami NIS 2.

Realizacja szkoleń
Udział w organizacji i realizacji obowiązkowych szkoleń dla kadry kierowniczej oraz wdrażanie zaleceń dotyczących podnoszenia świadomości bezpieczeństwa wśród wszystkich pracowników.

Powiadamianie odbiorców usług
Włączenie działu IT w proces informowania klientów o poważnych incydentach oraz o wdrożonych środkach zaradczych.

Usługi, produkty i procesy IT
Zapewnienie stosowania certyfikowanych produktów, usług i procesów IT, zarówno nabywanych, jak i tworzonych wewnętrznie, zgodnie z wymogami dyrektywy.

20.Jak określić kategorię przedsiębiorstwa – np. MWiK, MZEC czy biblioteka publiczna – w kontekście NIS 2? (spółki gminne)

Aby ustalić, do jakiej kategorii należy dany podmiot, taki jak Miejskie Wodociągi i Kanalizacja (MWiK), Miejski Zakład Energetyki Cieplnej (MZEC) czy biblioteka publiczna, należy przede wszystkim sprawdzić, czy jego działalność mieści się w sektorach wymienionych w załączniku I lub II do dyrektywy NIS 2. Następnie trzeba zweryfikować wielkość podmiotu, czyli liczbę zatrudnionych osób oraz roczny obrót.

1. Miejskie Wodociągi i Kanalizacja (MWiK)
   MWiK, które zajmuje się dostarczaniem wody pitnej i gospodarowaniem ściekami, działa w sektorze wymienionym w załączniku I do NIS 2, uznawanym za sektor kluczowy. Jednak jeśli zatrudnia mniej niż 50 osób i osiąga roczny obrót lub sumę bilansową do 10 mln euro, nie jest uznawane za podmiot kluczowy lub ważny i nie podlega obowiązkom NIS 2 – o ile krajowy ustawodawca nie wprowadzi innych regulacji.
2. Miejski Zakład Energetyki Cieplnej (MZEC)
   MZEC, działający w zakresie systemów ciepłowniczych lub chłodniczych, również należy do sektorów kluczowych wskazanych w załączniku I. Podobnie jak w przypadku MWiK, podmiot zatrudniający mniej niż 50 osób i generujący roczny obrót lub sumę bilansową do 10 mln euro nie będzie objęty obowiązkami NIS 2, chyba że krajowa implementacja stanowi inaczej.
3. Biblioteka publiczna
   Biblioteki publiczne, będące jednostkami organizacyjnymi gmin z osobowością prawną (rejestrowane jako instytucje kultury), co do zasady nie są uznawane za podmioty kluczowe lub ważne na gruncie NIS 2. Wyjątkiem mogą być sytuacje, gdy biblioteka działa w sektorze infrastruktury cyfrowej (np. jako dostawca usług chmurowych). Zwykle jednak biblioteki publiczne nie podlegają bezpośrednio wymogom NIS 2, mimo że funkcjonują w sektorze publicznym na szczeblu lokalnym.

---

Dodatkowe uwagi

Definicja „podmiotu administracji publicznej” w NIS 2 opiera się na kryteriach takich jak:

• powołanie do zaspokajania potrzeb interesu ogólnego bez charakteru przemysłowego czy handlowego,
• posiadanie osobowości prawnej,
• finansowanie głównie przez państwo lub podmioty publiczne oraz nadzór tych organów,
• brak uprawnienia do wydawania decyzji administracyjnych o charakterze regulacyjnym wpływających na transgraniczny przepływ osób, towarów, usług lub kapitału.

Biblioteki publiczne są typowymi podmiotami administracji świadczącej usługi i zazwyczaj nie spełniają kryteriów podmiotów kluczowych w rozumieniu NIS 2, chyba że ustawodawca krajowy postanowi inaczej.

21.Czy łańcuch dostaw obejmuje tylko podmioty świadczące usługi IT?

Nie, łańcuch dostaw nie ogranicza się wyłącznie do podmiotów świadczących usługi IT. Zagadnienia związane z bezpieczeństwem łańcucha dostaw zostały uregulowane w art. 21 ust. 2 lit. d dyrektywy NIS 2. Zgodnie z tym przepisem, kluczowe i ważne podmioty mają obowiązek wdrożyć odpowiednie oraz proporcjonalne środki techniczne, operacyjne i organizacyjne, które zapewnią bezpieczeństwo całego łańcucha dostaw.

Warto jednak zwrócić uwagę, że w projekcie UKSC, czyli polskiej implementacji NIS 2, pojawiły się pewne ograniczenia dotyczące zakresu stosowania tych wymogów, które warto monitorować na bieżąco.

