NIS-2 in Poland 2026 — Complete Guide for Companies and Institutions

Dyrektywa NIS-2 zmienia krajobraz cyberbezpieczeństwa w Polsce. Siedem lat prac legislacyjnych, trzy rządy i dziesiątki wersji projektu — a ostatecznie wystarczyły trzy tygodnie w styczniu 2026, by Sejm i Senat uchwaliły nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). 2 marca 2026 roku ustawa została opublikowana w Dzienniku Ustaw. Od 2 kwietnia 2026 roku około 38 tysięcy organizacji ma dwanaście miesięcy na dostosowanie się do nowych wymagań — wymagań, które zasadniczo zmieniają podejście do cyberbezpieczeństwa w polskich firmach i instytucjach.

Ten przewodnik powstał, by uporządkować to, co w gąszczu komentarzy prawnych, artykułów prasowych i konferencyjnych prezentacji bywa chaotyczne. Bez straszenia karami NIS-2, bez uproszczeń — z precyzją, której wymaga temat tej wagi.

Czym jest dyrektywa NIS-2 i dlaczego zmienia reguły gry

Dyrektywa NIS-2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) to unijne prawo, które zastąpiło pierwszą dyrektywę NIS z 2016 roku. Powód zmiany był prosty: pierwsza dyrektywa nie działała wystarczająco dobrze. Państwa członkowskie wdrożyły ją w sposób fragmentaryczny, zakres podmiotowy był zbyt wąski, a mechanizmy egzekwowania — zbyt łagodne.

NIS-2 rozszerza zakres podmiotowy z kilku sektorów do osiemnastu, wprowadza osobistą odpowiedzialność kadry zarządzającej za cyberbezpieczeństwo i ustanawia jednolite ramy raportowania incydentów w schemacie 24 godziny / 72 godziny / 30 dni. To nie ewolucja poprzedniej regulacji — to zmiana paradygmatu.

Dla polskich organizacji kluczowe jest to, że NIS-2 nie obowiązuje bezpośrednio. Wymaga transpozycji do prawa krajowego — i tę rolę pełni właśnie znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa.

Kalendarium: od dyrektywy do polskiej ustawy

Ścieżka legislacyjna nowelizacji ustawy o KSC była jedną z najdłuższych w historii polskiego parlamentaryzmu w obszarze cyberbezpieczeństwa. Oto najważniejsze daty:

14 grudnia 2022 — Parlament Europejski i Rada UE przyjmują dyrektywę NIS-2 (2022/2555).

17 października 2024 — upłynął pierwotny termin transpozycji NIS-2 do prawa krajowego. Polska, podobnie jak większość państw członkowskich, nie zdążyła.

23 stycznia 2026 — Sejm RP uchwala nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.

28 stycznia 2026 — Senat przyjmuje ustawę bez poprawek.

19 lutego 2026 — Prezydent Karol Nawrocki podpisuje ustawę. Jednocześnie kieruje ją do kontroli następczej przez Trybunał Konstytucyjny.

2 marca 2026 — ustawa zostaje opublikowana w Dzienniku Ustaw.

2 kwietnia 2026 — wejście w życie po miesięcznym vacatio legis.

2 października 2026 — upływa termin 6 miesięcy na rejestrację w wykazie podmiotów kluczowych i ważnych.

2 kwietnia 2027 — upływa termin 12 miesięcy na wdrożenie środków zarządzania ryzykiem.

2 kwietnia 2028 — od tej daty mogą być nakładane kary administracyjne.

Kogo dotyczy NIS-2 w Polsce — podmioty kluczowe i ważne

Jedną z fundamentalnych zmian, jakie wprowadza NIS-2, jest radykalne rozszerzenie zakresu podmiotowego. Pierwsza dyrektywa NIS obejmowała w Polsce zaledwie kilkaset organizacji. Nowelizacja ustawy o KSC rozciąga obowiązki na szacunkowo 38 tysięcy podmiotów.

