Dyrektywa NIS2 precyzuje obowiązki dotyczące współpracy z organami nadzoru. Dla wielu firm – zarówno tych zaliczanych do podmiotów kluczowych, jak i ważnych – oznacza to konieczność dostosowania polityk, procedur i dokumentacji obowiązujących już w organizacji do nowych wymagań w zakresie cyberbezpieczeństwa. W tym artykule przedstawiamy,  jakie obowiązki w zakresie współpracy z organami nadzoru nakłada NIS2 oraz czym różnią się one od regulacji zawartych w poprzedniej dyrektywie.

NIS1 a NIS2

W NIS1 obowiązki współpracy z organami koncentrowały się na zgłaszaniu incydentów przez operatorów usług kluczowych i dostawców usług cyfrowych. Nie istniały jasno sprecyzowane mechanizmy stałej współpracy, a interakcje z organami nadzoru miały głównie charakter reaktywny. NIS2 wprowadza istotną zmianę w podejściu do współpracy z właściwymi organami, która staje się obowiązkiem o charakterze bardziej aktywnym i bieżącym. 

Zgłaszanie incydentów

Regulacje NIS2 wprowadzają bardziej szczegółowe obowiązki w zakresie zgłaszania incydentów niż NIS1 – teraz procedura zgłaszania incydentu zawiera kilka etapów. Oznacza to konieczność kontaktowania się z właściwymi organami kilkukrotnie w celu przedstawienia odpowiednich dokumentów. Organ odsyła do podmiotu zgłaszającego informacje zwrotne. Można zawnioskować do organu o wytyczne, porady, a także wsparcie techniczne.

Więcej na ten temat pisaliśmy w artykule.

Nadzór

Zgodnie z dyrektywą, organy nadzoru są uprawnione do monitorowania, przestrzegania i egzekwowania przepisów NIS2 oraz stosowania środków nadzoru. Środki te mają być skuteczne, proporcjonalne i odstraszające, stosownie do okoliczności każdego indywidualnego przypadku. Organy są uprawnione wobec podmiotów kluczowych w szczególności do:

a) kontroli na miejscu i nadzoru zdalnego, w tym wyrywkowych kontroli prowadzonych przez przeszkolonych specjalistów,

b) regularnych ukierunkowanych audytów bezpieczeństwa prowadzonych przez niezależną instytucję lub właściwy organ,

c) audytów doraźnych, w tym w uzasadnionych przypadkach – w związku z wystąpieniem poważnego incydentu lub z naruszeniem przepisów dyrektywy,

d) skanów bezpieczeństwa na podstawie obiektywnych, niedyskryminacyjnych, sprawiedliwych i przejrzystych kryteriów szacowania ryzyka, w razie potrzeby we współpracy z danym podmiotem,

e) wniosków o udzielenie informacji niezbędnych do oceny środków zarządzania ryzykiem w cyberbezpieczeństwie przyjętych przez dany podmiot, w tym udokumentowanej polityki cyberbezpieczeństwa,

f) wniosków o udzielenie dostępu do danych, dokumentów i informacji koniecznych do wykonywania ich zadań nadzorczych,

g) wniosków o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa, takich jak wyniki audytu bezpieczeństwa przeprowadzonego przez wykwalifikowanego audytora oraz odpowiednie dowody.

W odniesieniu do podmiotów ważnych uprawnienia te mogą być wykonywane  ex post, czyli po fakcie. 

Rejestr podmiotów

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) tworzy i prowadzi rejestr:

• dostawców usługi DNS, 
• rejestrów nazw TLD, 
• dostawców usług chmurowych, 
• dostawców usług ośrodka przetwarzania danych, 
• dostawców sieci dostarczania treści, 
• dostawców usług zarządzanych, 
• dostawców usług zarządzanych w zakresie bezpieczeństwa, 
• dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych.

