Skąd różnica i dlaczego tak ostra
Dyrektywa NIS z 2016 r. (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148) była pierwszą horyzontalną regulacją cyberbezpieczeństwa na poziomie UE. Wprowadzała pojęcie „operatora usługi kluczowej" i wyznaczała państwom członkowskim szeroką swobodę w klasyfikacji. Efektem była niespójna mapa Europy: ta sama fabryka, która w Niemczech była objęta dyrektywą, w Polsce mogła nie być.
Po pięciu latach obowiązywania NIS okazało się, że trzy luki są najbardziej dotkliwe. Pierwsza — zbyt wąski zakres podmiotowy. Drugą — brak realnych sankcji, które motywowałyby zarządy do działania. Trzecia — brak harmonizacji klasyfikacji. NIS2 jest odpowiedzią KE na te wnioski. Punkt po punkcie wygląda to tak.
Oś 1 — zakres podmiotowy
NIS obejmowała 7 sektorów (energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, infrastruktura cyfrowa) plus 3 typy dostawców usług cyfrowych (online marketplaces, wyszukiwarki, chmury obliczeniowe). Łącznie — ok. 1500 podmiotów objętych w Polsce.
NIS2 obejmuje 18 sektorów i dodaje m.in. usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję żywności, produkcję przemysłową, chemikalia, organizacje badawcze, przestrzeń kosmiczną i administrację publiczną. Szacunki polskiego MC z 2024 r. mówią o 11–15 tysiącach Podmiotów Kluczowych i Ważnych w Polsce — niemal dziesięciokrotny wzrost.
Oś 2 — kary administracyjne
NIS zostawiała wysokość kar państwom członkowskim. W Polsce maksimum, według ustawy o KSC z 2018 r., wynosiło 1 mln zł — kwota dyskusyjna nawet dla średniej firmy.
NIS2 — śladem RODO — wprowadza górne progi unijne: do 10 mln EUR lub 2% obrotu globalnego dla Podmiotu Kluczowego, do 7 mln EUR lub 1,4% obrotu globalnego dla Podmiotu Ważnego. Stosuje się wartość wyższą. Skala kar weszła do dyskusji zarządczych: 2% obrotu polskiej grupy z 800 mln zł przychodu rocznego to ok. 16 mln zł. Pełna analiza: Art. 12a KSC i kary.
Oś 3 — łańcuch dostaw
NIS skupiała się na samym podmiocie regulowanym. NIS2 — przez Art. 21(2)(d) — wprowadza obowiązek aktywnego zarządzania ryzykiem cyberbezpieczeństwa kluczowych dostawców i usługodawców, w tym dostawców MSP, MSSP i chmurowych. To największa zmiana operacyjna — bo wymaga przeglądania umów, scoringu dostawców i kontraktowych klauzul, których wcześniej nie było.
Praktycznym skutkiem ubocznym jest wciąganie do obowiązków NIS2 firm, które same nie są w żadnej z 18 branż — bo są dostawcami dla firm, które są. Operator wodociągowy, który zleca obsługę SCADA małej firmie integratorskiej, w 2026 r. zażąda od niej spełnienia tych samych wymagań co własnych pracowników. Tematyce poświęcamy osobny artykuł: Łańcuch dostaw w NIS2 — Art. 21(2)(d).
Oś 4 — odpowiedzialność zarządu
NIS w ogóle nie regulowała kwestii osobistej odpowiedzialności członków zarządu. Sankcje były nakładane na podmiot, nie na osoby.
NIS2 zmienia to przez Art. 20 — wprowadza obowiązek nadzoru nad wdrożeniem środków przez „organy zarządzające" oraz wymóg regularnych szkoleń tych organów. Polska nowelizacja KSC dodatkowo wprowadza projektowany Art. 12a — regres do 600% wynagrodzenia członka zarządu, jeżeli kara administracyjna jest skutkiem niewdrożenia środków, za które konkretny członek zarządu odpowiadał. Polski ustawodawca poszedł istotnie dalej niż obowiązuje to w Niemczech czy Francji, gdzie odpowiedzialność osobista wynika z ogólnych zasad odpowiedzialności menedżerskiej.
Oś 5 — harmonizacja klasyfikacji
Pod NIS państwa członkowskie same decydowały, kto jest „operatorem usługi kluczowej" — przez wykazy ministerialne. Skutkiem była niespójna mapa.
NIS2 wprowadza klasyfikację obiektywną: sektor wg Załączników I lub II plus próg wielkości średniego przedsiębiorstwa (50 osób lub 10 mln EUR obrotu). Ten sam zakład produkcyjny pod NIS2 jest klasyfikowany identycznie w Polsce, w Niemczech i we Francji. Państwa członkowskie mogą jedynie rozszerzać zakres (np. obejmować podmioty mniejsze, których działalność jest istotna systemowo), nie mogą go zawężać. Praktyczny skutek dla polskich firm: brak miejsca na lobbing o pominięcie sektora.
Oś 6 — intensywność nadzoru
Pod NIS organ właściwy reagował głównie na incydenty zgłoszone albo ujawnione publicznie. Kontrole proaktywne były rzadkością.
NIS2 wprowadza model dwóch reżimów nadzoru. Podmiot Kluczowy podlega nadzorowi ex ante — organ właściwy może z własnej inicjatywy zażądać audytu, inspekcji on-site, dokumentacji analitycznej. Podmiot Ważny podlega nadzorowi ex post — co do zasady kontrola następuje po incydencie albo na podstawie sygnału. W obu przypadkach intensywność jest istotnie wyższa niż pod NIS. Pierwsze plany kontrolne niemieckiego BSI z 2024 r. zakładają ok. 200 inspekcji rocznie wobec Podmiotów Kluczowych — to wzrost o rząd wielkości względem stanu pod NIS.
Co to oznacza dla polskiej firmy w 2026 r.
Sześć osi razem sprawia, że firma, która pod NIS była nieobjęta (albo objęta tylko formalnie i bez konsekwencji), pod NIS2 musi potraktować zgodność jako projekt zarządczy, nie informatyczny. W praktyce wymaga to trzech rzeczy: świadomej decyzji zarządu o klasyfikacji, sformalizowanego planu wdrożenia dziesięciu środków technicznych z Art. 21 oraz procedury raportowania incydentów na poziomie wymaganym przez Art. 23.
Najgorsza strategia w 2026 r. to założenie, że „NIS to NIS, mamy wdrożone z 2019 r.". W 90% przypadków stary dokument ISBI i procedura zgłoszeń z 2019 r. nie pokrywa nowych obowiązków w zakresie łańcucha dostaw, szkoleń zarządu i terminów raportowych. Audyt rozbieżności jest tańszy niż próba obrony w trakcie kontroli organu właściwego.
Co dalej
Jeżeli pracowali Państwo z poprzednią wersją ustawy o KSC, rekomendujemy zacząć od porównania struktury obowiązków ze wskazaniami pillaru Obowiązki techniczne NIS2 oraz przejrzenia analizy klasyfikacji w pillarze Podmioty Kluczowe i Ważne. Marka Alterity Solutions prowadzi bezpłatny 20-minutowy audyt zerowy — szybką weryfikację rozbieżności między dotychczasowym SZBI a wymaganiami NIS2.