Sektory kluczowe (podmioty kluczowe)

Sektory o wysokiej krytyczności, w których zakłócenie usług ma bezpośredni wpływ na bezpieczeństwo publiczne, zdrowie lub gospodarkę: energetyka (energia elektryczna, ciepłownictwo, ropa naftowa, gaz, wodór), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastruktura rynków finansowych, ochrona zdrowia (szpitale, laboratoria, producenci wyrobów medycznych, apteki), zaopatrzenie w wodę pitną i odprowadzanie ścieków, infrastruktura cyfrowa (DNS, TLD, centra danych, dostawcy chmury, sieci CDN, dostawcy usług zaufania), zarządzanie usługami ICT w modelu B2B, administracja publiczna oraz przestrzeń kosmiczna.

Sektory ważne (podmioty ważne)

Sektory, w których zakłócenie usług ma istotny, choć nie natychmiastowo krytyczny, wpływ: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja chemikaliów i żywności, wytwarzanie wyrobów (medycznych, elektronicznych, maszyn, pojazdów), dostawcy usług cyfrowych (wyszukiwarki, platformy handlowe, sieci społecznościowe) oraz organizacje badawcze.

Kryterium wielkości

Co do zasady, NIS-2 dotyczy podmiotów średnich i dużych — zatrudniających powyżej 50 pracowników lub osiągających obrót roczny powyżej 10 milionów euro. Istnieją jednak wyjątki: dostawcy usług DNS, rejestratorzy domen, dostawcy usług zaufania i operatorzy sieci telekomunikacyjnych podlegają NIS-2 niezależnie od wielkości.

Jak sprawdzić, czy Twoja organizacja podlega NIS-2

Klasyfikacja wymaga analizy trzech elementów: sektora działalności (czy należy do jednego z osiemnastu sektorów), wielkości przedsiębiorstwa (powyżej 50 pracowników lub 10 mln EUR obrotu) oraz charakteru świadczonych usług (czy są krytyczne w rozumieniu dyrektywy). W praktyce rekomendujemy przeprowadzenie formalnej analizy klasyfikacji, ponieważ granice sektorów bywają nieoczywiste — firma logistyczna obsługująca szpitale może podlegać NIS-2 jako element łańcucha dostaw sektora zdrowia, choć sama nie świadczy usług medycznych.

Pięć filarów obowiązków — co dokładnie trzeba wdrożyć

Znowelizowana ustawa o KSC nakłada na podmioty kluczowe i ważne pięć grup obowiązków. Nie są to wymagania abstrakcyjne — każdy z nich przekłada się na konkretne działania organizacyjne, techniczne i dokumentacyjne.

1. Zarządzanie ryzykiem i ład bezpieczeństwa

Fundament całej konstrukcji NIS-2. Organizacja musi wdrożyć system zarządzania ryzykiem w cyberbezpieczeństwie, który obejmuje: identyfikację i ocenę ryzyk związanych z sieciami i systemami informatycznymi, wdrożenie proporcjonalnych środków technicznych i organizacyjnych, regularne przeglądy i aktualizacje oceny ryzyka oraz dokumentowanie całego procesu w sposób umożliwiający weryfikację przez organy nadzoru.

Kluczowa zmiana: odpowiedzialność za zatwierdzanie środków zarządzania ryzykiem spoczywa bezpośrednio na kierownictwie organizacji — zarządzie, radzie nadzorczej lub osobach pełniących równoważne funkcje. To nie jest delegowalne na dział IT.

2. Zarządzanie incydentami i raportowanie

NIS-2 wprowadza rygorystyczny schemat raportowania poważnych incydentów bezpieczeństwa:

Wczesne ostrzeżenie — do 24 godzin od momentu powzięcia informacji o poważnym incydencie. Cel: poinformować właściwy CSIRT (w Polsce: CSIRT NASK, CSIRT GOV lub CSIRT MON) o fakcie wystąpienia incydentu, wstępnej ocenie jego charakteru i potencjalnym wpływie transgranicznym.

Zgłoszenie właściwe — do 72 godzin od momentu powzięcia informacji. Cel: przekazać szczegółową ocenę incydentu, jego dotkliwości i wpływu, a także wskaźników naruszenia bezpieczeństwa (IoC), jeśli są dostępne.

