cyberbezpieczeństwo prawo

Kompendium Wdrożeniowe NIS2: Kary, Terminy i Obowiązki w Nowelizacji UKSC 2025

Zespół clev.one
6 min czytania
Kompendium Wdrożeniowe NIS2: Kary, Terminy i Obowiązki w Nowelizacji UKSC 2025

Styczeń 2025 roku zapisze się w historii polskiego cyberbezpieczeństwa jako moment przełomowy. Po miesiącach opóźnień względem unijnego terminu (październik 2024), nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa wreszcie wchodzi w końcową fazę legislacyjną.

Ale nie daj się zwieść pozornemu spokojowi. To, co nadchodzi, zmieni sposób, w jaki tysiące polskich firm myślą o bezpieczeństwie informatycznym.

Jeśli szukasz ogólnego wprowadzenia do NIS2 i jego wpływu na małe firmy, przeczytaj najpierw nasz artykuł NIS2 dla Małych Firm.

Gdzie jesteśmy? Status legislacyjny

Projekt nowelizacji UKSC przeszedł prace w Komisji Cyfryzacji i oczekuje na finalne głosowania oraz podpis Prezydenta. Minister Cyfryzacji Krzysztof Gawkowski wielokrotnie deklarował determinację, by zamknąć proces parlamentarny w najbliższych tygodniach.

Co to oznacza w praktyce?

Po wejściu ustawy w życie rozpocznie się okres dostosowawczy. Według najnowszych projektów, podmioty objęte regulacją będą miały 3 miesiące na rejestrację w wykazie oraz 6 miesięcy na pełne wdrożenie systemu zarządzania bezpieczeństwem informacji.

To nie jest dużo czasu. Szczególnie jeśli weźmiemy pod uwagę skalę zmian.

Samoidentyfikacja: Czy to dotyczy Twojej firmy?

Jedną z najważniejszych zmian wprowadzonych przez NIS2 jest mechanizm samoidentyfikacji. W przeciwieństwie do poprzednich regulacji, to nie urząd będzie Ci mówił, że podlegasz przepisom — sam musisz to ustalić i zgłosić się do rejestru.

Kryterium wielkości

Podstawowe kryteria opierają się na Zaleceniu Komisji 2003/361/WE:

Typ podmiotu Zatrudnienie Obrót roczny Suma bilansowa
Podmiot kluczowy (duży) ≥250 pracowników >50 mln EUR >43 mln EUR
Podmiot ważny (średni) ≥50 pracowników >10 mln EUR >10 mln EUR

Uwaga: wystarczy spełnienie jednego z kryteriów finansowych przy spełnieniu kryterium zatrudnienia.

Sektory objęte regulacją NIS2

Dyrektywa NIS2 obejmuje 18 sektorów podzielonych na kluczowe i ważne:

Sektory kluczowe: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B), administracja publiczna, przestrzeń kosmiczna.

Sektory ważne: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja chemikaliów, produkcja żywności, przemysł wytwórczy (w tym urządzenia medyczne, komputery, pojazdy), dostawcy usług cyfrowych, badania naukowe.

Jedyni dostawcy — pułapka interpretacyjna

Art. 2 ust. 2 lit. f dyrektywy NIS2 wprowadza pojęcie „jedynego dostawcy” usługi kluczowej. Wiele firm błędnie interpretuje to jako lokalny monopol.

Prawidłowa interpretacja: chodzi o monopolistów o znaczeniu krajowym, nie lokalnym. Jeśli jesteś jedynym dostawcą internetu w gminie X, to nie kwalifikujesz się automatycznie. Jeśli jesteś jedynym operatorem infrastruktury krytycznej w skali kraju — to już inna historia.

Odpowiedzialność kadry kierowniczej: Tu robi się poważnie

To prawdopodobnie najbardziej kontrowersyjna i najsurowsza część polskiej implementacji NIS2.

Osobista odpowiedzialność finansowa

Projekt nowelizacji UKSC wprowadza bezpośrednią odpowiedzialność kierowników za cyberbezpieczeństwo organizacji. I nie mówimy tu o odpowiedzialności symbolicznej.

Kierownik podmiotu kluczowego lub ważnego może zostać ukarany karą pieniężną w wysokości do 600% miesięcznego wynagrodzenia, obliczanego według zasad ustalania ekwiwalentu pieniężnego za urlop.

Przy średnim wynagrodzeniu prezesa na poziomie 50 000 zł miesięcznie, mówimy o karze do 300 000 zł — nakładanej bezpośrednio na osobę fizyczną, niezależnie od kar dla samej organizacji.

Zakaz pełnienia funkcji kierowniczych

W skrajnych przypadkach rażących naruszeń, organ nadzoru może nałożyć czasowy zakaz pełnienia funkcji kierowniczych — zazwyczaj do 2 lat. To jeden z najbardziej rygorystycznych elementów polskiej implementacji, wykraczający poza minimalne wymogi dyrektywy.

Kim jest „kierownik podmiotu”?

Projekt nowelizacji UKSC odsyła do definicji z ustawy o rachunkowości. W praktyce oznacza to:

  • członków zarządu spółek kapitałowych
  • wspólników prowadzących sprawy spółki w spółkach osobowych
  • właścicieli jednoosobowych działalności
  • likwidatorów, syndyków, zarządców sukcesyjnych

Jeśli kierownictwo sprawuje organ wieloosobowy, odpowiedzialność ponoszą wszyscy członkowie tego organu.

Raportowanie incydentów: Zegar tyka

Model raportowania incydentów w NIS2 jest jednym z najbardziej rygorystycznych w historii europejskiego prawa cyberbezpieczeństwa. To szczególnie istotne w kontekście problemu długiego dwell time — jeśli wykryjesz incydent zbyt późno, możesz nie zdążyć ze zgłoszeniem.