Podmioty, o których mowa wyżej, będą zobowiązane zgłosić informacje do odpowiedniego punktu kontaktowego w swoim państwie. Zgłoszenie ma składać się z następujących danych:

• nazwy podmiotu,
• odpowiedniego sektora, podsektora i rodzaju podmiotu, 
• adresu głównego miejsca prowadzenia działalności podmiotu oraz jego innych prawnych miejsc prowadzenia działalności,
• aktualnych danych kontaktowych, w tym adresów poczty elektronicznej i numerów telefonów podmiotu oraz, w stosownych przypadkach, wyznaczonego przedstawiciela 
• państwa członkowskie, w których podmiot świadczy usługi oraz
• zakresów IP podmiotu.

Wymienione podmioty będą musiały również, w terminie 3 miesięcy, informować właściwy organ o zmianach tych danych. 

Wnioski i rekomendacje

NIS2 zmienia podejście do współpracy podmiotów kluczowych i ważnych z organami nadzoru. Staje się ona bardziej systematyczna i szczegółowo uregulowana. Nowa dyrektywa rozszerza również katalog uprawnień organów nadzoru, które mogą teraz m.in. żądać szczegółowych informacji, prowadzić kontrole na miejscu, wymuszać działania naprawcze lub ujawnienie cyberzagrożenia klientom, którym świadczone są usługi. NIS2 przewiduje również nakładanie przez organy sankcji finansowych za nieprzestrzeganie przepisów, w tym brak współpracy.

Jeśli chcesz wiedzieć, jak się przygotować do wymogów organów nadzoru z NIS2 – skontaktuj się z nami. 

Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy: [link] 

Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.

E-mail: marta.adranowska@lawspective.pl

Dyrektywa NIS2 znacząco rozszerza katalog firm objętych obowiązkami z zakresu cyberbezpieczeństwa. Czy Twoja organizacja znajdzie się wśród nich? Sprawdź, zanim będzie za późno. 

Nowy podział: podmioty kluczowe i ważne 

Zamiast dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych, NIS2 wprowadza dwie kategorie: 

• podmioty kluczowe – firmy, od których wymaga się najwyższego poziomu zabezpieczeń, 

• podmioty ważne – również istotne dla funkcjonowania gospodarki i społeczeństwa, choć z nieco mniej restrykcyjnymi wymaganiami. 

To, do której kategorii może trafić Twoja firma, zależy od dwóch głównych kryteriów: wielkości przedsiębiorstwa oraz branży, w której działa. 

Czy jesteś wystarczająco „duży”? 

NIS2 obejmuje co do zasady: 

• średnie przedsiębiorstwa – zatrudniające od 50 do 249 osób i osiągające obrót od 10 do 50 mln EUR lub sumę bilansową od 10 do 43 mln EUR, 

• duże przedsiębiorstwa – zatrudniające co najmniej 250 osób i z obrotem powyżej 50 mln EUR lub sumą bilansową powyżej 43 mln EUR. 

Warto dodać: w Polsce projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) może objąć także małe i mikrofirmy, jeśli świadczą określone usługi, np. z zakresu zaufania cyfrowego czy komunikacji elektronicznej. 

Sektor ma znaczenie 

Twoja firma może zostać uznana za podmiot kluczowy lub ważny, jeśli spełnia kryterium wielkości i działa m.in. w jednym z poniższych obszarów: 

• energia 

• transport 

• bankowość i infrastruktura finansowa 

• opieka zdrowotna 

• woda pitna i ścieki 

• infrastruktura cyfrowa 

• usługi ICT 

• poczta i kurierskie 

• produkcja i przetwórstwo żywności 

• gospodarka odpadami 

• przemysł chemiczny 

• administracja publiczna (w tym samorządy) 

Pełna lista sektorów jest szeroka i wciąż się rozwija – polskie przepisy krajowe mogą dodać kolejne obszary, np. inwestycje w energetykę jądrową czy instytucje kultury. 

Nadal masz wątpliwości? 

Już 15 kwietnia o 10:00 organizujemy bezpłatny webinar: „NIS2: co to jest i kogo dotyczy? Nowe przepisy o cyberbezpieczeństwie dla firm” 

Dowiesz się: 

• czy Twoja firma podlega NIS2 (i jak to sprawdzić), 

• czym różnią się podmioty kluczowe od ważnych, 

• jak interpretować kryterium wielkości, 

• jak przygotować się na nowe obowiązki. 

Szkolenie poprowadzą nasi eksperci od prawa nowych technologii: Maciej Tabor, adwokat, Senior Associate w Lawspective oraz Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective. 

