Cyberprzestępczość profesjonalizuje się w tempie, które trudno nam sobie dzisiaj wyobrazić. Grupy hakerskie działają jak dobrze zorganizowane, globalne korporacje. Atakują szpitale, paraliżują łańcuchy dostaw, blokują systemy firm transportowych i produkcyjnych. Przerwy w działaniu przedsiębiorstw oznaczają ogromne straty finansowe i wizerunkowe. Historia zna przypadki, że firmy upadają przez takie działania. To z kolei wpływa na bezpieczeństwo nie tylko w poszczególnych krajach, ale w całej Unii Europejskiej. Unia dostrzega rosnącą skalę tych zagrożeń, stąd stale pracuje nad rozwiązaniami, które mają zadbać o nasze cyberbezpieczeństwo. Należą do nich m.in. ostatnie zmiany w dyrektywie NIS2, które w 2026 roku zostały wdrożone do porządku krajowego.
Jednym z nich jest obowiązek samoidentyfikacji przedsiębiorstw, które same mają ustalić, czy należą do grupy podmiotów ważnych lub kluczowych według definicji z dyrektywy NIS2. Teraz firmy same muszą sprawdzić, ocenić i zdecydować, czy nowe regulacje dotyczą ich działalności. Błąd może je słono kosztować. Dlatego nasza kancelaria radców prawnych LO:ME pomaga w tym procesie i pomaga ograniczyć ryzyko.
Czym dokładnie jest dyrektywa NIS2 i dlaczego Unia zdecydowała się na zmiany?
Dyrektywa NIS2 zastąpiła swoją poprzedniczkę – dyrektywę NIS. Mechanizm obu dyrektyw ma w założeniu wyznaczać podstawowe standardy cyberbezpieczeństwa dla określonej grupy operatorów usług podstawowych. Początkowo dotyczyło to wąskiej grupy podmiotów, m.in. instytucji finansowych czy sektora energetycznego, a także głównych dostawców usług cyfrowych. Szybko okazało się, że wraz z postępującą cyfryzacją gospodarki oraz rosnącą siecią powiązań biznesowych, zakres podmiotowy dyrektywy NIS okazał się zbyt wąski.
Grupy przestępcze rozrosły się i zmieniły sposób działania. Zaczęły uderzać w mniejsze przedsiębiorstwa, które stanowiły łatwiejszy cel i były bardziej podatne na ataki. Na bazie tych doświadczeń Unia zdecydowała się na wdrożenie dyrektywy NIS2 rozszerzającej katalog podmiotów, które maja podnieść swój standard cyberbezpieczeństwa.

Zatem NIS2 rozszerza parasol ochronny. Ustawodawca unijny w miejsce punktowo wybranych instytucji zdecydował się chronić cały sektor gospodarki i łańcuchów dostaw. Jedna z największych zmian, jakie niesie dyrektywa NIS, to nowe, jednolite kryteria i obowiązki, które wymuszają na przedsiębiorstwach samodzielne ustalenie, czy spełniają przesłanki uznania ich za podmiot kluczowy albo podmiot ważny, według definicji określonej przez dyrektywę.
Istotą tych zmian jest nałożenie na zobowiązane podmioty obowiązku wdrożenia kompleksowego systemu zarządzania ryzykiem. Podmioty te mają także proaktywnie monitorować incydenty i błyskawicznie raportować naruszenia do organów państwowych. System wprowadzony przez Dyrektywę NIS2 ma na celu nie tylko ujednolicić poziom bezpieczeństwa w całej Unii Europejskiej. Ma też wymusić pełną odpowiedzialność za struktury IT na kadrze zarządzającej spółkami.
Główne cele dyrektywy NiS2 – ujednolicenie i budowa cyfrowej tarczy
Mając świadomość cyberzagrożeń, Unia Europejska chce zbudować wspólny wysoki poziom odporności na te zagrożenia we wszystkich krajach wspólnoty. Dyrektywa ma być narzędziem, które ujednolici te standardy europejskiego cyberbezpieczeństwa. Żeby móc wyegzekwować te cele, akt ten wprowadza rygorystyczne zasady raportowania incydentów. Między innymi zmusza zobowiązane firmy do informowania organów o ważnych atakach w ciągu zaledwie 24 godzin od ich wykrycia.
