4crypto.eu
Bezpłatna konsultacja
Compliance · Dyrektywa UE · 2026

NIS2 w 2026 r. - dyrektywa UE 2022/2555, 18 sektorów, podmioty kluczowe i ważne, kary do 10 mln EUR

Autor: dr inż. Adam Czubak Czas czytania: 15 min Aktualizacja: 2026-05-15

Ratio legis

NIS2 odpowiada na pięcioletnie doświadczenie z pierwszej dyrektywy NIS - rozdrobnione transpozycje krajowe, zbyt wąski zakres podmiotowy, symboliczne kary i brak zaangażowania zarządów. Sens nowej dyrektywy to nie tylko poszerzenie zakresu z 7 do 18 sektorów, ale fundamentalna zmiana logiki: cyberbezpieczeństwo przestaje być sprawą działu IT, a staje się obowiązkiem zarządu, mierzonym karami porównywalnymi z RODO. Założenie jest twarde - odporność cyfrowa wymaga wspólnego, jednolitego poziomu we wszystkich państwach członkowskich, inaczej najsłabsze ogniwo wyznacza bezpieczeństwo całego rynku wewnętrznego.

Dyrektywa NIS2 [1] (Parlamentu Europejskiego i Rady UE 2022/2555 z 14 grudnia 2022 r.) to najszerszy akt prawny regulujący cyberbezpieczeństwo w historii Unii. Zastępując starszą dyrektywę NIS z 2016 r., NIS2 radykalnie rozszerza zakres podmiotowy z 7 do 18 sektorów, wprowadza podział na podmioty kluczowe i ważne, podnosi kary do 10 mln EUR lub 2% obrotu (na wzór RODO) i - po raz pierwszy w europejskim prawie cyberbezpieczeństwa - wprowadza osobistą odpowiedzialność członków zarządu.

Polska, podobnie jak większość państw UE, nie zdążyła transponować NIS2 do 17 października 2024 r. Projekt nowelizacji KSC (UC59) [4] jest na finalnym etapie procedowania. Niezależnie od daty wejścia w życie nowelizacji, podmioty potencjalnie objęte powinny już teraz mapować swoje obowiązki - dyrektywa daje 21 miesięcy okresu przejściowego, ale jego bieg rozpoczyna się od daty publikacji ustawy krajowej. Artykuł porządkuje strukturę NIS2, opisuje 11 środków zarządzania ryzykiem z art. 21, terminy zgłaszania incydentów (24h/72h/1 miesiąc), wymogi łańcucha dostaw oraz mapping do innych regulacji (DORA [8], CER [3], KSC [5]).

Geneza - od NIS do NIS2

Dyrektywa NIS (2016/1148) była pierwszą europejską regulacją horyzontalną cyberbezpieczeństwa - przed nią obowiązywały tylko regulacje sektorowe (np. dla telekomunikacji). NIS została transponowana w Polsce poprzez ustawę o KSC z 5 lipca 2018 r. [5] (zob. artykuł o KSC).

Po 5 latach obowiązywania NIS, Komisja Europejska zidentyfikowała cztery główne ograniczenia:

  1. Niespójność transpozycji - państwa członkowskie różnie interpretowały definicje (np. "usługa kluczowa", "incydent znaczący") i ustanawiały różne progi.
  2. Zbyt wąski zakres - tylko 7 sektorów, wykluczeni byli kluczowi gracze (np. producenci żywności, gospodarka odpadami, sektor pocztowy).
  3. Niskie kary - sankcje nieproporcjonalne do skali zagrożeń, w niektórych państwach symboliczne.
  4. Brak nacisku na zarząd - cyberbezpieczeństwo pozostawało domeną IT, bez angażowania kierownictwa najwyższego szczebla.

NIS2 (dyrektywa 2022/2555 [1]) adresuje każdy z tych problemów. Kalendarium:

  • 14 grudnia 2022 - przyjęcie dyrektywy przez PE i Radę UE.
  • 27 grudnia 2022 - publikacja w Dz.U. UE L 333.
  • 16 stycznia 2023 - wejście w życie dyrektywy.
  • 17 października 2024 - termin transpozycji do prawa krajowego.
  • 18 października 2024 - faktyczne uchylenie dyrektywy NIS.
  • 17 kwietnia 2025 - termin pierwszych wykazów podmiotów objętych (państwa członkowskie publikują listę).

Dyrektywa jest uzupełniana przez:

  • Rozporządzenie wykonawcze KE 2024/2690 [2] z 17 października 2024 r. - precyzuje wymagania techniczne 11 środków z art. 21 oraz progi istotności dla zgłaszania incydentów.
  • Dyrektywę CER (2022/2557) [3] - regulującą fizyczną odporność infrastruktury krytycznej (komplementarna do NIS2, która dotyczy odporności cyfrowej).

Zakres - 18 sektorów

NIS2 wyróżnia dwa załączniki z sektorami:

Załącznik I - sektory wysokokrytyczne (podmioty kluczowe)

11 sektorów:

  1. Energetyka - elektryczność (operatorzy systemu, dystrybutorzy, wytwórcy), gaz (operatorzy systemu, magazynowanie, dystrybucja, dostawcy), ropa naftowa (operatorzy ropociągów, magazynowanie, rafinerie), ciepłownictwo, wodór.
  2. Transport - lotniczy (przewoźnicy, lotniska, operatorzy ATM), kolejowy (zarządcy infrastruktury, przewoźnicy), wodny (przewoźnicy morskiego i śródlądowego transportu pasażerskiego i towarowego, porty), drogowy (organy publiczne ITS).
  3. Bankowość - instytucje kredytowe (banki) wg dyrektywy CRD IV.
  4. Infrastruktura rynków finansowych - prowadzący systemy obrotu (giełdy), CCP (kontrahenci centralni).
  5. Sektor zdrowia - świadczeniodawcy opieki zdrowotnej, laboratoria referencyjne EU, organizacje BRD w obszarze wyrobów medycznych, producenci wyrobów medycznych krytycznych dla świadczeń.
  6. Woda pitna - dostawcy i dystrybutorzy wody przeznaczonej do spożycia.
  7. Wody ściekowe - zbieranie, odprowadzanie i oczyszczanie ścieków komunalnych, domowych lub przemysłowych.
  8. Infrastruktura cyfrowa - IXP, DNS providers, TLD registries, providers usług chmurowych, data center service providers, content delivery networks, trust service providers (TSP) wg eIDAS, providers publicznie dostępnych sieci komunikacji elektronicznej, providers publicznie dostępnych usług komunikacji elektronicznej.
  9. Zarządzanie usługami ICT (B2B) - dostawcy zarządzanych usług (MSP) i zarządzanych usług bezpieczeństwa (MSSP).
  10. Administracja publiczna - na poziomie centralnym (zawsze włączona); na poziomie regionalnym - opcjonalnie, państwo członkowskie decyduje.
  11. Przestrzeń kosmiczna - operatorzy infrastruktury naziemnej (satelity wykluczone, ale stacje naziemne objęte).

