35 pytań otwartych od ręki. Pozostałe 278 odblokujesz bezpłatnie e-mailem (panel po prawej).
NIS2 — absolutne podstawy
Co to jest NIS2?
NIS2 to dyrektywa Unii Europejskiej o cyberbezpieczeństwie — pełna nazwa: dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. Określa, jak organizacje istotne dla gospodarki i państwa mają zarządzać ryzykiem cybernetycznym i zgłaszać incydenty. To „konstytucja" europejskiego cyberbezpieczeństwa dla firm.
„NIS" to skrót od angielskiego „Network and Information Systems" — sieci i systemy informatyczne. Dwójka oznacza, że to druga wersja: NIS2 zastępuje wcześniejszą dyrektywę NIS z 2016 r. (dyrektywa 2016/1148).
Rozporządzenie (jak RODO czy DORA) obowiązuje wprost we wszystkich państwach UE. Dyrektywa (jak NIS2) wyznacza cel, ale wymaga, by każde państwo przyjęło własną ustawę krajową. Dlatego NIS2 sama w sobie nie obowiązuje w Polsce bezpośrednio — działa przez ustawę o KSC.
Żeby podnieść i ujednolicić poziom cyberbezpieczeństwa w całej UE. Stara dyrektywa NIS była zbyt wąska i różnie wdrażana w państwach członkowskich. NIS2 rozszerza krąg objętych podmiotów, zaostrza obowiązki i wprowadza realne sankcje.
Podstawa prawna: dyrektywa (UE) 2022/2555, art. 1 oraz motywy 3–6.
Czym NIS2 różni się od starej dyrektywy NIS?
Cztery rzeczy: obejmuje 18 sektorów zamiast 7, wprowadza dwie kategorie podmiotów (kluczowe i ważne), nakłada osobistą odpowiedzialność zarządu oraz ustanawia wysokie kary (do 10 mln EUR). NIS była dużo węższa i mniej dotkliwa.
Nie, ale są ściśle powiązane. NIS2 to dyrektywa unijna, a KSC to polska ustawa, która ją wdraża do naszego prawa. W praktyce: gdy mówimy „obowiązki NIS2 w Polsce", chodzi o przepisy ustawy o KSC.
Podstawa prawna: ustawa o KSC (Dz.U. 2026 poz. 20 t.j.) w zw. z dyrektywą (UE) 2022/2555.
Czy NIS2 dotyczy tylko firm IT?
Nie. To częste nieporozumienie. NIS2 obejmuje energetykę, transport, bankowość, zdrowie, wodę, żywność, chemię, gospodarkę odpadami, produkcję, administrację publiczną i wiele innych — łącznie 18 sektorów. Branża IT to tylko jeden z nich.
Podstawa prawna: dyrektywa (UE) 2022/2555, załączniki I i II; ustawa o KSC, załączniki nr 1 i 2.
Czy NIS2 dotyczy mojej firmy spoza UE?
Może dotyczyć, jeśli świadczysz usługi na terytorium UE. Niektóre podmioty (np. dostawcy chmury, DNS, usług cyfrowych) podlegają, nawet jeśli mają siedzibę poza Unią — wtedy muszą wyznaczyć przedstawiciela w UE.
Czy NIS2 jest obowiązkowa, czy to tylko zalecenia?
W pełni obowiązkowa. Po wdrożeniu do prawa krajowego (w Polsce — ustawą o KSC) jej obowiązki są egzekwowalne, a za ich naruszenie grożą kary administracyjne i osobista odpowiedzialność zarządu.
Podstawa prawna: dyrektywa (UE) 2022/2555, art. 34; ustawa o KSC, art. 73 i 73a.
Kto w UE czuwa nad NIS2?
Na poziomie unijnym koordynuje Grupa Współpracy (Cooperation Group), sieć CSIRT-ów oraz agencja ENISA. W każdym państwie działają krajowe organy nadzorcze i zespoły reagowania (CSIRT). W Polsce to m.in. CSIRT NASK, CSIRT GOV i CSIRT MON.
Nie. RODO chroni dane osobowe, a NIS2 — odporność systemów i ciągłość usług. To dwie różne regulacje, które się uzupełniają. Jeden incydent (np. atak ransomware z wyciekiem danych) może wymagać zgłoszenia i pod RODO, i pod KSC.
Podstawa prawna: RODO (rozporządzenie 2016/679), art. 33; ustawa o KSC, art. 11.
Co to są „środki zarządzania ryzykiem" w NIS2?
To zestaw wymogów technicznych i organizacyjnych, które podmiot musi wdrożyć, by zapanować nad ryzykiem cyber — m.in. analiza ryzyka, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, szyfrowanie i kontrola dostępu. NIS2 wymienia je wprost.