Dyrektywa NIS2 bardzo rozszerzyła też listę sektorów podlegających państwowej ochronie. Wymogi obejmują m.in. gospodarkę odpadami, produkcję i dystrybucję żywności, usługi pocztowe i kurierskie, produkcję chemiczną czy szeroko rozumianą infrastrukturę cyfrową. Celem Unii nie jest jednak karanie biznesu, ale wdrożenie realnych zabezpieczeń. W założeniu unijnego ustawodawcy, gospodarka musi płynnie funkcjonować nawet w obliczu zmasowanych cyberataków.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – wdrożenie NIS2 w Polsce
Polska, podobnie jak inne kraje, musiała wdrożyć do polskiego porządku prawnego europejskie wytyczne. Dyrektywa nie działa bowiem bezpośrednio w państwach członkowskich, ale wymaga wprowadzenia jej rozwiązań właściwymi ustawami. W Polsce tym aktem jest ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Nowe przepisy obowiązują w naszym kraju od 3 kwietnia 2026 r. Ustawa wprowadza prawdziwą rewolucję w podejściu do bezpieczeństwa informacji, a wprowadzone przez nią zmiany dotykają setek polskich firm. Wiele z nich nie przywiązywało odpowiedniej wagi do kwestii cyberbezpieczeństwa. To ma się zmienić, ponieważ państwo dzięki ustawie zyskuje nowe narzędzia kontroli i nadzoru nad biznesem.
Zmiana modelu i obowiązek samoidentyfikacji
Największa zmiana dotyczy samego mechanizmu ustalania, kto podlega rygorom ustawy. Wcześniej to uprawniony organ decydował, czy firma należy do kategorii podmiotów ważnych lub kluczowych. Aktualnie nastąpiła całkowita zmiana tego modelu. Teraz to firma musi sama ocenić czy spełnia właściwe warunki – musi zatem dokonać samoidentyfikacji. W tym modelu prawo zakłada, że przedsiębiorca prowadzi biznes świadomie, zna przepisy i potrafi ocenić skalę oraz istotę swojej działalności. Zatem dziś to na zarządach spółek spoczywa obowiązek sprawdzenia i ustalenia, czy firma spełnia narzucone przez ustawę warunki, i czy otwiera się dla niej katalog nowych obowiązków.
Dopiero rzetelna samoidentyfikacja da odpowiedź na pytanie, czy organizacja zyskuje status podmiotu ważnego lub kluczowego.
Odpowiedzialność zarządu – dlaczego przerzucanie odpowiedzialności na zespół IT to nie najlepsza taktyka
Ustawa wyraźnie wskazuje, że przerzucanie odpowiedzialności za skutki samoidentyfikacji i spełnienie obowiązków wyłącznie na dział IT to nie najlepsza taktyka. Odpowiedzialność i tak spoczywa na kierowniku jednostki, czyli w przypadku spółek kapitałowych – na zarządzie. Co prawda informatycy instalują oprogramowanie, konfigurują zapory sieciowe i wdrażają inne rozwiązania mające zapewnić cyberbezpieczeństwo, ale to zarząd ustala budżet, zatwierdza politykę bezpieczeństwa i gwarantuje zgodność wszystkich rozwiązań z prawem. Zarząd może wyznaczyć spośród siebie osobę odpowiedzialną za ten obszar. To bardzo ważne, aby członkowie zarządu osobiście rozumieli zagrożenia i wdrażane polityki, ponieważ kary finansowe za niespełnianie obowiązków ustawowych mogą okazać się bardzo dotkliwe.
- Skontaktuj się z naszą kancelarią prawnych LO:ME i poznaj ofertę szkoleń dla zarządu z obowiązków dyrektywy NIS2
Schemat weryfikacji. Pięć kroków do zgodności
Jak prawidłowo i bezpiecznie przeprowadzić samoidentyfikację? Przeanalizujmy ten proces krok po kroku. Aby uniknąć błędu, trzeba prawidłowo ocenić kilka obszarów według schematu.
- Zbadaj faktyczną działalność spółki. Sprawdź, jakie usługi firma naprawdę świadczy w swojej praktyce biznesowej. Wypisy z rejestrów i kody PKD często nie odzwierciedlają rzeczywistości albo są nieaktualne. Nie chodzi więc o teorię, ale o to, co rzeczywiście robi Twoja spółka.
- Ustal właściwe sektory. Nowelizacja ustawy o KSC zawiera obszerne załączniki. Wymieniają one konkretne, wrażliwe działy rynku. Porównaj swoją faktyczną działalność z tą urzędową listą. Sprawdź, czy mieścisz się w kategoriach takich jak infrastruktura cyfrowa, produkcja, transport czy gospodarka ściekowa.
- Policz ludzi i zweryfikuj finanse. Prawo uzależnia poziom nakładanych obowiązków od wielkości struktury firmy. Zbierz aktualne dane finansowe i kadrowe. Ustal roczne obroty, zbadaj sumę bilansową. Policz dokładnie wszystkich pracowników. Skala działalności często automatycznie decyduje o przypisaniu firmy do grupy wyższego ryzyka.