Załącznik II - inne sektory krytyczne (podmioty ważne)

7 sektorów:

  1. Usługi pocztowe i kurierskie.
  2. Gospodarka odpadami.
  3. Produkcja, wytwarzanie i dystrybucja chemii.
  4. Produkcja, przetwarzanie i dystrybucja żywności.
  5. Produkcja - wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów i wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn, pojazdów silnikowych, innych środków transportu.
  6. Dostawcy usług cyfrowych - internetowe platformy handlowe (B2C), internetowe wyszukiwarki, platformy usług sieci społecznościowych.
  7. Badania naukowe - organizacje badawcze prowadzące działalność w UE.

Łącznie 18 sektorów (11 + 7). To znaczący wzrost w stosunku do NIS (7 sektorów) i KSC w obecnym brzmieniu.

Podmioty kluczowe vs ważne

NIS2 wprowadza dwustopniowy reżim. Klasyfikacja zależy od:

Kryterium sektora

  • Załącznik I (sektory wysokokrytyczne) - z założenia wyższy reżim.
  • Załącznik II (inne sektory krytyczne) - z założenia niższy reżim.

Kryterium rozmiaru

Definicje z zalecenia 2003/361/WE (rekomendacja KE dotycząca MŚP):

  • Duże przedsiębiorstwo - powyżej 250 pracowników LUB powyżej 50 mln EUR rocznego obrotu LUB powyżej 43 mln EUR sumy bilansowej.
  • Średnie przedsiębiorstwo - 50-250 pracowników LUB 10-50 mln EUR obrotu LUB 10-43 mln EUR sumy bilansowej.
  • Małe przedsiębiorstwo - 10-50 pracowników LUB 2-10 mln EUR.
  • Mikroprzedsiębiorstwo - poniżej 10 pracowników LUB poniżej 2 mln EUR.

Tabela kwalifikacji

Połączenie obu kryteriów daje cztery podstawowe scenariusze:

  • Duże przedsiębiorstwo w sektorze załącznika I -> podmiot KLUCZOWY (essential).
  • Średnie przedsiębiorstwo w sektorze załącznika I -> podmiot WAŻNY (important).
  • Duże lub średnie przedsiębiorstwo w sektorze załącznika II -> podmiot WAŻNY (important).
  • Małe i mikroprzedsiębiorstwo -> co do zasady wyłączone, z wyjątkami (DNS, TLD, niektóre TSP, administracja publiczna, podmioty wskazane przez państwo członkowskie jako krytyczne niezależnie od rozmiaru).

Wyjątki - kwalifikacja niezależna od rozmiaru

Art. 2 ust. 2 NIS2 określa kategorie podmiotów objętych zawsze, niezależnie od rozmiaru:

  • Dostawcy publicznych sieci komunikacji elektronicznej / publicznie dostępnych usług komunikacji elektronicznej.
  • Trust service providers (TSP) wg eIDAS.
  • Rejestratorzy nazw TLD i providerzy usług DNS.
  • Niektóre podmioty administracji publicznej (centralne).
  • Podmioty wskazane przez państwo członkowskie jako krytyczne dla bezpieczeństwa narodowego, porządku publicznego lub zdrowia publicznego.

Konsekwencje kwalifikacji

Podmioty kluczowe i ważne mają takie same obowiązki materialne (środki z art. 21, zgłaszanie incydentów), ale różny reżim nadzoru i kar:

  • Podmioty kluczowe - nadzór proaktywny (organ właściwy może audytować w dowolnym momencie), kary do 10 mln EUR lub 2% obrotu, możliwość czasowego zakazu funkcji kierowniczych.
  • Podmioty ważne - nadzór reaktywny (po stwierdzeniu naruszenia lub incydentu), kary do 7 mln EUR lub 1,4% obrotu, bez automatycznych ograniczeń funkcji kierowniczych.

11 środków zarządzania ryzykiem (art. 21)

Art. 21 ust. 2 dyrektywy wymienia jedenaście kategorii środków zarządzania ryzykiem cyberbezpieczeństwa. Każda kategoria jest uszczegółowiona w rozporządzeniu wykonawczym KE 2024/2690 [2]:

a) Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych

Wdrożona, udokumentowana i okresowo aktualizowana polityka bezpieczeństwa informacji oraz metodologia analizy ryzyka. Wymagania: ocena ryzyka w cyklu rocznym lub po istotnych zmianach, dokumentowanie wybranej metodologii (ISO 27005, NIST CSF, ENISA), klasyfikacja aktywów, mapping zagrożeń do aktywów.

b) Obsługa incydent[14]ów

Procedury wykrywania, analizy, ograniczania, usuwania, odzyskiwania i nauki z incydentów. Wymagania techniczne: SOC[17] 24/7 (zob. SOC 24/7), SIEM z retencją min. 12 miesięcy, EDR/XDR na końcówkach, NDR na sieci.

c) Ciągłość działania - kopie zapasowe, DR, zarządzanie kryzysowe

Procedury i środki techniczne dla zachowania ciągłości działania usługi:

  • Strategia kopii zapasowych zgodna z 3-2-1 (3 kopie, 2 nośniki, 1 offsite) z testem odzyskiwania min. raz na rok.
  • Plan odzyskiwania po awarii (DRP) z określonym RTO i RPO.
  • Plan ciągłości działania (BCP) obejmujący alternatywne tryby pracy.
  • Plan zarządzania kryzysem (Crisis Management Plan) - kto kogo informuje, jak komunikuje.
  • Tabletop exercises min. raz na rok.

d) Bezpieczeństwo łańcucha dostaw

Identyfikacja i zarządzanie ryzykiem dostawców (osobny rozdział poniżej).

e) Bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu systemów

Cykl życia bezpieczeństwa systemów (SDLC):

  • Wymagania bezpieczeństwa w specyfikacjach.
  • Bezpieczne kodowanie (OWASP), code review.
  • Testy bezpieczeństwa (SAST, DAST) w pipeline CI/CD.
  • Vulnerability disclosure policy (program zgłaszania podatności).
  • Aktualizacja systemów - polityka patchowania z SLA dla podatności krytycznych (np. 14 dni dla CVSS 9-10).

