Fundacje rodzinne

Rejestrujemy i prowadzimy bieżącą obsługę prawną i podatkową fundacji rodzinnych.
Dowiedz się więcej
8:36 Publikacja: 11.03.25

Podmioty kluczowe i ważne w NIS2 – kogo obejmują nowe regulacje?

Dyrektywa NIS2[1] znacząco rozszerza zakres podmiotów objętych regulacjami o cyberbezpieczeństwie i wprowadza dwie kategorie podmiotów  – podmioty kluczowe i ważne. Obowiązkami zostaną objęte różne sektory mające istotne znaczenie społeczne i gospodarcze. Dowiedz się, jaki jest cel tego podziału oraz jakie sektory rozróżnia NIS2.

Cel podziału na podmioty ważne i kluczowe

Podział na operatorów usług kluczowych i dostawców usług cyfrowych wprowadzony przez dyrektywę NIS1 stał się nieaktualny. Dyrektywa NIS2 dostosowuje zakres podmiotowy do obecnych realiów. Rozróżnienie na podmioty kluczowe i ważne oraz większa ilość sektorów ma wyeliminować niedociągnięcia z dyrektywy NIS1.

W związku z szybko postępującą transformacją cyfrową, sieci i systemy informatyczne stały się naszą codziennością, jednak doprowadziło to do powstania nowych cyberzagrożeń. Aktualizacja zakresu podmiotów odzwierciedli współczesne sektory i usługi, przygotowując je na rosnące niebezpieczeństwa.

Kogo zaliczymy do podmiotów kluczowych?

Regulacje dla podmiotów kluczowych są surowsze, ponieważ oczekuje się od nich najwyższych standardów bezpieczeństwa. Do tej kategorii należą sektory uznane za niezbędne dla funkcjonowania społeczeństwa i gospodarki. Podmioty kluczowe to m.in.:

  • podmioty spełniające łącznie dwa wymagania:
    • wielkości, tj. podmioty duże, czyli przekraczające pułapy dla przedsiębiorstw średnich, o czym będzie szerzej mowa w kolejnym artykule naszego biuletynu; i
    • podmioty działające w choćby jednym z poniższych sektorów:
      • energetyki,
      • transportu,
      • bankowości,
      • infrastruktury rynków finansowych,
      • opieki zdrowotnej,
      • wody pitnej,
      • ścieków,
      • infrastruktury cyfrowej,
      • zarządzania usługami ICT,
      • podmiotów administracji publicznej,
      • przestrzeni kosmicznej;
  • kwalifikowani dostawcy usług zaufania i rejestry nazw domen najwyższego poziomu, a także dostawcy usług DNS, niezależnie od ich wielkości.

Jakie podmioty należą do podmiotów ważnych?

Podmioty ważne mają istotny wpływ na społeczeństwo i gospodarkę. Ich działalność nie odgrywa jednak tak krytycznej roli, jak podmiotów kluczowych. Pomioty ważne obejmują:

  • podmioty z sektorów wymienionych wyżej, które nie spełniają kryterium wielkości – stanowią średnie przedsiębiorstwa;
  • średnie lub duże przedsiębiorstwa, należące do sektorów:
    • usług pocztowych i kurierskich,
    • gospodarowania odpadami,
    • produkcji, wytwarzania i dystrybucji chemikaliów,
    • produkcji, przetwarzania i dystrybucji żywności,
    • produkcji,
    • dostawców usług cyfrowych,
    • badań naukowych;
  • Ostatni projekt nowelizacji UKSC, opublikowany 12.02.2025 r., przewiduje dodatkowe sektory ważne, oprócz powyższych: inwestycje w energetykę jądrową oraz niektóre podmioty publiczne, takie jak:
    • samorządowe jednostki budżetowe,
    • samorządowe zakłady budżetowe,
    • samorządowe instytucje kultury,
    • spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej.


Wnioski i rekomendacje

Podział na podmioty kluczowe i ważne oraz zwiększenie liczby sektorów ma sprostać aktualnym wyzwaniom w cyberbezpieczeństwie. Pomioty kluczowe muszą w szczególności spełniać kryterium wielkości oraz należeć do sektorów kluczowych. Może być natomiast mylące, że podmioty ważne zalicza się zarówno do sektorów kluczowych jako średnie przedsiębiorstwa, jak i do sektorów ważnych jako średnie i duże przedsiębiorstwa. W przypadku wątpliwości możemy wskazać, do jakiej grupy należy dany podmiot.

Warto zauważyć, że NIS2 wyznacza tylko minimalne standardy i polski ustawodawca może jeszcze rozszerzyć krąg podmiotów objętych obowiązkami. Już w najnowszym projekcie UKSC[2] zostały przewidziane dodatkowe sektory. Ustalenie przynależności do podmiotów kluczowych lub ważnych potrafi być skomplikowane – jeśli potrzebujesz pomocy, skontaktuj się z nami.


Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy.


Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.

E-mail: marta.adranowska@lawspective.pl

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.

[2] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie bezpieczeństwa.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
[addtoany]