Nie ryzykuj sankcji ani niepewności – poznaj fakty! 
Zapisz się tutaj 

Już Dyrektywa NIS1[1] wprowadzała regulacje odnoszące się do łagodzenia zagrożeń dla sieci i systemów informatycznych, jednak od czasu jej przyjęcia w 2016 r. nastąpiła szybka transformacja cyfrowa i jednocześnie wzrosła rola technologii informatycznych w społeczeństwie. Tym samym zmieniły się cyberzagrożenia, z jakimi się obecnie mierzymy.  Liczba, skala, zaawansowanie, częstotliwość oraz wpływ incydentów na firmy są coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Nadeszła więc potrzeba dostosowania regulacji do aktualnych zagrożeń w sieci. Z tego artykułu dowiesz się, jakie obowiązki dotyczące bezpieczeństwa i zgłaszania incydentów ustanawia Dyrektywa NIS2[2].

NIS1 a NIS2

Przejście z NIS1 do NIS2 wprowadziło istotne zmiany w zakresie zgłaszania incydentów. NIS1 obejmowała swoim zakresem węższą grupę podmiotów i określała ogólnie ich obowiązki w zakresie zgłaszania incydentów. NIS1 zawierała inną definicję incydentu, nie regulowała dokładnego czasu na zgłoszenie incydentu czy treści zgłoszenia, a obowiązek zgłaszania dotyczył głównie zakłóceń ciągłości usług, nie zaś samego wpływu na bezpieczeństwo. Dyrektywa NIS1 pozostawiała szeroki zakres obowiązków do indywidualnego uregulowania przez państwa członkowskie, w tym również sankcje za nieprzestrzeganie przepisów. NIS2 zdecydowanie bardziej szczegółowo reguluje procedurę zgłaszania incydentów we wszystkich państwach członkowskich oraz kary za jej nieprzestrzeganie.

Czym jest incydent?

NIS2 wprowadza własny katalog definicji, w tym przewidziano również definicje odnoszące się do incydentów:

• „incydent” oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem;
• „incydent w cyberbezpieczeństwie na dużą skalę” oznacza incydent, który powoduje zakłócenia na poziomie przekraczającym zdolność państwa członkowskiego do reagowania na ten incydent lub który wywiera znaczące skutki w co najmniej dwóch państwach członkowskich;
• „obsługa incydentu” oznacza działania i procedury mające na celu zapobieżenie incydentowi, wykrywanie i analizowanie go, ograniczanie jego zasięgu lub reagowanie na niego i przywrócenie normalnego działania.

NIS2 posługuje się również pojęciem incydentu poważanego, który ma istotny wpływ na świadczenie usług. Incydent uznaje się za poważny, jeżeli:

a) spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;

b) wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Jak wygląda proces zgłaszania incydentu?

Podmioty kluczowe i ważne są zobowiązane bez zbędnej zwłoki zgłaszać poważne incydenty swojemu właściwemu zespołowi reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub swojemu właściwemu organowi. W stosownych przypadkach należy również powiadamiać odbiorców swoich usług o poważnych incydentach.

Procedura zgłaszania incydentów:

a) wczesne ostrzeżenie – bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie – w stosownych przypadkach wskazuje się, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny;

b) zgłoszenie incydentu – bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie – w stosownych przypadkach z aktualizacją informacji z wczesnego ostrzeżenia i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu;

c) sprawozdanie okresowe na temat odpowiednich aktualizacji statusu – jeśli zażąda tego CSIRT lub organ;

d) sprawozdanie końcowe – nie później niż miesiąc po zgłoszeniu incydentu – zawierające następujące elementy:

(i) szczegółowy opis incydentu, w tym jego dotkliwości i skutki;

(ii) rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;

(iii) zastosowane i wdrażane środki ograniczające ryzyko;

(iv) w stosownych przypadkach transgraniczne skutki incydentu;

e) sprawozdanie z postępu prac – jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa wyżej, należy złożyć sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia obsługi incydentu.

