Dyrektywa NIS2 (Network and Information Security) i jej polska implementacja w ustawie o Krajowym Systemie Cyberbezpieczeństwa nakładają nowe obowiązki na organizacje z określonych sektorów. Pytanie „czy nas to dotyczy?” jest jednym z pierwszych, jakie zadają firmy, gdy temat pojawia się u klientów, partnerów lub w mediach.
Odpowiedź nie zawsze jest oczywista. Ale można ją systematycznie ustalić.
Dwa rodzaje podmiotów objętych NIS2
NIS2 rozróżnia dwie kategorie:
Podmioty kluczowe to organizacje z sektorów o największym znaczeniu dla gospodarki i bezpieczeństwa: energia, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT oraz administracja publiczna.
Podmioty ważne to szersza kategoria obejmująca m.in. usługi pocztowe i kurierskie, zarządzanie odpadami, produkcję (żywność, chemikalia, wyroby medyczne, elektronikę, maszyny), dostawców usług cyfrowych oraz sieci wodociągowe.
Podmioty kluczowe podlegają surowszemu nadzorowi i wyższym karom — ale obowiązki dotyczące zarządzania ryzykiem i incydentami są zbliżone dla obu grup.
Próg wielkości: 50 pracowników lub 10 mln EUR
Sama przynależność do sektora to za mało. Co do zasady obowiązek dotyczy organizacji, które zatrudniają co najmniej 50 osób lub osiągają przychód (albo sumę bilansową) przekraczający 10 mln EUR. Firmy poniżej tych progów zazwyczaj nie podlegają obowiązkom bezpośrednio.
Ważna uwaga: progi liczone są dla całej grupy kapitałowej. Jeśli firma jest częścią większej struktury korporacyjnej, decyduje łączna liczba pracowników i przychód całej grupy — nie tylko lokalnej spółki.
Wyjątek od progu wielkości: niezależnie od rozmiaru NIS2 obejmuje m.in. operatorów infrastruktury krytycznej, dostawców sieci publicznych i niektóre podmioty administracji publicznej.
Praktyczna lista sektorów — które firmy powinny sprawdzić?
Dla firm z segmentu MŚP najczęściej pojawia się pytanie o te obszary:
- produkcja przemysłowa — elektronika, maszyny, urządzenia elektryczne, pojazdy, wyroby medyczne
- firmy IT, dostawcy usług zarządzanych (MSP), dostawcy oprogramowania
- usługi cyfrowe — marketplace, cloud computing, wyszukiwarki
- firmy logistyczne i transportowe
- podmioty z sektora żywnościowego
- dostawcy i podwykonawcy dla organizacji kluczowych
Lista sektorów w dyrektywie jest długa, a definicje niejednorodne. Firma zajmująca się np. integracją systemów, usługami chmurowymi czy produkcją komponentów dla różnych branż może być trudnym przypadkiem do samodzielnej oceny.
Jak to ocenić w trzech krokach?
Pierwsza weryfikacja nie wymaga prawnika ani konsultanta. Sprawdź trzy rzeczy:
Krok 1 — branża i działalność. Czy firma działa w jednym z sektorów wymienionych w ustawie? Czasem granice są nieoczywiste — firma IT obsługująca wyłącznie klientów z sektora zdrowia może podlegać dodatkowym wymaganiom jako dostawca dla podmiotu kluczowego.
Krok 2 — liczba pracowników i przychód. Czy przekraczacie próg 50 pracowników lub 10 mln EUR obrotu (licząc całą grupę kapitałową)?
Krok 3 — rola w łańcuchu dostaw. Nawet jeśli firma nie podlega NIS2 bezpośrednio, duzi klienci mogą wymagać zgodności jako warunku umownego. Rośnie liczba przetargów i kontraktów B2B, w których wymagania cyberbezpieczeństwa dotyczą całego łańcucha dostawców.
Co jeśli firma podlega wymaganiom?
Zakres obowiązków obejmuje przede wszystkim:
- wdrożenie systemu zarządzania bezpieczeństwem informacji
- analizę ryzyka i dokumentację polityk bezpieczeństwa
- procedury reagowania na incydenty i ich zgłaszania
- zarządzanie ciągłością działania i kopiami zapasowymi
- kontrolę dostępu i bezpieczeństwo łańcucha dostaw
- szkolenia i polityki cyberhigieny dla pracowników
To dużo, ale większość tych obszarów da się wdrożyć etapami — zaczynając od diagnozy i dokumentacji, a kończąc na planie działań. Ryzyko kar jest realne (do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych), ale ważniejsze jest to, że brak podstaw powoduje realne ryzyko operacyjne i reputacyjne.
Nie jesteś pewien? To normalne
Wiele firm, które do nas trafia, nie wie jeszcze, czy NIS2 ich dotyczy — albo wie, że dotyczy, ale nie wie, od czego zacząć. To jest właśnie punkt wyjścia naszej analizy gotowości.
W ramach wywiadu organizacyjnego i ankiety ustalamy zakres obowiązywania, identyfikujemy braki i dostarczamy raport z konkretnym uzasadnieniem. Nie ogólnikami, nie straszeniem — tylko tym, co naprawdę wymaga działania.