- Zrób audyt koncesji i zezwoleń. Wiele branż wymaga od przedsiębiorców specjalnych uprawnień. Zrób dokładną inwentaryzację posiadanych licencji. Sprawdź wpisy do rejestrów działalności regulowanej. Państwo bardzo uważnie patrzy na firmy, którym wcześniej wydało specjalne zgody na działanie.
- Wyciągnij ostateczne wnioski. Zbierz i połącz wyniki ze wszystkich poprzednich etapów analizy. Tylko rzetelne przejście przez ten proces pozwala określić, czy Twoja firma jest objęta ustawą. Poznasz wtedy zakres swoich obowiązków i dowiesz się, dla jakiej dokładnie części Twojej działalności musisz wdrożyć nowe wymogi.
Wpis do wykazu podmiotów krajowego systemu cyberbezpieczeństwa (KSC)
Co musisz zrobić, gdy analiza wskaże, że Twoja firma podlega pod nowe przepisy? Musisz jak najszybciej wpisać firmę do specjalnej bazy – wykazu podmiotów krajowego systemu cyberbezpieczeństwa (KSC). To scentralizowany rejestr prowadzony przez administrację państwową. Wniosek o wpis musisz złożyć w ciągu sześciu miesięcy od momentu spełnienia przesłanek uznania Cię (czy też raczej się) za podmiot ważny lub kluczowy. Jeśli zmieniasz adres spółki, modyfikujesz nazwę lub poszerzasz profil działalności, to masz 14 dni na aktualizację swoich danych w tym systemie.
- Potrzebujesz wsparcia w samoidentyfikacji lub wdrożeniu wymagań dyrektywy NIS2? Skontaktuj się z naszą kancelarią radców prawnych LO:ME.

Po wpisie – jak spełnić warunki europejskiego cyberbezpieczeństwa?
Wpis do państwowego rejestru to dopiero początek. Kolejny etap to zaplanowanie i wdrożenie zadań określonych dyrektywą NIS2. Jednym z nich jest obowiązkowe korzystanie z systemu S46. To specjalna platforma, która służy do szybkiego raportowania incydentów i komunikacji z państwowymi zespołami reagowania. Firma musi też stworzyć kompleksowy system zarządzania bezpieczeństwem informacji i wdrożyć dokładne, spisane procedury reagowania na incydenty. Zarząd musi wdrożyć zasady zarządzania ryzykiem cyfrowym. W tym celu musi przeanalizować i zabezpieczyć cały łańcuch dostaw swoich usług.
Również partnerzy i podwykonawcy firmy muszą spełniać rygorystyczne zasady i poziomy ochrony. System wymogów bezpieczeństwa i odpowiedzialności działa bowiem w tym przypadku kaskadowo. Jeśli nawet małe firmy nie będą w stanie zapewnić bezpieczeństwa cyfrowego, to niestety mogą one wypaść z biznesu na rzecz tych, które potrafią zadbać o bezpieczne standardy.
Żeby to wszystko było możliwe, nowe prawo wymusza regularne szkolenia dla personelu. Wymaga też okresowych audytów prowadzonych przez zewnętrznych ekspertów, którzy weryfikują skuteczność działań prowadzonych przez firmy. Z tych powodów samoidentyfikacja stanowi podstawę legalnego wdrożenia dyrektywy NIS2 w firmie.
Kancelaria LO:ME- Twój partner prawny od legalnego wdrożenia NIS2
Wdrażanie tak skomplikowanych i restrykcyjnych przepisów to prawdziwe wyzwanie dla zarządów zobowiązanych spółek. Aby nie sparaliżować działania całej organizacji i nie narazić firmy na gigantyczne koszty oraz potencjalne kary administracyjne, warto dobrze zaplanować ten proces i przygotować się do niego. Kancelaria radców prawnych LO:ME pomaga firmom w obowiązku samoidentyfikacji oraz we wdrażaniu obowiązków i procedur wymaganych przez dyrektywę NIS2.

Dokładnie badamy dokumenty, analizujemy faktyczną działalność operacyjną i doradzamy najbezpieczniejsze, najbardziej opłacalne rozwiązania. Pomagamy ustalić właściwy status firmy. Przygotowujemy wymagane wnioski do państwowych rejestrów. Opracowujemy pełną, wymaganą prawem dokumentację. Tworzymy jasne, praktyczne i szyte na miarę procedury, które spełniają rygorystyczne wymogi dyrektywy NIS2. Szkolimy zarządy z odpowiedzialności ustawowej i wyjaśniamy zawiłości prawne w prosty, całkowicie zrozumiały sposób. Skontaktuj się z zespołem kancelarii LO:ME.