Raport końcowy — do 30 dni (lub do 60 dni w uzasadnionych przypadkach). Cel: przedstawić pełny opis incydentu, przyczynę źródłową, podjęte działania zaradcze oraz wpływ transgraniczny.

Incydent uznaje się za poważny, jeżeli spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub istotne straty finansowe, albo wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody.

3. Ciągłość działania

Podmioty objęte NIS-2 muszą posiadać plany ciągłości działania i odtwarzania po katastrofie, obejmujące co najmniej: procedury tworzenia i przywracania kopii zapasowych, plany zarządzania kryzysowego, procedury awaryjne zapewniające ciągłość usług krytycznych oraz regularne testowanie tych planów.

W praktyce oznacza to wdrożenie — lub dostosowanie istniejącego — systemu zarządzania ciągłością działania. Organizacje posiadające certyfikat ISO 22301 mają w tym zakresie istotną przewagę.

4. Bezpieczeństwo łańcucha dostaw

Nowość w stosunku do pierwszej dyrektywy NIS. Podmioty kluczowe i ważne muszą: ocenić ryzyka związane z dostawcami i partnerami, uwzględnić wymagania bezpieczeństwa w umowach z dostawcami, monitorować poziom bezpieczeństwa swoich dostawców oraz wdrożyć procedury weryfikacji dostawców krytycznych.

To wymaganie ma daleko idące konsekwencje — oznacza, że nawet firma, która sama nie podlega NIS-2, może otrzymać od swojego klienta wymagania bezpieczeństwa wynikające z dyrektywy. Efekt domina w łańcuchu dostaw jest zamierzony przez prawodawcę.

5. Szkolenia i świadomość bezpieczeństwa

Członkowie kierownictwa podmiotów kluczowych i ważnych muszą odbywać regularne szkolenia z zakresu cyberbezpieczeństwa — wystarczające, by umożliwić im identyfikację ryzyk i ocenę praktyk zarządzania ryzykiem. Obowiązek dotyczy również zapewnienia regularnych szkoleń dla pracowników.

To nie jest formalność. NIS-2 wiąże kompetencje kierownictwa z odpowiedzialnością osobistą — zarząd, który nie rozumie cyberzagrożeń, nie może skutecznie zatwierdzać środków zarządzania ryzykiem, a brak kompetencji nie stanowi okoliczności łagodzącej.

Kary NIS-2 i odpowiedzialność — ile to naprawdę kosztuje

System sankcji w znowelizowanej ustawie o KSC jest wielopoziomowy. Kary NIS-2 obejmują zarówno organizację, jak i osoby fizyczne pełniące funkcje kierownicze.

Kary administracyjne dla organizacji

Podmioty kluczowe: do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu — zastosowanie ma kwota wyższa.

Podmioty ważne: do 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu — zastosowanie ma kwota wyższa.

Odpowiedzialność osobista kierownictwa

Znowelizowana ustawa o KSC wprowadza mechanizmy, które w polskim prawie dotyczącym cyberbezpieczeństwa nie miały precedensu: kara finansowa dla kierownika podmiotu kluczowego lub ważnego do 600% miesięcznego wynagrodzenia za rażące zaniedbanie obowiązków oraz czasowy zakaz pełnienia funkcji kierowniczych — do 2 lat — za szczególnie poważne naruszenia.

To fundamentalna zmiana perspektywy. Cyberbezpieczeństwo przestaje być problemem technicznym delegowanym do działu IT — staje się odpowiedzialnością zarządczą, porównywalną z odpowiedzialnością za sprawozdawczość finansową.

Okres ochronny

Ustawodawca przewidział dwuletni okres, w którym kary nie będą nakładane — licząc od dnia wejścia ustawy w życie. Kary mogą być zatem nakładane najwcześniej od 2 kwietnia 2028 roku. Nie oznacza to jednak, że do tego czasu nie trzeba nic robić — obowiązek wdrożenia środków zarządzania ryzykiem upływa już 2 kwietnia 2027 roku.