f) Ocena skuteczności środków

Regularne audyty, testy penetracyjne, skanowanie podatności. Konkretnie:

g) Higiena cybernetyczna i szkolenia

Podstawowe praktyki:

  • Aktualizacje oprogramowania.
  • Zarządzanie hasłami (polityka, password manager).
  • Hardening końcówek (zob. Hardening).
  • Szkolenia security awareness dla całego personelu (zob. Security Awareness).
  • Szkolenia techniczne dla zespołu IT/SOC.

h) Kryptografia i szyfrowanie

Polityka kryptograficzna:

  • Szyfrowanie w spoczynku (at rest) - BitLocker, LUKS, baza danych.
  • Szyfrowanie w tranzycie (in transit) - TLS 1.3+ wszędzie, HTTPS, VPN.
  • Zarządzanie kluczami (HSM, KMS).
  • Dopuszczalne algorytmy i długości kluczy (np. AES-256, RSA-3072+, ECDSA P-384).

i) Bezpieczeństwo personelu, kontrola dostępu, zarządzanie aktywami

  • Background checks dla personelu z dostępem do systemów krytycznych.
  • Kontrola dostępu oparta na rolach (RBAC).
  • Zasada minimalnych uprawnień (least privilege).
  • Zarządzanie kontami uprzywilejowanymi (PAM, PIM).
  • Inwentaryzacja aktywów (CMDB).

j) Multi-Factor Authentication (MFA)

MFA dla wszystkich kont z dostępem zdalnym i uprzywilejowanym:

  • Standard: TOTP, FIDO2, certyfikaty.
  • Wykluczone: SMS (jeśli to możliwe), email (jako jedyny czynnik).
  • Dodatkowo: bezpieczne kanały komunikacji głosowej/wideo (Signal, Wickr, własny SIP TLS) i bezpieczna komunikacja awaryjna (out-of-band).

k) Bezpieczeństwo personelu kierowniczego

Szkolenia członków zarządu (zwykle 4-8 godzin rocznie), świadomość zagrożeń strategicznych, polityka secure executive (zaostrzone bezpieczeństwo dla osób na top stanowiskach).

Bezpieczeństwo łańcucha dostaw

Art. 21 ust. 2 lit. d oraz art. 22 NIS2 wprowadzają najbardziej rozbudowane w europejskim prawie wymagania zarządzania ryzykiem dostawców.

Obowiązki wewnętrzne (art. 21 lit. d)

  • Identyfikacja krytycznych dostawców - dostawców, których awaria lub naruszenie wpłynie na zdolność świadczenia usługi.
  • Ocena ryzyka dostawców - geopolityczne, techniczne, organizacyjne, koncentracja (single point of failure).
  • Klauzule cyberbezpieczeństwa w umowach - minimum: wymagania techniczne, prawo do audytu, zobowiązanie do zgłaszania incydentów.
  • Monitoring dostawców - okresowy przegląd certyfikatów, raportów (SOC 2 typ II, ISO 27001), incydentów u dostawcy.
  • Plan zastępczy (exit strategy) - zwłaszcza dla dostawców o wysokim ryzyku koncentracji.

Coordinated Risk Assessments (art. 22)

NIS2 wprowadza mechanizm europejski oceny ryzyka łańcucha dostaw dla strategicznych technologii. Pierwszy taki ocena dotyczy łańcucha dostaw 5G. Komisja Europejska wraz z grupą NIS Cooperation Group i ENISA przeprowadza coordinated risk assessment, którego wynikiem mogą być rekomendacje (np. wykluczenie określonych dostawców z państw wysokiego ryzyka).

Dostawca jako podmiot NIS2

Dostawcy IT (ICT service providers) sami często są podmiotami NIS2:

  • Cloud computing - załącznik I (kluczowy, jeśli duży; ważny, jeśli średni).
  • Data center service providers - załącznik I.
  • Managed Service Providers (MSP) i Managed Security Service Providers (MSSP) - załącznik I, ICT service management B2B.
  • Content Delivery Networks (CDN) - załącznik I.
  • Trust Service Providers (eIDAS) - załącznik I (zawsze, niezależnie od rozmiaru).

To fundamentalna zmiana rynku ICT. Dostawca, który dotychczas formalnie nie miał obowiązków NIS, teraz może być sam podmiotem kluczowym lub ważnym.

Skutki praktyczne dla polskich firm

Spodziewamy się łańcuchowego efektu - polski rynek ICT (firmy hostingowe, integratorzy, software house'y) masowo musi podnieść poziom cyberbezpieczeństwa, niezależnie od własnej kwalifikacji NIS2. Klienci NIS2 będą wymagać:

  • Certyfikatu ISO 27001 lub równoważnego.
  • Raportu audytowego (SOC 2 typ II) dostępnego dla klienta.
  • Klauzul cyberbezpieczeństwa w umowach (minimum z rozporządzenia 2024/2690).
  • Dowodu testów penetracyjnych i skanowania podatności.
  • Procedur incident response z określonymi czasami reakcji.

Zgłaszanie incydentów - 24h, 72h, 1 miesiąc

Art. 23 NIS2 zaostrza terminy zgłaszania incydentów znaczących (significant). Rozporządzenie wykonawcze 2024/2690 [2] definiuje progi istotności.

Trójstopniowy proces zgłaszania

Etap 1: Wstępne powiadomienie (early warning) - 24h

W ciągu 24 godzin od stwierdzenia incydentu znaczącego podmiot przekazuje do CSIRT (NASK / GOV / MON w Polsce) early warning:

  • Czy incydent jest podejrzewany o pochodzenie z bezprawnej lub złośliwej działalności.
  • Czy może mieć wpływ transgraniczny.
  • (Krótka, faktyczna informacja, bez pełnego raportu.)

Etap 2: Ocena incydentu (incident notification) - 72h

W ciągu 72 godzin od stwierdzenia - pełniejsze zgłoszenie:

  • Wstępna ocena, w tym powaga i wpływ incydentu.
  • Wskaźniki kompromitacji (Indicators of Compromise, IoC), jeśli dostępne.

Etap 3: Raport końcowy (final report) - 1 miesiąc

W ciągu 1 miesiąca od zgłoszenia w etapie 2 - raport końcowy:

  • Szczegółowy opis incydentu (przebieg, powaga, wpływ).
  • Typ zagrożenia / przyczyna źródłowa.
  • Zastosowane i bieżące środki łagodzące.
  • Skutki transgraniczne (jeśli wystąpiły).

