Nowe standardy ochrony IT w biznesie – skutki wdrożenia dyrektywy NIS2

Kary do 10 mln euro, obowiązkowe audyty i 24-godzinne terminy zgłoszeń incydentów – tak wygląda nowa rzeczywistość prawna przedsiębiorców w obszarze cyberbezpieczeństwa.

adwokat, Marszałek & Partnerzy

W odpowiedzi na narastające zagrożenia cyberbezpieczeństwa, które obejmują zarówno krytyczne systemy państwowe, jak i nowoczesne usługi cyfrowe, Unia Europejska przyjęła w 2024 r. dyrektywę (UE) 2022/2555 – NIS2, której celem jest podniesienie odporności systemów informacyjnych w kluczowych obszarach gospodarki i administracji. Dyrektywa NIS2 nakłada na państwa członkowskie obowiązek ustanowienia obowiązków cyberbezpieczeństwa, obejmujących m.in. zarządzanie ryzykiem cybernetycznym, środki ochrony technicznej i obowiązki raportowania incydentów (art. 1, 20–23 NIS2).

Nowe przepisy

W Polsce implementację NIS2 ma zapewnić nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa – KSC. Projekt nowelizacji został uchwalony przez Sejm 23 stycznia 2026 r. i obecnie znajduje się w procedurze senackiej, zatem w najbliższych miesiącach można spodziewać się jej wejścia w życie.

Nowelizacja KSC znacząco rozszerza zakres podmiotów objętych regulacją. Obowiązki obejmą podmioty działające w sektorach, które NIS2 określa jako kluczowe lub istotne dla bezpieczeństwa i funkcjonowania państwa, w tym sektor energetyczny (np. produkcja, przesył i dystrybucja energii), transport (kolej, lotnictwo, porty, istotne drogi), zdrowie (szpitale, laboratoria, dostawcy usług medycznych), sektor finansowy i bankowy, usługi cyfrowe...