NIS-2 a RODO — dwa filary, jeden cel

Organizacje podlegające NIS-2 niemal zawsze podlegają również RODO (Rozporządzeniu o ochronie danych osobowych). Te dwa akty prawne działają komplementarnie: RODO chroni dane osobowe, NIS-2 chroni sieci i systemy informatyczne. W praktyce oznacza to, że incydent cyberbezpieczeństwa często jest jednocześnie naruszeniem ochrony danych osobowych — a wówczas organizacja ma obowiązek raportowania do dwóch różnych organów: CSIRT (na mocy NIS-2, w schemacie 24h/72h/30 dni) i PUODO (na mocy RODO, w terminie 72 godzin od stwierdzenia naruszenia).

Wdrożenie NIS-2 warto zatem koordynować z przeglądem procedur ochrony danych osobowych. Organizacje posiadające sprawnie działającą funkcję Inspektora Ochrony Danych (IOD) mają przewagę — istniejące procedury reagowania na naruszenia RODO stanowią solidny fundament pod schemat raportowania NIS-2. Różnice polegają na zakresie (RODO dotyczy danych osobowych, NIS-2 obejmuje wszystkie incydenty cyberbezpieczeństwa) i adresatach zgłoszeń, ale logika procesu jest zbieżna.

Wymagania sektorowe — na co zwrócić szczególną uwagę

NIS-2 obejmuje osiemnaście sektorów, ale nie traktuje ich jednolicie. Każdy sektor ma swoją specyfikę, a organy nadzoru będą weryfikować zgodność z uwzględnieniem kontekstu branżowego.

Energetyka

Sektor o najwyższym poziomie krytyczności. Operatorzy sieci dystrybucyjnych, wytwórcy energii i podmioty zarządzające infrastrukturą paliwową muszą uwzględnić zabezpieczenia systemów OT (Operational Technology) — a te rządzą się innymi zasadami niż klasyczne IT. Protokoły przemysłowe (Modbus, DNP3, IEC 61850) wymagają dedykowanych środków bezpieczeństwa. Regulator sektorowy — minister właściwy ds. energii — będzie prawdopodobnie jednym z najbardziej aktywnych organów nadzoru, biorąc pod uwagę geopolityczne znaczenie bezpieczeństwa energetycznego.

Ochrona zdrowia

Szpitale, laboratoria i producenci wyrobów medycznych stoją przed podwójnym wyzwaniem: systemy medyczne (np. PACS, HIS, RIS) muszą być chronione, ale nie mogą być wyłączane na potrzeby aktualizacji bez zagrożenia ciągłości opieki nad pacjentami. NIS-2 wymaga od sektora zdrowia szczególnie starannego planowania ciągłości działania — okna serwisowe w szpitalu wyglądają inaczej niż w firmie IT.

Administracja publiczna i JST

Jednostki samorządu terytorialnego — gminy, powiaty, województwa — już teraz podlegają obowiązkom wynikającym z rozporządzenia KRI (Krajowe Ramy Interoperacyjności). NIS-2 rozszerza te obowiązki o zarządzanie incydentami w schemacie 24h/72h/30 dni i odpowiedzialność kierownictwa. W praktyce wójt, burmistrz czy prezydent miasta staje się osobiście odpowiedzialny za cyberbezpieczeństwo urzędu — z możliwością nałożenia kary do 600% wynagrodzenia. Dla JST, które dotychczas traktowały KRI jako jedyny punkt odniesienia, NIS-2 stanowi istotne rozszerzenie zobowiązań.

Sektor cyfrowy

Dostawcy usług chmurowych, centra danych, sieci CDN i dostawcy usług DNS podlegają NIS-2 niezależnie od wielkości — nie obowiązuje ich kryterium 50 pracowników. Dla mniejszych firm technologicznych, które dotychczas nie podlegały żadnym regulacjom cyberbezpieczeństwa, to fundamentalna zmiana.

NIS-2 a ISO 27001 — co łączy, co dzieli

To jedno z najczęściej zadawanych pytań: czy posiadanie certyfikatu ISO 27001 oznacza zgodność z NIS-2? Odpowiedź jest zniuansowana.