Etap 4 (dla incydentów długotrwałych): raport pośredni

Jeśli incydent trwa nadal po zgłoszeniu etapu 2, raport pośredni w terminie wskazanym przez CSIRT, opisujący aktualny stan.

Co jest incydentem znaczącym

NIS2 art. 23 ust. 3 definiuje incydent znaczący przez dwa kryteria łącznie lub osobno:

  1. Spowodował lub może spowodować poważne zakłócenie usługi lub stratę finansową dla podmiotu.
  2. Wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne poprzez znaczną szkodę materialną lub niematerialną.

Rozporządzenie 2024/2690 doprecyzowuje progi sektorowe - np. dla cloud providera incydent znaczący to przerwa usługi powyżej 30 minut dla 5% klientów lub 1 mln użytkowników; dla operatora telekomunikacyjnego - przerwa powyżej 60 minut dla 500 tys. użytkowników.

Powiadomienia osób, których dotyczy incydent (art. 23 ust. 7)

Gdy incydent znacznie wpływa na świadczenie usługi, podmiot informuje również odbiorców usługi - klientów, kontrahentów - jeśli mają oni techniczne lub prawne możliwości łagodzenia skutków. Przykład: provider chmurowy informuje klientów o naruszeniu, by mogli zmienić hasła.

Praktyczne wyzwania

  • "Stwierdzenie incydentu" - moment rozpoczęcia biegu terminu jest subiektywny. Praktyka: liczyć od momentu, w którym personel SOC zaklasyfikował zdarzenie jako incydent (nie alert).
  • Brak pełnej informacji w 24h - to częsta sytuacja. Dyrektywa dopuszcza early warning na podstawie częściowych informacji, później doprecyzowane w etapach 2 i 3.
  • Wiele CSIRT - dla podmiotów obsługujących klientów w wielu państwach UE może być konieczne zgłoszenie do CSIRT każdego państwa (przy incydentach transgranicznych) lub do CSIRT państwa głównego zakładu.

Odpowiedzialność zarządu (art. 20)

Art. 20 NIS2 to jedna z najbardziej rewolucyjnych zmian dyrektywy. Cyberbezpieczeństwo zostaje formalnie włączone do obowiązków organów zarządzających.

Trzy obowiązki zarządu

  1. Zatwierdzanie środków zarządzania ryzykiem - polityka bezpieczeństwa, strategia, budżet musi być formalnie zatwierdzony przez zarząd (uchwała, decyzja).
  2. Nadzorowanie wdrożenia - regularne raporty CISO do zarządu, KPI cyberbezpieczeństwa w raportowaniu zarządczym, decyzje korygujące.
  3. Odbywanie regularnych szkoleń - art. 20 ust. 2: "członkowie organów zarządzających podmiotów kluczowych i ważnych są zobowiązani do regularnego odbywania szkoleń". Praktyka: 4-8 godzin rocznie, dokumentowane certyfikatem ukończenia.

Odpowiedzialność osobista

Art. 32 ust. 5 NIS2 daje państwom członkowskim opcję wprowadzenia osobistych sankcji dla członków zarządu w razie poważnych naruszeń:

  • Kara administracyjna dla osoby fizycznej (członek zarządu) - kwoty określa prawo krajowe.
  • Tymczasowy zakaz pełnienia funkcji kierowniczych - do czasu usunięcia naruszeń, może obejmować wszystkie spółki w grupie.
  • Publikacja decyzji wskazującej osoby odpowiedzialne (reputation damage).

Polski projekt UC59 [4] przewiduje wprowadzenie tych sankcji.

Konsekwencje organizacyjne

Cyberbezpieczeństwo staje się tematem strategicznym, porównywalnym z finansami i compliance. Zmiany:

  • CISO uzyskuje bezpośredni dostęp do zarządu (line reporting do CEO lub Rady Nadzorczej).
  • Tworzony jest Komitet ds. Ryzyka i Cyberbezpieczeństwa przy Radzie Nadzorczej.
  • Polityki cyberbezpieczeństwa są formalnie zatwierdzane uchwałą zarządu.
  • Decyzje budżetowe są uzasadniane wobec wymagań NIS2.

Co konkretnie powinien zrobić zarząd

  1. Self-assessment NIS2 - czy organizacja jest podmiotem kluczowym / ważnym.
  2. Plan transpozycji - harmonogram osiągnięcia zgodności do daty wejścia nowelizacji KSC.
  3. Budżet - alokacja środków na audyt, wdrożenie, monitoring.
  4. Szkolenie - obowiązkowe dla każdego członka zarządu.
  5. Regularne raportowanie CISO do zarządu (minimum kwartalne).
  6. Decyzja w razie incydentu - zarząd musi mieć rolę w incident response (zatwierdzanie komunikacji zewnętrznej, decyzje strategiczne).

Kary administracyjne - do 10 mln EUR

NIS2 wprowadza system kar porównywalny z RODO - mocno odbiegający od dotychczasowych regulacji cybersec.

Kary dla podmiotów kluczowych

Art. 34 ust. 4 NIS2:

  • Do 10 000 000 EUR, lub
  • Do 2% całkowitego rocznego światowego obrotu w roku obrotowym poprzedzającym (na poziomie grupy przedsiębiorstw).

Wyższa z kwot. Dla największych grup (np. dystrybutorzy energii, banki krajowe) 2% obrotu znacznie przekracza 10 mln EUR.

Kary dla podmiotów ważnych

Art. 34 ust. 5 NIS2:

  • Do 7 000 000 EUR, lub
  • Do 1,4% całkowitego rocznego światowego obrotu.

Czynniki wymierzania kary

Art. 32 ust. 7 NIS2 wymienia 9 czynników branych pod uwagę:

  1. Charakter, waga i czas trwania naruszenia.
  2. Zamierzony lub nieumyślny charakter naruszenia.
  3. Faktyczna lub potencjalna szkoda materialna lub niematerialna.
  4. Działania podjęte dla zminimalizowania szkody.
  5. Stopień odpowiedzialności podmiotu.
  6. Poprzednie naruszenia.
  7. Stopień współpracy z organem.
  8. Kategoria danych osobowych dotkniętych naruszeniem (jeśli dotyczy).
  9. Inne okoliczności obciążające lub łagodzące.

Sankcje niefinansowe

Państwa członkowskie mogą wprowadzić:

  • Nakaz zaprzestania naruszenia.
  • Cofnięcie certyfikatów (TSP, audytorów).
  • Publikację decyzji naruszenia.
  • Zakaz funkcji kierowniczych (dla osób fizycznych).