22.Czy mając aktualne polityki bezpieczeństwa i zabezpieczenia, musimy robić coś więcej (bez zewnętrznego audytu)?

Zwłaszcza w kontekście architektury rozproszonej na terenie całego miasta.

Podczas implementacji NIS 2 do krajowego prawa konieczne jest stałe monitorowanie i weryfikacja wymogów wynikających z dyrektywy. Sama NIS 2 nakłada sześć kluczowych obowiązków, które należy realizować:

• stosowanie proporcjonalnych środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa,
• zgłaszanie poważnych incydentów,
• obowiązkowe szkolenia dla pracowników,
• powiadamianie odbiorców usług o poważnych incydentach,
• korzystanie z własnych lub nabytych certyfikowanych produktów, usług i procesów ICT (oraz zalecane korzystanie z kwalifikowanych usług zaufania),
• zawiadamianie o uczestnictwie w mechanizmach wymiany informacji.

Te obowiązki mogą zostać szczegółowo określone w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która implementuje dyrektywę NIS 2. Posiadanie aktualnych polityk i zabezpieczeń jest ważne, ale wymaga również dostosowania i systematycznej weryfikacji w świetle nowych regulacji — niezależnie od tego, czy przeprowadza się zewnętrzny audyt.

23.Czy mając aktualne polityki bezpieczeństwa i wszystkie niezbędne zabezpieczenia, musimy robić coś więcej bez zewnętrznego audytu?

W przypadku architektury rozproszonej obejmującej całe miasto, podczas implementacji NIS 2 do krajowego prawa kluczowe jest systematyczne monitorowanie i weryfikacja zgodności z nowymi wymogami. Dyrektywa NIS 2 nakłada sześć podstawowych obowiązków:

• wdrożenie proporcjonalnych środków zarządzania ryzykiem w obszarze cyberbezpieczeństwa,
• zgłaszanie poważnych incydentów,
• przeprowadzanie obowiązkowych szkoleń,
• powiadamianie odbiorców usług o istotnych incydentach,
• stosowanie własnych lub nabytych certyfikowanych produktów, usług i procesów ICT oraz, rekomendacyjnie, korzystanie z kwalifikowanych usług zaufania,
• zawiadamianie o uczestnictwie w mechanizmach wymiany informacji.

Szczegółowe wymagania mogą zostać określone w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która implementuje NIS 2. Posiadanie aktualnych polityk i zabezpieczeń jest podstawą, jednak nie zwalnia z konieczności ciągłego dostosowywania się do zmian prawnych oraz bieżącej weryfikacji spełniania obowiązków – niezależnie od przeprowadzania zewnętrznych audytów.

24.Jaki okres przewidują NIS 2 i ustawa krajowa na wdrożenie wszystkich wymagań cyberbezpieczeństwa?

Zgodnie z dyrektywą NIS 2, państwa członkowskie UE mają obowiązek implementacji jej przepisów do krajowego prawa najpóźniej do 17 października 2024 roku. Oznacza to, że wszystkie organizacje objęte zakresem dyrektywy muszą rozpocząć dostosowywanie swoich polityk i zabezpieczeń już od tego terminu.

Po implementacji przepisów do prawa krajowego przedsiębiorstwa otrzymają dodatkowy czas na pełne wdrożenie wymagań. Najnowsze projekty legislacyjne przewidują wydłużenie tego okresu – podstawowe obowiązki wynikające z ustawy o krajowym systemie cyberbezpieczeństwa mają być realizowane w ciągu 12 miesięcy zamiast dotychczasowych 6 miesięcy.

Ważne jest, aby organizacje jak najszybciej rozpoczęły działania w zakresie wdrażania środków bezpieczeństwa, takich jak zarządzanie ryzykiem, procedury zgłaszania incydentów, polityki ciągłości działania czy zabezpieczenia łańcucha dostaw. Choć okres wdrożenia może trwać nawet do 12 miesięcy, wcześniejsze rozpoczęcie prac pozwoli uniknąć ryzyka kar za nieprzestrzeganie przepisów po upływie ostatecznego terminu.

Dyrektywa NIS 2 nakłada na państwa członkowskie UE obowiązek implementacji przepisów do prawa krajowego do 17 października 2024 roku. Organizacje objęte dyrektywą muszą niezwłocznie rozpocząć dostosowywanie swoich polityk i zabezpieczeń. Po implementacji będą miały do 12 miesięcy na pełne wdrożenie wymagań cyberbezpieczeństwa, takich jak zarządzanie ryzykiem, raportowanie incydentów czy zabezpieczenie łańcucha dostaw. Wczesne rozpoczęcie tych działań pozwoli uniknąć sankcji i zagwarantuje zgodność z nowymi regulacjami.

Kamil Boruta – radca prawny, Oliwia Synowiec