Co ISO 27001 pokrywa

ISO 27001:2022 dostarcza ramy systemu zarządzania bezpieczeństwem informacji (SZBI), które w znacznym stopniu pokrywają się z wymaganiami NIS-2 w zakresie: zarządzania ryzykiem (załącznik A, kontrole 5.1-5.38), zarządzania incydentami (A.5.24-5.28), ciągłości działania (A.5.29-5.30), bezpieczeństwa łańcucha dostaw (A.5.19-5.23) oraz szkoleń i świadomości (A.6.3).

Czego ISO 27001 nie pokrywa

ISO 27001 nie spełnia wymagań NIS-2 dotyczących: formalnej klasyfikacji jako podmiot kluczowy lub ważny, rejestracji w wykazie podmiotów (termin: 6 miesięcy od wejścia ustawy), raportowania incydentów w schemacie 24h/72h/30 dni do właściwego CSIRT, poddania się nadzorowi i kontrolom organu właściwego oraz specyficznych wymagań sektorowych.

Rekomendacja

Organizacja posiadająca wdrożony i utrzymywany SZBI zgodny z ISO 27001:2022 ma pokryte około 70-80% wymagań NIS-2 w zakresie zarządzania ryzykiem. Pozostałe 20-30% to wymagania prawno-regulacyjne, które wymagają dodatkowej pracy — ale punkt startowy jest nieporównanie lepszy niż w przypadku organizacji zaczynającej od zera.

Jak się przygotować — praktyczny plan wdrożenia

Dwanaście miesięcy na wdrożenie to pozornie dużo. W praktyce — dla organizacji, która nie posiada formalnego SZBI — to termin ambitny. Poniższy plan zakłada systematyczne podejście w trzech fazach.

Faza 1: Diagnoza (miesiące 1-3)

Pierwszym krokiem jest ustalenie, czy i w jakim zakresie organizacja podlega NIS-2. To wymaga: analizy klasyfikacyjnej — do którego sektora należy organizacja i czy spełnia kryterium wielkości, inwentaryzacji sieci i systemów informatycznych wspierających świadczenie usług objętych dyrektywą, oceny luki (gap analysis) — porównania obecnego stanu zabezpieczeń z wymaganiami NIS-2 oraz przygotowania harmonogramu wdrożenia z kamieniami milowymi.

Faza 2: Wdrożenie (miesiące 3-10)

Na podstawie wyników gap analysis — budowa lub rozbudowa systemu zarządzania bezpieczeństwem informacji (SZBI). Zakres prac obejmuje kilka równoległych ścieżek:

Dokumentacja i procesy: wdrożenie lub aktualizacja polityki bezpieczeństwa informacji, procedur zarządzania ryzykiem, procedur zarządzania incydentami (z uwzględnieniem schematu 24h/72h/30 dni), planów ciągłości działania oraz procedur zarządzania zmianą. To nie jest papierowa formalność — dokumentacja musi odzwierciedlać faktyczne procesy, a nie stanowić zbioru aspiracji.

Łańcuch dostaw: przegląd umów z dostawcami krytycznymi pod kątem wymagań bezpieczeństwa, wprowadzenie klauzul dotyczących raportowania incydentów i prawa do audytu, ocena ryzyka dostawców z uwzględnieniem ich pozycji w łańcuchu. W naszej praktyce to jedno z najbardziej czasochłonnych zadań — renegocjacja umów z kilkudziesięcioma dostawcami potrafi zająć tygodnie.

Środki techniczne: wdrożenie lub rozbudowa systemów monitoringu (SIEM), detekcji incydentów, zarządzania podatnościami i reagowania na incydenty. Zakres zależy od punktu startowego — organizacja z dojrzałym SOC potrzebuje jedynie dostosowań, podczas gdy firma bez centralnego monitoringu stoi przed poważną inwestycją.

Szkolenia: program szkoleniowy dla kierownictwa (obowiązkowy na mocy NIS-2) oraz szkolenia podnoszące świadomość bezpieczeństwa dla wszystkich pracowników. Kierownictwo musi rozumieć cyberryzyka na tyle, by świadomie zatwierdzać środki zarządzania ryzykiem — to wymóg, którego spełnienie będzie weryfikowane.