Porównanie do KSC obecnego

Skala zmiany:

  • KSC 2018 - kary do 200 000 zł (do 1 mln zł przy recydywie). To kilkadziesiąt razy mniej niż NIS2.
  • RODO - kary do 20 mln EUR lub 4% obrotu. NIS2 jest niżej, ale na podobnym poziomie skali.

To fundamentalna zmiana ryzyka regulacyjnego. Po nowelizacji KSC nieprzestrzeganie cyberbezpieczeństwa stanie się ryzykiem porównywalnym z naruszeniem RODO - co znacząco podniesie poziom uwagi zarządu.

Współpraca europejska - CSIRTs Network, EU-CyCLONe

NIS2 rozbudowuje strukturę współpracy europejskiej w cyberbezpieczeństwie.

NIS Cooperation Group

Forum państw członkowskich + KE + ENISA. Cele:

  • Wymiana dobrych praktyk w transpozycji NIS2.
  • Wytyczne metodyczne dla państw członkowskich.
  • Coordinated Risk Assessments (np. 5G, kable submarynowe).

CSIRTs Network

Sieć operacyjnych zespołów reagowania na incydenty z państw członkowskich. Polskę reprezentują CSIRT NASK i CSIRT GOV. Funkcje:

  • Wymiana informacji o incydentach transgranicznych.
  • Wspólne ćwiczenia (np. Cyber Europe organizowane przez ENISA).
  • Wzajemna pomoc techniczna.
  • Bezpieczna platforma wymiany informacji (MISP, Threat Intelligence Sharing).

EU-CyCLONe (European Cyber Crisis Liaison Organisation Network)

Nowość NIS2 (art. 16). Sieć zarządzania kryzysem cybernetycznym na poziomie polityczno-strategicznym. Działa obok operacyjnej CSIRTs Network. Funkcje:

  • Koordynacja zarządzania kryzysem cybernetycznym o zasięgu europejskim.
  • Wspólna sytuacja świadomości (Common Situational Awareness).
  • Wsparcie procesów decyzyjnych na poziomie politycznym.

W razie poważnego incydentu transgranicznego (np. atak na łańcuch dostaw obejmujący wiele państw UE) EU-CyCLONe koordynuje reakcję na poziomie ministerialnym.

ENISA

European Union Agency for Cybersecurity - centralna agencja UE ds. cyberbezpieczeństwa. Funkcje wzmocnione w NIS2:

  • Wsparcie metodyczne państw członkowskich.
  • Publikacja wytycznych technicznych (np. dla 11 środków z art. 21).
  • Raport roczny ENISA Threat Landscape [6] - obowiązkowy materiał referencyjny.
  • Organizacja ćwiczeń Cyber Europe co 2 lata.
  • Zarządzanie schematami certyfikacji cyberbezpieczeństwa (np. EUCS dla chmury).

Mapping do DORA, CER, RODO, KSC

NIS2 nie istnieje w próżni. Współistnieje z wieloma innymi regulacjami:

NIS2 vs DORA

DORA (rozporządzenie 2022/2554 [8]) - rozporządzenie sektorowe dla sektora finansowego. Stosuje się od 17 stycznia 2025 r. Relacja:

  • DORA jest lex specialis - dla sektora finansowego ma pierwszeństwo nad NIS2.
  • Bank pozostaje formalnie podmiotem NIS2, ale w zakresie zarządzania ryzykiem ICT, raportowania incydent[10]ów, threat-led pentesting (TLPT), zarządzania dostawcami - stosuje DORA.
  • NIS2 nadal obowiązuje banku w obszarach nie pokrytych DORA (np. niektóre aspekty organizacyjne, współpraca z CSIRT).

Szczegóły - artykuł o DORA.

NIS2 vs CER

CER (Critical Entities Resilience, dyrektywa 2022/2557 [3]) - siostrzana dyrektywa NIS2:

  • NIS2 = odporność CYFROWA (cyber resilience).
  • CER = odporność FIZYCZNA (physical resilience).

Wiele podmiotów podlega obu - np. operator energetyczny ma środki cyber (NIS2) i fizyczne (CER, ochrona stacji, terenu, infrastruktury).

NIS2 vs RODO

Komplementarne:

  • RODO chroni dane osobowe.
  • NIS2 chroni systemy informatyczne.

Naruszenie często dotyczy obu - ransomware szyfrujący dane osobowe to incydent NIS2 + naruszenie RODO. Konsekwencja - podwójne zgłoszenie: do CSIRT w 24h (NIS2) i do PUODO w 72h (RODO). Szczegóły - artykuł o RODO.

NIS2 vs KSC

KSC to polska transpozycja dyrektywy. Po wejściu nowelizacji UC59 organizacje stosują znowelizowany KSC, nie bezpośrednio NIS2. Szczegóły - artykuł o KSC.

NIS2 vs AI Act

AI Act (rozporządzenie 2024/1689) - dotyczy systemów AI. Relacja:

  • NIS2 obejmuje cyberbezpieczeństwo systemów IT, w tym AI.
  • AI Act dodaje wymagania specyficzne dla AI - klasyfikacja ryzyka, transparentność, AI literacy.
  • Podmiot NIS2 wykorzystujący AI w usłudze kluczowej musi spełniać obie regulacje.

Szczegóły - artykuł o AI Act.

Transpozycja w Polsce - UC59

Projekt ustawy UC59 (formalna nazwa: "Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw") [4] jest procedowany od 2024 r. Stan na maj 2026 r.: projekt na końcowym etapie procedowania rządowego, kierowany do Sejmu.

Główne elementy polskiej transpozycji

  • Pełna implementacja 18 sektorów z dyrektywy.
  • Włączenie administracji publicznej - urzędy wojewódzkie, marszałkowskie, gminy powyżej progu mieszkańców (prawdopodobnie 50 tys.).
  • Trzy organy właściwe - Minister Cyfryzacji (główny), KNF (sektor finansowy), URE (energetyka).
  • Trzy CSIRT poziomu krajowego - NASK, GOV, MON (struktura bez zmian).
  • Samorejestracja podmiotów - zastępuje obecny model decyzji administracyjnej.
  • Pełne kary z dyrektywy - 10/7 mln EUR lub 2/1,4% obrotu.
  • Osobiste sankcje dla członków zarządu.