Trzy terminy, których nie możesz przegapić

Etap Termin Co musisz zgłosić
Wczesne ostrzeżenie 24 godziny Samo wystąpienie incydentu, wstępna ocena
Zgłoszenie właściwe 72 godziny Szczegóły techniczne, zakres, pierwsze działania
Raport końcowy 1 miesiąc Pełna analiza, przyczyny, podjęte środki zaradcze

Te terminy są sztywne i liczone od momentu wykrycia incydentu, nie od momentu jego wystąpienia.

Praktyczna wskazówka

Jednym z najczęściej pomijanych elementów przygotowań jest zapewnienie alternatywnych kanałów komunikacji z CSIRT.

Co zrobisz, jeśli incydent dotknie Twoją infrastrukturę komunikacyjną? Email nie działa, VPN padł, telefony służbowe są niedostępne. A zegar 24-godzinny tyka.

Przygotuj wcześniej:

  • numery telefonów komórkowych do kluczowych osób w CSIRT
  • alternatywne adresy email (prywatne, zewnętrzne)
  • procedurę zgłoszenia „offline”
  • wydrukowane formularze zgłoszeniowe

Kary finansowe NIS2: Matematyka bólu

Dyrektywa NIS2 wprowadza drakoński system kar, a polska implementacja dodatkowo precyzuje kwoty minimalne.

Dla podmiotów kluczowych

  • Maksimum: 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu (zastosowanie ma kwota wyższa)
  • Minimum: 20 000 zł
  • W przypadku zagrożenia dla bezpieczeństwa państwa: do 100 000 000 zł

Dla podmiotów ważnych

  • Maksimum: 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu
  • Minimum: 15 000 zł

Kary okresowe

Za opóźnienia w wykonaniu decyzji organu nadzoru: od 500 zł do 100 000 zł za każdy dzień opóźnienia.

Dostawcy Wysokiego Ryzyka (HRV): Tykająca bomba

Jednym z najbardziej kontrowersyjnych elementów polskiej nowelizacji są przepisy o Dostawcach Wysokiego Ryzyka (High Risk Vendors).

Minister Cyfryzacji może wydać decyzję uznającą określonego dostawcę sprzętu lub usług teleinformatycznych za „dostawcę wysokiego ryzyka”. Konsekwencje takiej decyzji są daleko idące:

  • zakaz wprowadzania nowych produktów tego dostawcy
  • obowiązek wycofania istniejącego sprzętu w terminie do 4 lat
  • dotyczy to szczególnie infrastruktury telekomunikacyjnej (5G) i energetycznej

Dla wielu firm oznacza to potencjalną konieczność wymiany sprzętu wartego setki tysięcy lub miliony złotych. Warto już teraz przeprowadzić audyt łańcucha dostaw.

Lista kontrolna: Co zrobić teraz?

Nie czekaj na oficjalne wejście w życie ustawy. Oto minimum, które powinieneś zrobić już dziś:

W ciągu najbliższych 2 tygodni:

  • Przeprowadź samoidentyfikację — czy Twoja organizacja spełnia kryteria?
  • Zidentyfikuj „kierownika podmiotu” w rozumieniu ustawy
  • Sprawdź, czy posiadasz aktualną polisę D&O (ubezpieczenie dla zarządu)

W ciągu najbliższego miesiąca:

  • Przeprowadź wstępną analizę luk względem wymogów NIS2
  • Zinwentaryzuj systemy informatyczne i procesy krytyczne
  • Sprawdź umowy z dostawcami IT pod kątem wymogów bezpieczeństwa

W ciągu 3 miesięcy:

  • Wdróż lub zaktualizuj System Zarządzania Bezpieczeństwem Informacji (SZBI)
  • Przeprowadź szkolenie dla kadry kierowniczej
  • Przygotuj procedury zgłaszania incydentów
  • Przetestuj alternatywne kanały komunikacji z CSIRT
  • Wdróż systemy wczesnego wykrywania incydentów (canary tokens, EDR)

Fundusz Cyberbezpieczeństwa: Gdzie trafią Twoje kary

Warto wiedzieć: kary pieniężne nakładane na podstawie nowelizacji UKSC będą zasilać Fundusz Cyberbezpieczeństwa.

Oznacza to, że organy nadzoru mają dodatkową motywację do skutecznego egzekwowania przepisów — każda nałożona kara to więcej środków na ich działalność.

Podsumowanie

NIS2 i nowelizacja UKSC to nie kolejna papierowa regulacja do „odhaczenia”. To fundamentalna zmiana paradygmatu, w której:

  • cyberbezpieczeństwo staje się osobistą odpowiedzialnością zarządów
  • kary są na tyle dotkliwe, że mogą zagrozić stabilności finansowej firmy
  • terminy są na tyle krótkie, że improwizacja nie wchodzi w grę

Firmy, które potraktują te regulacje poważnie, zyskają nie tylko zgodność z prawem, ale też realną odporność na zagrożenia. Te, które będą czekać do ostatniej chwili, zapłacą — dosłownie.

Czas zacząć działać.

Chcesz wykrywać incydenty w czasie rzeczywistym i zdążyć ze zgłoszeniem w 24h? Zapisz się na listę oczekujących clev.one — prosty system wczesnego ostrzegania, który pomoże Ci spełnić wymogi NIS2.

Tagi: #NIS2 #UKSC #compliance #CSIRT #kary #zgłaszanie-incydentów

Chcesz chronić swoje dane?

Zapisz się na listę oczekujących i otrzymaj 2 miesiące gratis.

Zapisz się teraz