Dodatkowo w przypadku incydentu poważnego, może być również konieczne powiadomienie odbiorców usług, jeżeli incydent może mieć niekorzystny wpływ na te usługi. Decyzję o przekazaniu informacji do wiadomości publicznej może także podjąć CSIRT lub inny organ właściwy.

Co się dzieje po zgłoszeniu incydentu?

CSIRT lub właściwy organ bez zbędnej zwłoki – i w miarę możliwości w ciągu 24 godzin od otrzymania wczesnego ostrzeżenia – przekazuje podmiotowi zgłaszającemu  wstępne informacje zwrotne na temat poważnego incydentu. Podmiot zgłaszający incydent może zawnioskować do CSIRT lub organu o wytyczne i porady operacyjne dotyczące wdrożenia możliwych środków ograniczających ryzyko. Podmiot zgłaszający incydent może zawnioskować do CSIRT również o zapewnienie dodatkowego wsparcia technicznego. Jeżeli zachodzi podejrzenie, że poważny incydent ma cechy przestępstwa, CSIRT lub właściwy organ przedstawia również wytyczne dotyczące zgłaszania poważnego incydentu organom ścigania.

Wnioski i rekomendacje

Regulacje NIS2 wprowadzają bardziej szczegółowe obowiązki w zakresie zgłaszania incydentów niż NIS1 – teraz kluczowe znaczenie mają: czas zgłoszenia, kompletność oraz treść zgłoszeń. Obowiązki te można podsumować w trzech etapach:

NIS2 wprowadza jednocześnie surowe kary za nieprzestrzeganie obowiązków zgłaszania incydentów. Jeśli potrzebujesz pomocy w przygotowaniu procedur reagowania na incydenty i raportowania incydentów – skontaktuj się z nami.

Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy: [link]

Chcesz wiedzieć więcej?

Już 15 kwietnia o godz. 10:00 zapraszamy na bezpłatny webinar: „NIS2: co to jest i kogo dotyczy? Nowe przepisy o cyberbezpieczeństwie dla firm”, który poprowadzą nasi eksperci od prawa nowych technologii: Maciej Tabor, adwokat, Senior Associate w Lawspective oraz Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

Opowiemy, czym jest NIS2, czy Twoja firma podlega NIS2 (i jak to sprawdzić), jakie zmiany niesie dla polskich firm i co musisz wiedzieć, aby przygotować się na nadchodzące przepisy.

Zarejestruj się tutaj: https://lawspective.pl/webinar-NIS2

Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.

E-mail: marta.adranowska@lawspective.pl

---

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.

Sąd Rejonowy w Oleśnicy wyrokiem z dnia 8 kwietnia 2025 roku w sprawie o sygn. akt I C 905/23 oddalił w całości powództwo kredytobiorców, którzy kwestionowali zawartą przez siebie umowę kredytu złotowego oprocentowanego stawką WIBOR.

Sąd uzasadniając swoje stanowisko wskazał wyraźnie, że powództwa kierowane w sprawach dotyczących WIBORU należy odróżniać od spraw kredytów powiązanych z walutą CHF.

W ocenie sądu:

• możliwość stosowania wskaźnika WIBOR wynika wprost z rozporządzenia BMR,
• oprocentowanie kredytu poprzez odwołanie do wskaźnika WIBOR zostało określone w jednoznaczny sposób,
• kredytobiorcy zostali prawidłowo poinformowani o ryzyku związanym z zaciągnięciem kredytu opartego o zmienne oprocentowanie,
• nie ma podstaw, aby twierdzić, że bank ma wpływ na wysokość WIBOR, ponieważ wskaźnik ten jest administrowany przez niezależny podmiot,
• brak wiedzy kredytobiorcy na temat technicznego sposobu ustalania WIBOR nie ma znaczenia prawnego.

To kolejna sprawa, w której sąd potwierdza zgodność mechanizmu WIBOR z obowiązującymi przepisami oraz brak przesłanek do unieważniania umów kredytowych wyłącznie z powodu jego stosowania.

Sprawę prowadził Robert Wechman, radca prawny, counsel, Dyrektor Departamentu Sporów Sądowych w Lawspective wraz z adwokat Monika Gostyńska i radcą prawną Anna Olechowicz – Koordynatorkami w Departamencie Sporów Sądowych w Lawspective.