Harmonogram

  • Maj 2026 - finalizacja procedowania rządowego.
  • 2H 2026 / 1H 2027 - przewidywane uchwalenie i ogłoszenie ustawy.
  • + 21 miesięcy - okres przejściowy na pełne wdrożenie obowiązków przez nowo objęte podmioty.

Postępowanie KE wobec Polski

Komisja Europejska wszczęła postępowanie w sprawie naruszenia traktatu (infringement procedure) wobec Polski i ponad 20 innych państw za opóźnienie transpozycji NIS2. Polska, jak większość państw, otrzymała reasoned opinion w czerwcu 2025 r. - co oznacza, że KE może w przyszłoś[11]ci skierować sprawę do Trybunału Sprawiedliwości UE z żądaniem nałożenia kary finansowej.

Co przygotować już teraz

Niezależnie od daty wejścia w życie nowelizacji KSC, organizacje potencjalnie objęte NIS2 powinny aktywnie się przygotowywać. Okres przejściowy 21 miesięcy jest krótki dla głębokiej transformacji.

  1. Self-assessment NIS2. Czy organizacja jest w sektorach załącznika I lub II? Jaki ma rozmiar? Wynik: podmiot kluczowy / ważny / nieobjęty.
  2. Gap analysis. Mapping istniejących polityk, procedur, środków do 11 środków z art. 21 NIS2. Identyfikacja luk.
  3. Roadmap wdrożenia. Plan z priorytetami: krytyczne luki najpierw, dokumentacja na końcu. Harmonogram dopasowany do okresu przejściowego.
  4. Budżet. Alokacja na audyt, wdrożenie środków, monitoring, szkolenia. Średnio - dla średniej organizacji - 200-500 tys. zł w pierwszym roku, 100-300 tys. zł rocznie potem.
  5. Wyznaczenie CISO lub równoważnego stanowiska. Z bezpośrednim raportem do zarządu.
  6. Szkolenie zarządu. 4-8 godzin rocznie, dokumentowane. Zaplanować już teraz.
  7. Audyt łańcucha dostaw. Inwentaryzacja krytycznych dostawców, ocena ryzyka, rewizja umów.
  8. SOC 24/7. Decyzja: budowa wewnętrzna lub outsourcing (zob. SOC 24/7).
  9. Pierwszy audyt zgodności. Niezależny audyt KSC/NIS2 dający bazową ocenę - co działa, co wymaga poprawy (zob. Audyt KSC i NIS2).
  10. Polityki i procedury. Polityka bezpieczeństwa informacji, polityka kryptografii, polityka kontroli dostępu, plan ciągłości działania, plan postępowania z incydentami - aktualizacja lub stworzenie od zera.

Najczęstsze błędy organizacji przygotowujących się do NIS2

  1. Czekanie na nowelizację KSC. Okres przejściowy 21 miesięcy może być za krótki dla głębokiej transformacji.
  2. Założenie, że certyfikat ISO 27001 wystarczy. ISO 27001 to świetna baza, ale NIS2 ma dodatkowe wymagania (łańcuch dostaw, raportowanie incydentów, odpowiedzialność zarządu).
  3. Brak zaangażowania zarządu. Bez tego art. 20 NIS2 nie jest spełniony, niezależnie od jakości wdrożeń technicznych.
  4. Pominięcie łańcucha dostaw. To najtrudniejszy element - wymaga audytu wszystkich krytycznych dostawców i renegocjacji umów.
  5. Brak testów. Procedury zgłaszania incydentów, ciągłości działania, eskalacji - jeśli nie są testowane, to nie działają.

Checklist: 10 punktów gotowości NIS2

Lista high-impact dla organizacji potencjalnie objętej NIS2. Bez tych elementów ryzyko stwierdzenia niezgodności w pierwszym audycie po wejściu nowelizacji KSC jest bardzo wysokie.

  1. Status NIS2 zdefiniowany. Self-assessment - podmiot kluczowy / ważny / nieobjęty. Dokumentacja decyzji.
  2. SZBI zgodny z 11 środkami art. 21. Mapping istniejących dokumentów do każdego z 11 środków, plan uzupełnienia luk.
  3. Łańcuch dostaw zinwentaryzowany. Lista krytycznych dostawców z oceną ryzyka, klauzule cyberbezpieczeństwa w umowach, prawo do audytu.
  4. SOC 24/7. Własny lub outsourcing, z SLA, integracją SIEM/EDR. Zob. SOC 24/7.
  5. Procedura zgłaszania incydentów. 24h / 72h / 1 miesiąc - szablony, kontakty CSIRT, testy.
  6. MFA wszędzie. Dla zdalnego dostępu, kont uprzywilejowanych, administracyjnych. TOTP / FIDO2, nie SMS.
  7. Kryptografia. Polityka szyfrowania w spoczynku i w tranzycie, zarządzanie kluczami (HSM/KMS).
  8. Zarząd zaangażowany. Komitet ds. ryzyka cybernetycznego, kwartalne raporty CISO, szkolenia członków zarządu (udokumentowane).
  9. Plan ciągłości działania z testami. BCP, DRP, tabletop minimum raz w roku, test odzyskiwania backupu.
  10. Pierwszy audyt zgodności. Niezależny audyt KSC/NIS2 jako baseline. Zob. Audyt KSC i NIS2.

Najczęściej zadawane pytania

Kiedy moja firma jest podmiotem kluczowym, a kiedy ważnym w NIS2?

Podział zależy od sektora (załącznik I vs II do dyrektywy) i rozmiaru firmy.

Podmioty KLUCZOWE (essential) - sektory wysokokrytyczne z załącznika I (energia, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, wody ściekowe, infrastruktura cyfrowa, ICT service management B2B, administracja publiczna, przestrzeń kosmiczna), gdy spełniają kryterium dużego przedsiębiorstwa (powyżej 250 pracowników lub powyżej 50 mln EUR obrotu rocznego).

Podmioty WAŻNE (important) - sektory inne (poczta, gospodarka odpadami, chemia, żywność, produkcja, dostawcy usług cyfrowych B2C, badania naukowe), lub średnie przedsiębiorstwa (50-250 pracowników lub 10-50 mln EUR) w sektorach kluczowych.

Mikroprzedsiębiorstwa (poniżej 10 osób i 2 mln EUR) są generalnie wyłączone, z wyjątkami (DNS, TLD, niektóre TSP).

Mam 60 pracowników i 12 mln EUR obrotu w branży e-commerce - co mnie dotyczy z NIS2?

Średnie przedsiębiorstwo (50-250 pracowników i 10-50 mln EUR). Internetowe platformy handlowe są w załączniku II (sektor podmiotów ważnych). Konkluzja: jeśli prowadzisz internetową platformę handlową, jesteś podmiotem WAŻNYM.

