Czy moja firma podlega pod NIS2? Prosty przewodnik dla zarządu i działu IT

Mamy rok 2026. Czas na przygotowania do unijnej dyrektywy NIS2 oraz nowelizacji polskiej Ustawy o krajowym systemie cyberbezpieczeństwa (KSC) bezpowrotnie minął. Okres przejściowy to już historia, a machina kontrolna i audytowa działa na pełnych obrotach. Mimo to, wiele firm średniej wielkości oraz dużych przedsiębiorstw wciąż zadaje sobie jedno podstawowe pytanie: „Czy te przepisy w ogóle nas dotyczą?”.

Jeśli jesteś członkiem zarządu, interesuje Cię minimalizacja ryzyka finansowego i odpowiedzialności prawnej. Jeśli kierujesz działem IT, martwisz się o budżet, braki kadrowe i techniczny dług. Ten przewodnik powstał, aby pogodzić obie te perspektywy i dać Ci jasną, zero-jedynkową odpowiedź oraz konkretny plan działania.

Kto podlega pod NIS2? Sektory i wielkość firmy

Dyrektywa NIS2 nie dotyczy absolutnie każdej firmy na rynku, ale jej zasięg jest nieporównywalnie szerszy niż poprzedniczki (NIS1). Została zaprojektowana tak, aby objąć łańcuchy dostaw i kluczowe gałęzie gospodarki.

Aby sprawdzić, czy podlegasz pod rygor dyrektywy, musisz przeanalizować dwa główne kryteria: wielkość firmy oraz sektor działalności.

1. Kryterium wielkości (Zasada Cap-Size)

Z zasady dyrektywa obejmuje:

• Średnie przedsiębiorstwa: od 50 do 249 pracowników ORAZ roczny obrót nieprzekraczający 50 mln EUR (lub całkowity bilans roczny do 43 mln EUR).
• Duże przedsiębiorstwa: powyżej 250 pracowników LUB roczny obrót powyżej 50 mln EUR (lub bilans powyżej 43 mln EUR).

Uwaga: W niektórych, krytycznych przypadkach (np. dostawcy usług zaufania, telekomunikacja) przepisy mogą obejmować również mikrofirmy i małe przedsiębiorstwa.

2. Kryterium sektora

Podmioty zostały podzielone na dwie kategorie o różnym rygorze nadzorczym. Ważne jest, aby dokładnie zrozumieć, jakie obowiązki nakłada na Ciebie klasyfikacja podmiotu kluczowego a podmiotu ważnego w NIS2.

Sektory kluczowe (Essential Entities):

• Energetyka, transport, bankowość, rynki finansowe (często pokrywające się tu z DORA).

• Opieka zdrowotna, produkcja leków.

• Woda pitna i ścieki.

• Infrastruktura cyfrowa (dostawcy chmury, centra danych, DNS) oraz dostawcy usług B2B z obszaru ICT.

• Administracja publiczna i przestrzeń kosmiczna.

Sektory ważne (Important Entities):

• Usługi pocztowe i kurierskie.

• Gospodarka odpadami.

• Produkcja, wytwarzanie i dystrybucja chemikaliów.

• Produkcja, przetwarzanie i dystrybucja żywności.

• Produkcja szeroko pojęta (w tym wyroby medyczne, komputery, elektronika, pojazdy, maszyny).

• Dostawcy usług cyfrowych (wyszukiwarki, platformy społecznościowe, rynki online).

Konsekwencje ignorowania NIS2 w 2026 roku

Dla zarządu najważniejszą zmianą jest bezpośrednia odpowiedzialność osobista. Kary nie ograniczają się już tylko do procentu od globalnego obrotu (które mogą sięgać od 7 do 10 mln EUR lub 1,4% – 2% globalnego obrotu, w zależności od statusu podmiotu). Zgodnie z nowymi wytycznymi, członkowie zarządu mogą zostać pociągnięci do odpowiedzialności za zaniedbania, a w skrajnych przypadkach – czasowo zawieszeni w pełnieniu funkcji kierowniczych.

Dla IT oznacza to, że argument „nie mamy na to budżetu” przestał obowiązywać. Cyberbezpieczeństwo stało się wymogiem prawnym, a nie opcją.

Moja firma podlega pod dyrektywę – od czego zacząć?

Jeśli z powyższej analizy wynika, że jesteście objęci przepisami, musicie działać szybko, metodycznie i w oparciu o twarde dane.

1. Mapowanie środowiska: Nie zabezpieczysz tego, o czym nie wiesz. Pierwszym krokiem jest inwentaryzacja zasobów, kont, systemów i aplikacji.

2. Identyfikacja luk: Zamiast zgadywać, należy przeprowadzić profesjonalny audyt NIS2. Pokaże on dokładnie, gdzie Wasza infrastruktura i procedury (lub ich brak) rozmijają się z literą prawa.

3. Plan wdrożenia: Jeśli jesteście mniejszą organizacją, przydatna okaże się nasza sprawdzona checklista wdrożenia NIS2 dla MSP, która pozwoli poukładać procesy na najbliższe miesiące bez paraliżowania pracy firmy.

Braki kadrowe w IT? Dlaczego vCISO to optymalne rozwiązanie

Największym wyzwaniem roku 2026 nie jest zakup odpowiednich narzędzi, ale znalezienie kompetentnych ludzi, którzy je obsłużą. Wymagania nakładane przez NIS2 (m.in. szacowanie ryzyka, bezpieczeństwo łańcucha dostaw, plany ciągłości działania, raportowanie incydentów) wymagają wiedzy na poziomie CISO (Chief Information Security Officer).

Zatrudnienie takiego specjalisty na pełen etat to koszty rzędu kilkudziesięciu tysięcy złotych miesięcznie, o ile w ogóle uda się go zrekrutować. Dlatego dla większości firm optymalnym wyjściem jest usługa vCISO (Wirtualnego Dyrektora ds. Bezpieczeństwa Informacji).

Co zyskujesz, współpracując z vCISO?

• Zgodność prawną: Ekspert przejmuje odpowiedzialność za budowę polityk zgodnych z NIS2, KSC, a w razie potrzeby także DORA czy MICA.
• Most między biznesem a IT: vCISO potrafi przełożyć techniczny język informatyków na ocenę ryzyka biznesowego dla zarządu.
• Oszczędność i elastyczność: Płacisz za faktycznie przepracowane godziny, zyskując dostęp do wiedzy eksperta wyższego szczebla, bez ryzyka rekrutacyjnego i urlopowego.

Nie chcesz ryzykować? Zostaw NIS2 profesjonalistom

Zarządzanie bezpieczeństwem w świetle NIS2 to proces ciągły, a nie jednorazowy projekt. Jeśli Twoja firma zalicza się do podmiotów kluczowych lub ważnych, brak udokumentowanych procedur reagowania na incydenty, nieprzeszkolony personel czy luki w architekturze sieci to jak tykająca bomba.

Zarządzie – ochrona Waszego biznesu i Waszej osobistej odpowiedzialności zaczyna się od wiedzy o faktycznym stanie infrastruktury.

Dziale IT – przestańcie walczyć z wiatrakami w pojedynkę, zyskajcie twarde argumenty do rozmów o budżetach i narzędziach.

Czy chcesz sprawdzić, w jakim miejscu pod kątem cyberbezpieczeństwa i wymogów prawnych realnie znajduje się teraz Twoja organizacja? Zapraszam do kontaktu z naszym zespołem – ustalimy darmową konsultację techniczną i zaplanujemy audyt, który da Ci pewność, a nie kolejne obietnice.