W obliczu rosnących zagrożeń w cyberprzestrzeni dyrektywa NIS2 wyznacza nowe standardy ochrony infrastruktury cyfrowej w Unii Europejskiej. Artykuł przedstawia jej główne założenia, analizuje znaczenie dla systemu cyberbezpieczeństwa państw członkowskich oraz omawia najważniejsze konsekwencje prawne związane z jej implementacją w Polsce.
Dynamiczny rozwój technologii cyfrowych spowodował głęboką transformację funkcjonowania współczesnych państw, gospodarki oraz administracji publicznej. Systemy teleinformatyczne stanowią obecnie podstawową infrastrukturę umożliwiającą realizację usług publicznych, przetwarzanie danych czy komunikację między instytucjami i obywatelami. Rosnąca zależność od technologii informatycznych powoduje jednak zwiększenie podatności na zagrożenia w cyberprzestrzeni, w szczególności na ataki skierowane przeciwko systemom przetwarzania informacji lub infrastrukturze krytycznej. W odpowiedzi na narastającą skalę incydentów związanych z cyberbezpieczeństwem instytucje Unii Europejskiej podjęły działania zmierzające do stworzenia spójnych ram regulacyjnych w tym obszarze. Jednym z najważniejszych instrumentów prawnych jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, określana jako dyrektywa NIS2 [1], która zastąpiła wcześniejszą dyrektywę NIS z 2016 r. [2]. Implementacja dyrektywy NIS2 w polskim systemie prawnym nastąpiła poprzez nowelizację Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa [3] (dalej: UKSC), a konkretnie poprzez Ustawę z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw [4]. Projektowane zmiany mają na celu dostosowanie krajowych regulacji do nowych wymogów wynikających z prawa unijnego.
Fot. © AntonKhrupinArt – stock.adobe.com
Pierwszym kompleksowym aktem prawa unijnego dotyczącym bezpieczeństwa sieci i systemów informatycznych była dyrektywa NIS z 2016 r. [2]. Jej celem było ustanowienie minimalnych standardów bezpieczeństwa cybernetycznego oraz stworzenie mechanizmów współpracy między państwami członkowskimi w zakresie reagowania na incydenty. Doświadczenia związane ze stosowaniem tej regulacji ujawniły jednak liczne ograniczenia. W szczególności wskazywano na zbyt wąski zakres podmiotowy dyrektywy, różnice w poziomie implementacji przepisów w poszczególnych państwach oraz niewystarczające mechanizmy egzekwowania obowiązków w zakresie bezpieczeństwa systemów informatycznych [5, 6]. Jednocześnie w ostatnich latach obserwowany jest gwałtowny wzrost liczby cyberataków skierowanych przeciwko instytucjom publicznym oraz przedsiębiorstwom prywatnym. Incydenty te obejmują m.in. ataki typu ransomware, kradzież danych czy zakłócenie funkcjonowania infrastruktury krytycznej. W konsekwencji cyberbezpieczeństwo przestało być wyłącznie zagadnieniem technologicznym, stając się jednym z elementów bezpieczeństwa państwa oraz stabilności obrotu gospodarczego.
>> Cyberhigiena jako fundament bezpieczeństwa w erze cyfrowej – cz. II
>> Cyberhigiena jako fundament bezpieczeństwa w erze cyfrowej – cz. I
>> Sztuczna inteligencja w opiniowaniu – szansa czy zagrożenie? Perspektywa biegłego
>> Prawne aspekty biometrii w świetle AI Act ze szczególnym uwzględnieniem sektora budownictwa
Dyrektywa NIS2 stanowi odpowiedź ustawodawcy unijnego na te wyzwania. Jej podstawowym celem jest zwiększenie odporności państw członkowskich na zagrożenia w cyberprzestrzeni oraz ujednolicenie standardów ochrony systemów informacyjnych w całej Unii Europejskiej.
Dyrektywa NIS2 wprowadza kompleksowe regulacje dotyczące zarządzania ryzykiem oraz bezpieczeństwem informacji w obszarze bezpieczeństwa sieci i systemów informatycznych. Zarządzanie ryzykiem informacji zostało expressis verbis wprowadzone w art. 8 ust. 1 pkt 1 UKSC. Zgodnie z tym przepisem podmiot kluczowy lub podmiot ważny wdrażają system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usług przez ten podmiot, zapewniający systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem.
Natomiast zarządzanie bezpieczeństwem informacji wprowadzono w art. 8h UKSC. Według tego przepisu podmioty kluczowe i ważne, a także CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowy1, dostawcy sprzętu lub oprogramowania dla tych podmiotów oraz organizacje społeczne zrzeszające podmioty kluczowe lub ważne mogą wymieniać między sobą informacje dotyczące cyberbezpieczeństwa. Do tych informacji należą m.in. dane o cyberzagrożeniach, potencjalnych zdarzeniach związanych z cyberbezpieczeństwem, podatnościach, technikach i procedurach, oznakach naruszenia integralności systemu informacyjnego oraz wrogich taktykach. Ponadto mogą to być informacje o grupach przestępczych, ostrzeżenia dotyczące cyberbezpieczeństwa oraz zalecenia konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki.