Obowiązki obejmują wdrożenie 11 środków z art. 21 dyrektywy (analiza ryzyka, polityka bezpieczeństwa, obsługa incydentów, ciągłość działania, łańcuch dostaw, bezpieczne nabywanie, ocena skuteczności, kryptografia, kontrola dostępu, MFA, szkolenia). Terminy zgłaszania incydentów takie same jak dla kluczowych (24h / 72h / 1 miesiąc).

Niższe kary - do 7 mln EUR lub 1,4% obrotu. Mniej restrykcyjny nadzór (reaktywny, nie proaktywny).

Czy dostawca SaaS dla NIS2-entity automatycznie podlega NIS2?

Nie automatycznie - zależy od własnej kwalifikacji dostawcy SaaS. Jeśli dostawca świadczy usługi cloud computing (IaaS, PaaS, SaaS) i nie jest mikroprzedsiębiorcą, sam podlega NIS2 jako podmiot ważny (załącznik II).

Niezależnie od własnej kwalifikacji, dostawcy NIS2-entities są de facto związani wymaganiami klienta poprzez umowy (art. 21 ust. 2 lit. d - łańcuch dostaw). Klient NIS2 wymaga klauzul cyberbezpieczeństwa, prawa do audytu, certyfikatów (ISO 27001, SOC 2 typ II).

W praktyce wszyscy dostawcy IT obsługujący sektor regulowany muszą podnieść poziom bezpieczeństwa, nawet jeśli sami nie są bezpośrednio NIS2-entity.

Co to są 11 środków z art. 21 NIS2?

Art. 21 ust. 2 dyrektywy wymienia 11 kategorii środków zarządzania ryzykiem cyberbezpieczeństwa:

  1. polityki analizy ryzyka i bezpieczeństwa informacji,
  2. obsługa incydentów,
  3. ciągłość działania (kopie zapasowe, odzyskiwanie po awarii, zarządzanie kryzysowe),
  4. bezpieczeństwo łańcucha dostaw,
  5. bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu systemów (vulnerability disclosure),
  6. polityki i procedury oceny skuteczności środków,
  7. praktyki podstawowej higieny cybernetycznej i szkolenia,
  8. polityki kryptografii i szyfrowania,
  9. bezpieczeństwo personelu, kontrola dostępu, zarządzanie aktywami,
  10. MFA, zabezpieczone systemy komunikacji głosowej / wideo / tekstowej,
  11. bezpieczeństwo personelu kierowniczego (szkolenia, świadomość).

Rozporządzenie wykonawcze 2024/2690 [2] doprecyzowuje wymagania techniczne dla każdego z 11 środków.

Czy mała gmina podlega NIS2?

Państwa członkowskie samodzielnie decydują, jak włączyć administrację publiczną - dyrektywa daje opcje. NIS2 art. 2 ust. 2 lit. f wskazuje, że administracja publiczna na poziomie centralnym jest zawsze objęta, na poziomie regionalnym - decyzja państwa.

W polskiej transpozycji (UC59) proponuje się włączenie wszystkich urzędów wojewódzkich i marszałkowskich oraz gmin powyżej określonego progu mieszkańców (prawdopodobnie 50 tys. mieszkańców, ale szczegóły mogą się zmienić w toku procedowania).

Mniejsze gminy nadal będą podlegać KRI (Krajowym Ramom Interoperacyjności) i powinny stosować podobne środki w trybie dobrowolnym. Zob. artykuł o KRI.

Jakie kary po NIS2?

Dla podmiotów kluczowych - do 10 mln EUR lub 2% rocznego obrotu w skali grupy, wyższa z kwot. Dla podmiotów ważnych - do 7 mln EUR lub 1,4% obrotu.

Kary są kalkulowane z uwzględnieniem charakteru i wagi naruszenia, czasu trwania, intencjonalności, działań korygujących, stopnia współpracy z organem.

Najbardziej dotkliwe sankcje wykraczają poza pieniądze:

  • Możliwość czasowego zakazu pełnienia funkcji kierowniczych dla zarządu.
  • Cofnięcie certyfikatów (dla TSP).
  • Publikacja decyzji o naruszeniu (reputation damage).

W Polsce - karę nakłada Minister Cyfryzacji lub sektorowy organ właściwy.

Co z odpowiedzialnością zarządu w NIS2?

Art. 20 NIS2 wprowadza obowiązek nadzoru zarządu nad wdrożeniem środków zarządzania ryzykiem. Członkowie organów zarządzających mają osobistą odpowiedzialność za:

  • Zatwierdzanie polityk.
  • Nadzorowanie wdrożenia.
  • Regularne szkolenia.

Państwa członkowskie mają możliwość wprowadzenia kar dla osób fizycznych (członków zarządu) oraz czasowego zakazu pełnienia funkcji kierowniczych w razie poważnych naruszeń.

To fundamentalna zmiana - cyberbezpieczeństwo z kompetencji CIO/CISO awansuje do agenda zarządu. Wymaga obowiązkowych szkoleń członków zarządu (typowo 4-8 godzin rocznie) i udokumentowanej decyzji zarządu w zakresie strategii cyberbezpieczeństwa.

Czym jest CSIRTs Network?

CSIRTs Network to formalna sieć zespołów reagowania na incydenty z państw członkowskich UE, ustanowiona dyrektywą NIS i utrzymana w NIS2 (art. 15). Cele: wymiana informacji o incydentach transgranicznych, koordynacja reakcji na duże incydenty, wspólne ćwiczenia.

Polskę reprezentują CSIRT NASK (sektor cywilny) i CSIRT GOV (administracja). Sieć działa pod auspicjami ENISA, która udostępnia platformę wymiany informacji (MISP, EU CyCLONe).

Nowość NIS2: EU-CyCLONe (European Cyber Crisis Liaison Organisation Network) - sieć zarządzania kryzysem cybernetycznym na poziomie polityczno-strategicznym, działająca obok operacyjnej CSIRTs Network.

Czym różni się NIS2 od DORA dla banku?

DORA (rozporządzenie 2022/2554 [8]) jest lex specialis wobec NIS2 dla sektora finansowego. Bank podlega obu, ale w zakresie pokrywającym się DORA ma pierwszeństwo.

Praktycznie: zarządzanie ryzykiem ICT, zarządzanie incydentami ICT, threat-led pentesting (TLPT), zarządzanie dostawcami ICT - wszystko z DORA. Zgłaszanie znaczących incydentów - do CSIRT (NIS2), ale również do KNF i ESA (DORA).

