Przejdź do treści
dyrektywaNIS2

Blog · FAQ

Czy MŚP dotyczy NIS2 — definicja, próg, trzy wyjątki

Tak — jeżeli MŚP zatrudnia 50 lub więcej osób albo osiąga roczny obrót/sumę bilansową przekraczającą 10 mln EUR i działa w jednym z 18 sektorów Załączników I lub II NIS2. Status „MŚP” w polskim rozumieniu nie jest klauzulą wyłączenia. Niżej tłumaczenie, skąd nieporozumienie i kiedy mniejsza firma też podlega NIS2.

Aktualizacja: 5 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

Skąd bierze się nieporozumienie

W polskim języku prawniczym i biznesowym „MŚP” oznacza Małe i Średnie Przedsiębiorstwa — kategorię zdefiniowaną w art. 7 ustawy Prawo Przedsiębiorców, z trzema podkategoriami: mikro (do 10 osób, do 2 mln EUR), małe (do 50 osób, do 10 mln EUR) i średnie (do 250 osób, do 50 mln EUR obrotu).

NIS2 posługuje się tylko jednym z tych progów — progiem średniego przedsiębiorstwa z rekomendacji Komisji Europejskiej 2003/361/WE: „50 osób LUB 10 mln EUR obrotu LUB 10 mln EUR sumy bilansowej”. Firma, która spełnia ten próg (czyli jest średnim albo dużym przedsiębiorstwem w rozumieniu EU SME definition), i działa w jednym z 18 sektorów Załączników I lub II, jest objęta NIS2.

Praktyczna konsekwencja: firma kwalifikowana w polskiej klasyfikacji jako „średnia MŚP” (60 osób, 12 mln EUR obrotu) jest w pełni objęta NIS2, jeżeli działa w sektorze regulowanym. Status „MŚP” nie ma znaczenia — liczy się przekroczenie progu europejskiego.

Trzy warunki łącznie — wszystkie muszą być spełnione

By firma była objęta NIS2 jako Podmiot Kluczowy lub Ważny, muszą być spełnione trzy warunki łącznie:

  1. Sektor. Działalność w jednym z 18 sektorów Załącznika I lub Załącznika II NIS2.
  2. Próg wielkości. Co najmniej 50 osób LUB co najmniej 10 mln EUR rocznego obrotu LUB co najmniej 10 mln EUR sumy bilansowej. Wystarczy spełnienie jednego z tych kryteriów.
  3. Siedziba (jurysdykcja). Siedziba w Polsce albo świadczenie usług na terenie Polski (dla niektórych kategorii usług cyfrowych — także bez siedziby).

Pełna analiza klasyfikacji — pillar Podmioty Kluczowe i Ważne. Szybkie sprawdzenie własnej firmy w trzy parametry — klasyfikator NIS2.

Trzy wyjątki — kiedy MAŁA firma TEŻ podlega

NIS2 świadomie nie zwalnia z obowiązków mniejszych podmiotów, jeżeli ich rola w sektorze jest strategiczna. Trzy typowe sytuacje, w których mikroprzedsiębiorstwo albo małe przedsiębiorstwo jest objęte NIS2 mimo niespełnienia progu:

Wyjątek 1 — wpisanie z urzędu (Art. 2(2) NIS2)

Państwo członkowskie może wpisać do katalogu Podmiotów Kluczowych lub Ważnych również podmioty mniejsze, jeżeli spełniają określone kryteria istotności systemowej. W praktyce — jedyny dostawca usługi krytycznej dla społeczności (jedyna apteka w gminie, jedyny operator stacji bazowej, jedyny dostawca wody na danym terytorium).

Wyjątek 2 — wciąganie przez grupę kapitałową

Jeżeli firma jest częścią grupy kapitałowej, w której inny członek przekracza próg, to w praktyce — choć nie zawsze formalnie — wymagania NIS2 rozlewają się na całą grupę przez wspólne polityki, wspólny SOC, wspólne audyty. Najczęściej spotykane w grupach z holdingiem operacyjnym.

Wyjątek 3 — wciąganie przez łańcuch dostaw (Art. 21(2)(d))

Najczęstszy i najsilniejszy mechanizm. Mała firma (np. integrator SCADA, MSSP, dostawca chmury) świadcząca usługi krytyczne dla podmiotu objętego NIS2 musi spełnić wymagania tej dyrektywy umownie, na żądanie klienta-podmiotu objętego. Klient ma obowiązek monitorować dostawcę zgodnie z Art. 21(2)(d) — praktycznie znaczy to klauzule kontraktowe, prawo audytu, minimalne SLA bezpieczeństwa. Szczegółowo — artykuł Łańcuch dostaw w NIS2 — Art. 21(2)(d).

Najczęstszy błąd w 2026 r. Zarząd polskiego średniego przedsiębiorstwa (60 osób, 12 mln EUR obrotu) twierdzi, że „jest MŚP, więc NIS2 ich nie dotyczy”. Tymczasem firma spełnia próg europejski (≥ 50 osób LUB ≥ 10 mln EUR) i — jeżeli działa w jednym z 18 sektorów — jest pełnym Podmiotem Ważnym z obowiązkiem rejestracji w S46, wdrożeniem 10 środków z Art. 21 i kaskadą raportowania 24h / 72h / 1 miesiąc. Audyt zerowy ujawniający tę pomyłkę kosztuje 1–3 dni pracy; postępowanie wyjaśniające organu właściwego — wielokrotnie więcej.

Co zrobić, jeżeli istnieje wątpliwość klasyfikacyjna

Trzy kroki w kolejności:

  1. Sprawdzenie automatyczne klasyfikator NIS2 w trzy parametry rozstrzyga 95% przypadków klarownych.
  2. Konsultacja kontekstu — jeżeli firma jest w grupie kapitałowej, świadczy usługi dla większych podmiotów, działa na pograniczu dwóch sektorów albo spełnia próg tylko jednym kryterium (np. obrót przekracza, zatrudnienie nie) — warto skonsultować decyzję klasyfikacyjną z prawnikiem albo vCISO.
  3. Dokumentacja decyzji — bez względu na wynik klasyfikacji, sam proces analizy powinien być udokumentowany (notatka klasyfikacyjna zarządu z datą i podstawą prawną). W razie kontroli organu właściwego ten dokument jest pierwszą rzeczą, którą inspektor zażąda.

Krótko

  • „MŚP” w polskim rozumieniu ≠ wyłączenie z NIS2.
  • Liczy się próg europejski średniego przedsiębiorstwa (50 osób LUB 10 mln EUR).
  • Trzy wyjątki, gdy mniejsza firma też podlega: wpisanie z urzędu, grupa kapitałowa, łańcuch dostaw.
  • Decyzję klasyfikacyjną dokumentuje się notatką zarządu — bez tego dokumentu zarząd nie obroni się w kontroli.

Marka Cyber Alterity prowadzi bezpłatną 20-minutową konsultację klasyfikacyjną dla firm z grupy kapitałowej albo z wątpliwościami w pograniczu sektora.

Umów konsultację