Faza 3: Walidacja i rejestracja (miesiące 10-12)

Finalizacja wdrożenia i formalne dopełnienie obowiązków: audyt wewnętrzny gotowości do NIS-2, rejestracja w wykazie podmiotów kluczowych lub ważnych (termin: 2 października 2026), testy procedur reagowania na incydenty, przegląd zarządzania z udziałem kierownictwa oraz przygotowanie dokumentacji na potrzeby potencjalnej kontroli organu nadzoru.

DORA a NIS-2 — co muszą wiedzieć instytucje finansowe

Instytucje finansowe objęte rozporządzeniem DORA (Digital Operational Resilience Act — Rozporządzenie (UE) 2022/2554) mogą zastanawiać się, jak DORA ma się do NIS-2. Kluczowa zasada: DORA jest przepisem sektorowym (lex specialis), który w obszarze cyberbezpieczeństwa ma pierwszeństwo przed NIS-2 dla podmiotów finansowych. W praktyce oznacza to, że bank, ubezpieczyciel czy firma inwestycyjna, która spełnia wymagania DORA, spełnia jednocześnie wymagania NIS-2 w zakresie, w jakim się one pokrywają. Nie zwalnia to jednak z obowiązku rejestracji w wykazie podmiotów kluczowych, jeśli organizacja spełnia kryteria NIS-2.

Najczęściej zadawane pytania o NIS-2

Czy NIS-2 dotyczy samorządów i jednostek sektora publicznego?

Tak. Administracja publiczna jest jednym z sektorów kluczowych w NIS-2. Jednostki samorządu terytorialnego (JST), które świadczą usługi cyfrowe lub zarządzają infrastrukturą krytyczną, mogą podlegać nowym obowiązkom. Warto przy tym pamiętać, że JST mają jednocześnie obowiązki wynikające z rozporządzenia KRI (Krajowe Ramy Interoperacyjności) — systemy te trzeba traktować komplementarnie, nie alternatywnie.

Ile kosztuje wdrożenie NIS-2?

Koszt zależy od punktu startowego organizacji. Firma posiadająca certyfikat ISO 27001 potrzebuje głównie dostosowań regulacyjnych — koszt rzędu kilkudziesięciu tysięcy złotych. Organizacja bez formalnego SZBI musi liczyć się z kosztami od kilkuset tysięcy do kilku milionów złotych, w zależności od skali i złożoności infrastruktury.

Czy muszę mieć certyfikat ISO 27001, żeby spełnić NIS-2?

Nie. Certyfikat ISO 27001 nie jest wymagany przez NIS-2. Jednak norma ISO 27001 dostarcza najlepsze praktycznie sprawdzone ramy do spełnienia wymagań NIS-2 w zakresie zarządzania ryzykiem. Organizacjom, które jeszcze nie mają SZBI, rekomendujemy wdrożenie systemu zgodnego z ISO 27001 jako fundamentu pod NIS-2 — rozwiązuje to jednocześnie dwa problemy.

Co się stanie, jeśli nie wdrożę NIS-2 w terminie?

Kary administracyjne mogą być nakładane od 2 kwietnia 2028 roku. Wcześniej organ nadzoru może wydawać zalecenia i nakazy. Brak wdrożenia nie oznacza natychmiastowej kary, ale oznacza ryzyko — zarówno regulacyjne (nakazy, kontrole), jak i operacyjne (brak gotowości na incydent, który może się wydarzyć w dowolnym momencie).

Kto jest organem nadzoru NIS-2 w Polsce?

W zależności od sektora: minister właściwy ds. informatyzacji (dla większości sektorów), minister właściwy ds. energii (dla sektora energetycznego), Komisja Nadzoru Finansowego (dla sektora finansowego, w zakresie nieobjętym DORA) oraz inne organy sektorowe wskazane w ustawie.

Czy małe firmy (poniżej 50 pracowników) mogą podlegać NIS-2?