DORA wprowadza dodatkowe wymagania nieobecne w NIS2:

  • Oversight framework[12] dla krytycznych dostawców ICT.
  • Mandatory TLPT raz na 3 lata dla największych banków.

Dla banków zalecenie: mapować DORA jako podstawowy framework, NIS2 jako uzupełnienie. Zob. artykuł o DORA.

Czy NIS2 dotyczy firm spoza UE?

NIS2 stosuje się do podmiotów świadczących usługi w UE niezależnie od miejsca siedziby. Art. 26 dyrektywy: jurysdykcja oparta na miejscu głównego zakładu w UE; jeśli podmiot nie ma głównego zakładu w UE, musi wyznaczyć przedstawiciela w UE (tzw. EU representative).

Konsekwencja: dostawca SaaS z USA obsługujący klientów w UE musi spełnić wymagania NIS2, jeśli wpada w którąś z kategorii (cloud computing, online marketplace, search engine, DNS, TLD).

Wyznaczenie przedstawiciela jest analogiczne do RODO - osoba / podmiot przyjmujący korespondencję od organów nadzoru.

Kiedy nowelizacja KSC wejdzie w życie?

Projekt ustawy UC59 (transpozycja NIS2) jest procedowany od 2024 r. Polska przekroczyła termin transpozycji 17 października 2024 r.

Na maj 2026 r. projekt jest na końcowym etapie procedowania rządowego. Prognoza realistyczna: wejście w życie w drugiej połowie 2026 r. lub na początku 2027 r.

Komisja Europejska wszczęła postępowania w sprawie naruszenia traktatu (infringement procedure) wobec Polski i większości państw UE za opóźnienie.

Po wejściu w życie KSC stosuje się okres przejściowy 21 miesięcy na pełne wdrożenie obowiązków przez nowo objęte podmioty.

Jak udokumentować spełnienie NIS2?

Trzy filary dokumentacji:

  1. SZBI zgodny z PN-ISO/IEC 27001 [7] - polityka, procedury, analiza ryzyka, plan postępowania z ryzykiem, plan ciągłości działania, plan postępowania z incydentami.
  2. Mapping do 11 środków z art. 21 NIS2 - tabela pokazująca, który dokument / system / proces realizuje który środek.
  3. Dowody operacyjne - rejestry incydentów, raporty z testów ciągłości działania (tabletop), wyniki skanowania podatności, pentestów, listy szkoleń, raporty audytów łańcucha dostaw.

Dodatkowo - rejestr decyzji zarządu w zakresie cyberbezpieczeństwa, dowody szkoleń członków zarządu. Audyt KSC/NIS2 (co 24 miesiące - obowiązek z KSC, przenoszony do znowelizowanej ustawy) bada wszystkie trzy filary. Posiadanie certyfikatu ISO 27001 znacznie upraszcza demonstrację compliance.

Potrzebujesz konsultacji w zakresie NIS2?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Sprawdzamy status (podmiot kluczowy / ważny), mapujemy obowiązki z art. 21 i identyfikujemy luki przed wejściem nowelizacji KSC.

Zadzwoń: +48 691 122 312 office@4crypto.eu

Powiązane treści

Compliance i regulacje

Usługi związane

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Dyrektywy, rozporządzenia wykonawcze i wytyczne ENISA odsyłają do oryginalnych dokumentów w EUR-Lex i na stronie ENISA.

  1. [1]regulationParlament Europejski, Rada UE (2022). Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2). Dz.U. UE L 333, 27.12.2022 · https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  2. [2]regulationKomisja Europejska (2024). Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z 17 października 2024 r. ustanawiające zasady stosowania dyrektywy NIS2 w odniesieniu do wymogów technicznych i metodycznych środków zarządzania ryzykiem. Dz.U. UE L · https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  3. [3]regulationParlament Europejski, Rada UE (2022). Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych (CER). Dz.U. UE L 333, 27.12.2022 · https://eur-lex.europa.eu/eli/dir/2022/2557/oj
  4. [4]regulationRada Ministrów, KPRM (2024). Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (UC59) - transpozycja NIS2. Rządowy Proces Legislacyjny · https://legislacja.rcl.gov.pl/projekt/12386504
  5. [5]regulationSejm RP (2018). Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Dz.U. 2018 poz. 1560 z późn. zm. · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560
  6. [6]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024 report. ENISA · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  7. [7]standardISO/IEC (2023). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements (polska wersja: PN-EN ISO/IEC 27001:2023-08) · https://www.iso.org/standard/27001
  8. [8]regulationParlament Europejski, Rada UE (2022). Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Dz.U. UE L 333, 27.12.2022 · https://eur-lex.europa.eu/eli/reg/2022/2554/oj
  9. [9]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). NIS360 - Sectoral cybersecurity maturity model. ENISA · https://www.enisa.europa.eu/publications/nis360-2024
  10. [10]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Good Practices for Cyber Incident Reporting. ENISA · https://www.enisa.europa.eu/publications/good-practices-for-cyber-incident-reporting
  11. [11]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Foresight Cybersecurity Threats for 2030. ENISA · https://www.enisa.europa.eu/publications/enisa-foresight-cybersecurity-threats-for-2030
  12. [12]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  13. [13]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  14. [14]standardCichonski, P., Millar, T., Grance, T., Scarfone, K. (2012). NIST SP 800-61 Rev. 2: Computer Security Incident Handling Guide. NIST. DOI: 10.6028/NIST.SP.800-61r2 · https://doi.org/10.6028/NIST.SP.800-61r2
  15. [15]standardInternational Organization for Standardization (2022). ISO/IEC 27002:2022 - Information security controls. ISO/IEC · https://www.iso.org/standard/75652.html
  16. [16]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  17. [17]peer-reviewedVielberth, M., B�hm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514
  18. [18]reportMandiant (Google Cloud) (2024). M-Trends 2024 Special Report. Mandiant · https://services.google.com/fh/files/misc/m-trends-2024.pdf
  19. [19]reportIBM Security, Ponemon Institute (2024). Cost of a Data Breach Report 2024. IBM Corporation · https://www.ibm.com/reports/data-breach
  20. [20]reportVerizon Business (2024). 2024 Data Breach Investigations Report (DBIR). Verizon, 17th edition · https://www.verizon.com/business/resources/reports/dbir/
  21. [21]reportMicrosoft (2024). Microsoft Digital Defense Report 2024. Microsoft Threat Intelligence · https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2024