Nie. NIS2 i KSC opisują, co trzeba osiągnąć (np. monitorowanie ciągłe, szyfrowanie), ale nie narzucają konkretnych produktów. Środki mają być proporcjonalne do ryzyka i wielkości podmiotu.
DORA to rozporządzenie wyłącznie dla sektora finansowego (banki, ubezpieczyciele, firmy inwestycyjne). NIS2 jest horyzontalna — obejmuje wiele sektorów. Dla podmiotów finansowych DORA ma pierwszeństwo jako przepis bardziej szczegółowy.
W bazie EUR-Lex pod oznaczeniem dyrektywy 2022/2555. To jedyne wiążące, oficjalne źródło tekstu unijnego — w polskiej wersji językowej dostępne bezpłatnie.
Podstawa prawna: dyrektywa (UE) 2022/2555 (Dz. Urz. UE L 333 z 27.12.2022).
Ustawa o KSC i kalendarz wdrożenia w Polsce
Co to jest ustawa o KSC?
To ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Organizuje cały polski system cyberbezpieczeństwa i — po nowelizacji z 2026 r. — wdraża dyrektywę NIS2. To jest akt, który realnie nakłada obowiązki na polskie firmy.
Jak w trzech krokach sprawdzić, czy podlegam NIS2?
Po pierwsze — czy prowadzisz działalność w jednym z 18 sektorów z załączników do ustawy. Po drugie — czy osiągasz próg wielkości (zwykle średnie przedsiębiorstwo). Po trzecie — czy nie obejmuje Cię wyjątek (np. niezależnie od wielkości albo decyzja organu). Jeśli tak na dwa pierwsze pytania — najprawdopodobniej podlegasz.
Podstawa prawna: ustawa o KSC, art. 5; dyrektywa (UE) 2022/2555, art. 2 i 3.
Podmiot kluczowy a podmiot ważny
Jaka jest różnica między podmiotem kluczowym a ważnym?
Podmiot kluczowy podlega ostrzejszemu reżimowi: ma obowiązkowy audyt co 3 lata, nadzór prewencyjny i wyższą maksymalną karę (10 mln EUR lub 2% przychodów). Podmiot ważny ma audyt tylko na żądanie organu, nadzór następczy i niższą karę (7 mln EUR lub 1,4%).
Podstawa prawna: ustawa o KSC, art. 15 ust. 1, art. 53, art. 73 ust. 3 i 4.
Rejestracja w wykazie podmiotów kluczowych i ważnych
Czym jest wykaz podmiotów kluczowych i ważnych?
To prowadzony przez państwo rejestr podmiotów objętych KSC. Wpis do niego jest jednym z pierwszych obowiązków — pozwala organom i CSIRT-om wiedzieć, kto podlega ustawie i jak się z nim kontaktować.
Podstawa prawna: ustawa o KSC, art. 7–7m.
Obowiązki — system zarządzania bezpieczeństwem (art. 8)
Jaki jest główny obowiązek techniczny w KSC?
Wdrożenie systemu zarządzania bezpieczeństwem informacji w systemach używanych do świadczenia usługi. To „serce" obowiązków — od analizy ryzyka po konkretne środki techniczne i organizacyjne.
Podstawa prawna: ustawa o KSC, art. 8 ust. 1.
Dokumentacja bezpieczeństwa (art. 10)
Czy muszę prowadzić dokumentację bezpieczeństwa?
Tak. Podmiot kluczowy lub ważny opracowuje, stosuje i aktualizuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego używanego do świadczenia usługi.
Podstawa prawna: ustawa o KSC, art. 10 ust. 1.
Zgłaszanie incydentów (24h / 72h / miesiąc)
W jakim terminie muszę zgłosić poważny incydent?
Trzy etapy: wczesne ostrzeżenie najpóźniej w ciągu 24 godzin od wykrycia, pełne zgłoszenie w ciągu 72 godzin, a sprawozdanie końcowe w ciągu miesiąca. Adresatem jest właściwy CSIRT sektorowy.
Podstawa prawna: ustawa o KSC, art. 11 ust. 1 pkt 4, 4a i 4c.
Struktury wewnętrzne i dostawca usług cyberbezpieczeństwa (art. 14)
Czy muszę mieć własny zespół cyberbezpieczeństwa?
Masz wybór: utworzyć wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo albo zawrzeć umowę z dostawcą usług zarządzanych w tym zakresie (MSSP). Liczy się to, że ktoś realnie odpowiada za te zadania.
Podstawa prawna: ustawa o KSC, art. 14.
Audyt bezpieczeństwa (art. 15)
Czy muszę przeprowadzać audyt cyberbezpieczeństwa?