Co do zasady nie — NIS-2 stosuje kryterium wielkości (powyżej 50 pracowników lub 10 mln EUR obrotu). Wyjątki obejmują dostawców usług DNS, rejestratorów domen, dostawców usług zaufania i operatorów sieci telekomunikacyjnych, którzy podlegają NIS-2 niezależnie od wielkości. Dodatkowo małe firmy mogą odczuć pośredni wpływ NIS-2 poprzez wymagania bezpieczeństwa łańcucha dostaw nakładane przez ich klientów.

Czym NIS-2 różni się od RODO w kontekście raportowania incydentów?

Oba akty wymagają zgłaszania incydentów, ale różnią się zakresem i adresatem. RODO nakazuje zgłoszenie naruszenia ochrony danych osobowych do PUODO w ciągu 72 godzin — ale tylko wtedy, gdy incydent dotyczy danych osobowych. NIS-2 wymaga zgłoszenia każdego poważnego incydentu cyberbezpieczeństwa do właściwego CSIRT w schemacie 24h/72h/30 dni — niezależnie od tego, czy dotyczy danych osobowych. W praktyce cyberatak na infrastrukturę firmy energetycznej, który nie narusza danych osobowych, podlega NIS-2 ale nie RODO. Atak ransomware, który szyfruje bazę danych klientów, podlega obu regulacjom jednocześnie.

Czy NIS-2 wymaga przeprowadzenia testów penetracyjnych?

NIS-2 nie wymaga wprost testów penetracyjnych, ale wymaga „regularnego testowania i oceny skuteczności środków zarządzania ryzykiem". W praktyce testy penetracyjne i analizy podatności są jednym z najskuteczniejszych sposobów spełnienia tego wymagania. Regularne pentesty pozwalają zweryfikować, czy wdrożone zabezpieczenia faktycznie działają — a to właśnie tego oczekuje dyrektywa.

Czy organizacja musi wyznaczyć osobę odpowiedzialną za NIS-2?

Ustawa nie wymaga wyznaczenia konkretnego stanowiska „pełnomocnika NIS-2", ale praktyka organizacyjna jednoznacznie wskazuje, że ktoś musi koordynować wdrożenie i bieżące utrzymanie zgodności. W wielu organizacjach tę rolę pełni Pełnomocnik ds. bezpieczeństwa informacji lub CISO (Chief Information Security Officer). Organizacje, które nie dysponują takim stanowiskiem wewnętrznie, mogą skorzystać z outsourcingu tej funkcji.

Jak Fib.Code może pomóc

Zespół Fib.Code od ponad sześciu lat wspiera organizacje we wdrażaniu systemów zarządzania bezpieczeństwem informacji — od JST przez spółki komunalne po firmy z sektora energetycznego, finansowego i IT. Zrealizowaliśmy ponad 500 projektów, w tym wdrożenia ISO 27001, ISO 22301, audyty KRI i outsourcing funkcji IOD oraz Pełnomocnika ds. bezpieczeństwa informacji.

W kontekście NIS-2 oferujemy: analizę klasyfikacyjną — czy i w jakim zakresie organizacja podlega NIS-2, gap analysis — ocenę luki między obecnym stanem a wymaganiami, wdrożenie lub rozbudowę SZBI zgodnego z ISO 27001 i wymaganiami NIS-2, budowę procesu zarządzania incydentami z uwzględnieniem schematu 24h/72h/30 dni, audyty bezpieczeństwa łańcucha dostaw, szkolenia dla kierownictwa i pracowników oraz bieżące wsparcie jako zewnętrzny Pełnomocnik ds. bezpieczeństwa informacji.

Każdy projekt rozpoczynamy od rozmowy — nie od oferty. Chętnie porozmawiamy o tym, co NIS-2 oznacza konkretnie dla Twojej organizacji.

Umów bezpłatną konsultację: l.grabowski@fibcode.com | fibcode.com

Artykuł odzwierciedla stan prawny na dzień 9 marca 2026 roku. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa została opublikowana w Dzienniku Ustaw 2 marca 2026 roku i wchodzi w życie 2 kwietnia 2026 roku.