Wymiana informacji, ostrzeżeń i zaleceń jest dopuszczalna, jeżeli:
1) ma na celu zapobieganie incydentom, ich wykrywanie, reagowanie na nie, przywracanie normalnego działania po incydentach lub łagodzenie ich skutków albo
2) zwiększa poziom cyberbezpieczeństwa, w szczególności przez podnoszenie świadomości na temat cyberzagrożeń, ograniczanie lub utrudnianie ich rozprzestrzeniania się, eliminowanie i ujawnianie podatności, techniki wykrywania cyberzagrożeń, ograniczania ich zasięgu i zapobiegania im, strategie ograniczania ryzyka, etapy reagowania oraz przywracania normalnego działania lub sprzyjanie. Dodatkowo wprowadzono również bardziej rozbudowany system nadzoru i odpowiedzialności za naruszenie obowiązków w zakresie cyberbezpieczeństwa. Szczególny nacisk położono na odpowiedzialność kadry zarządzającej, która zobowiązana jest do aktywnego nadzorowania systemu zarządzania bezpieczeństwem informacji w organizacji [7].
>> Kradzież tożsamości w świecie cyfrowym – analiza prawna w aspekcie uprawnień budowlanych
>> Ochrona danych osobowych osób i pracowników na budowie
>> Praca inżyniera ze sztuczną inteligencją. Na jakie przepisy powinien się on przygotować
Jedną z najistotniejszych zmian przewidzianych przez dyrektywę NIS2 jest znaczące rozszerzenie katalogu podmiotów objętych regulacją. W przeciwieństwie do wcześniejszych przepisów nowe obejmują znacznie większą liczbę sektorów gospodarki. Dyrektywa wprowadza podział na dwie podstawowe kategorie podmiotów: kluczowe oraz ważne. Do pierwszej z nich zaliczono organizacje funkcjonujące w sektorach uznanych za krytyczne z punktu widzenia funkcjonowania państwa i gospodarki, takich jak energetyka, transport, bankowość czy infrastruktura cyfrowa. Drugą kategorię stanowią podmioty, których działalność ma istotne znaczenie dla funkcjonowania rynku wewnętrznego, w tym przedsiębiorstwa z sektora usług cyfrowych, produkcji technologicznej czy ochrony zdrowia. Rozszerzenie zakresu podmiotowego dyrektywy wynika z założenia, że cyberzagrożenia mogą oddziaływać na wiele sektorów jednocześnie, a zakłócenie funkcjonowania jednego z nich może powodować efekt kaskadowy w innych obszarach gospodarki. Przepisy obejmują przede wszystkim doprecyzowanie zasad zgłaszania incydentów bezpieczeństwa. Implementując dyrektywę NIS2 do UKSC, ustawodawca określił, że wykaz podmiotów kluczowych i ważnych prowadzony jest m.in. w celu zapewnienia wymiany informacji w zakresie cyberbezpieczeństwa, w tym o incydentach, podatnościach i cyberzagrożeniach między podmiotami kluczowymi i ważnymi a CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowymi i organami właściwymi do spraw cyberbezpieczeństwa. Podmiot kluczowy lub ważny wdrażają system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot, zapewniając zarządzanie incydentami. Ustawowy obowiązek obsługi incydentów polega na zagwarantowaniu przez podmiot kluczowy lub ważny obsługi incydentu oraz dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu w zakresie niezbędnym do realizacji jego zadań. Obowiązkiem podmiotu jest także klasyfikowanie incydentu jako poważnego na podstawie określonych progów uznawania incydentu za poważny. Istotnym elementem nowych regulacji jest również wprowadzenie sankcji administracyjnych za naruszenie obowiązków wynikających z przepisów dotyczących cyberbezpieczeństwa. Dyrektywa NIS2 przewiduje surowe kary za nieprzestrzeganie jej przepisów. W przypadku podmiotów kluczowych maksymalna kara finansowa może wynosić do 10 mln euro lub do 2% rocznego globalnego obrotu przedsiębiorstwa.
Wprowadzenie dyrektywy NIS2 wiąże się z koniecznością podjęcia przez wiele podmiotów działań organizacyjnych i technicznych. W praktyce oznacza to potrzebę wdrożenia systemów zarządzania bezpieczeństwem informacji, opracowania procedur reagowania na incydenty oraz przeprowadzania regularnych analiz ryzyka. Wprowadzenie nowych przepisów wymaga również zwiększenia świadomości prawnej i organizacyjnej w zakresie cyberbezpieczeństwa.
Dyrektywa NIS2 stanowi jeden z kluczowych elementów europejskiego systemu ochrony cyberprzestrzeni. Regulacja ta wyraźnie wskazuje, że bezpieczeństwo systemów informatycznych nie jest wyłącznie zagadnieniem technicznym, lecz także prawno-organizacyjnym. Rozszerzenie zakresu podmiotowego dyrektywy, wzmocnienie mechanizmów nadzoru oraz zwiększenie odpowiedzialności kadry zarządzającej stanowią istotny krok w kierunku budowy bardziej odpornego systemu cyberbezpieczeństwa w Unii Europejskiej.
1 CSIRT (Computer Security Incident Response Team) – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. CSIRT MON działa przy Ministerstwie Obrony Narodowej, CSIRT NASK przy NASK, CSIRT GOV dla administracji rządowej, a CSIRT sektorowy w ramach poszczególnych sektorów gospodarki.
dr Waldemar Szymański
prokurator, wykładowca na studiach podyplomowych Warszawskiego Uniwersytetu Medycznego
ORCID: 0000-0001-5979-4691
Literatura
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu
bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
[3] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20 ze zm.).
[4] Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252).
[5] Nowak M., Cyberbezpieczeństwo w prawie Unii Europejskiej, Warszawa: C.H. Beck, 2021, s. 85–90.
[6] Banasiński C. (red.), Cyberbezpieczeństwo. Zarys wykładu, Warszawa: Wolters Kluwer, 2023, s. 49.
[7] www.com.pl/blog/cybersec/odpowiedzialnosc-czlonkow-zarzadu-w-nis2-jak-uniknac-ryzyka [dostęp: 11.03.2026 r.].