Podmiot kluczowy — tak, cyklicznie. Podmiot ważny — tylko na żądanie organu, w razie incydentu poważnego lub naruszenia. To jedna z kluczowych różnic między tymi kategoriami.
Podstawa prawna: ustawa o KSC, art. 15 ust. 1 i 1b.
Odpowiedzialność zarządu i kierownika (art. 8c–8f)
Czy zarząd odpowiada osobiście za cyberbezpieczeństwo?
Tak. To jedna z najważniejszych zmian NIS2. Kierownik podmiotu kluczowego lub ważnego osobiście odpowiada za wykonywanie obowiązków cyberbezpieczeństwa przez podmiot.
Podstawa prawna: ustawa o KSC, art. 8c ust. 1.
Kary i nadzór
Jaka jest maksymalna kara dla podmiotu kluczowego?
Do 10 000 000 EUR lub 2% przychodów z poprzedniego roku obrotowego — w zależności od tego, która kwota jest wyższa. Kara nie może być niższa niż 20 000 zł.
Podstawa prawna: ustawa o KSC, art. 73 ust. 3.
NIS2 a DORA i sektor finansowy
Czy bank podlega NIS2, czy DORA?
Przede wszystkim DORA. Dla sektora finansowego DORA jest przepisem szczególnym (lex specialis) i ma pierwszeństwo przed NIS2 w zakresie, który reguluje.
CRA to rozporządzenie (UE) 2024/2847 ustanawiające horyzontalne wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi wprowadzanych na rynek UE. Obowiązuje wprost, bez transpozycji do prawa krajowego.
Tak. Bezpieczeństwo łańcucha dostaw to wprost wymagany element — trzeba oceniać podatności oraz jakość produktów i usług ICT od dostawców i uwzględniać to w zarządzaniu ryzykiem.
Podstawa prawna: ustawa o KSC, art. 8 ust. 1 pkt 2; dyrektywa (UE) 2022/2555 (NIS2), art. 21 ust. 2 lit. d i ust. 3.
NIS2 a branża IT i tworzenie oprogramowania
Czy firma tworząca oprogramowanie (software house) podlega NIS2?
To zależy od tego, co i dla kogo robi. Samo pisanie oprogramowania na zlecenie niekoniecznie mieści się w sektorach z załączników, ale jeśli świadczysz usługi zarządzane ICT, hosting, chmurę albo cyberbezpieczeństwo — najczęściej tak. Trzeba przeanalizować profil usług, nie samą nazwę „IT".
Podstawa prawna: ustawa o KSC, art. 5; załącznik nr 1 (infrastruktura cyfrowa, zarządzanie usługami ICT).
Pytania zaawansowane i praktyka wdrożeniowa
Od czego realnie zacząć wdrożenie KSC?
Od analizy klasyfikacyjnej: czy podlegasz i jako kto (kluczowy/ważny). Dopiero potem — rejestracja, analiza ryzyka, dobór środków z art. 8, dokumentacja, procedury incydentowe i obowiązki zarządu. Klasyfikacja determinuje cały zakres prac.
DNS (Domain Name System, system nazw domen) to „książka telefoniczna" internetu — zamienia czytelne nazwy (np. legalgeek.pl) na adresy IP, pod którymi naprawdę znajdują się serwery. Bez DNS trzeba by wpisywać ciągi cyfr zamiast nazw stron.
Podstawa prawna: dyrektywa (UE) 2022/2555, art. 6 (definicje); ustawa o KSC, załącznik nr 1 (infrastruktura cyfrowa).
Bonus: CRA (akt o cyberodporności) w pytaniach
Jaki jest cel CRA?
Zapewnienie, by produkty z elementami cyfrowymi wprowadzane na rynek UE były bezpieczne „od projektu" i pozostawały bezpieczne przez cały okres wsparcia. CRA przenosi ciężar cyberbezpieczeństwa na producenta produktu.
Podmioty finansowe poza reżimem podmiotów kluczowych i ważnych (KIP, MIP, instytucje pożyczkowe)
Kim jest „podmiot finansowy" w rozumieniu ustawy o KSC?
To podmiot wymieniony w art. 2 ust. 1 lit. a–t rozporządzenia DORA — m.in. instytucje kredytowe (banki), instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawcy usług w zakresie kryptoaktywów (CASP) oraz dostawcy usługi dostępu do informacji o rachunku (AISP). KSC przejmuje tę definicję wprost.
Pytania to dopiero początek. Pomożemy zakwalifikować podmiot, wdrożyć obowiązki techniczne, ustawić proces incydentowy i przygotować się na nadzór — w jednym zespole prawa i technologii.
