Mobilna Faktura
Porady

Dyrektywa NIS2 w Polsce 2026: kary do 10 mln euro

Nowe obowiązki cyberbezpieczeństwa dla firm w 2026. Sprawdź, czy Twoja firma musi wdrożyć dyrektywę NIS2 i jak uniknąć kar do 10 mln euro.

Autor: Mobilna Faktura

a red security sign and a blue security sign Źródło: Peter Conrad na Unsplash

Spis treści

Czym jest dyrektywa NIS2 i dlaczego dotyczy Twojej firmy

Rok 2026 przynosi rewolucyjne zmiany w obszarze cyberbezpieczeństwa dla polskich przedsiębiorców. Dyrektywa NIS2 (Network and Information Security 2) oficjalnie weszła w życie w Polsce, co oznacza nowe obowiązki dla tysięcy firm w całym kraju.

To nie jest kolejny “papierek” do wypełnienia – to fundamentalna zmiana w podejściu do bezpieczeństwa cyfrowego, która może kosztować Twoją firmę nawet 10 milionów euro w przypadku nieprzestrzegania przepisów.

Co się zmieniło w stosunku do poprzednich przepisów

Poprzednia dyrektywa NIS z 2018 roku obejmowała jedynie największe firmy i kluczowe sektory gospodarki. NIS2 znacznie rozszerza ten zakres, obejmując:

  • Więcej sektorów gospodarki – handel elektroniczny, zarządzanie odpadami, produkcja żywności
  • Mniejsze firmy – próg został obniżony z 250 do 50 pracowników
  • Surowsze kary – do 10 mln euro lub 2% rocznego obrotu (w zależności od tego, która kwota jest wyższa)
  • Osobistą odpowiedzialność zarządu – kadra kierownicza może zostać pociągnięta do odpowiedzialności osobistej

Dlaczego akurat teraz

Pandemia i wojna na Ukrainie pokazały, jak kruche jest nasze cyfrowe bezpieczeństwo. Ataki ransomware wzrosły o 350% w latach 2023-2025, a średni koszt naruszenia danych dla polskiej firmy wynosi obecnie 1,2 mln złotych.

Unia Europejska zdecydowała się na drastyczne działania, aby wzmocnić odporność cyfrową europejskich firm. Polska, jako członek UE, musiała wdrożyć te przepisy do swojego prawa.

Kto musi wdrożyć NIS2 w 2026 roku

Sprawdź, czy Twoja firma znajduje się w grupie podmiotów objętych nowymi obowiązkami. Lista może Cię zaskoczyć – dyrektywa obejmuje znacznie więcej firm niż wcześniej.

Kryteria podstawowe

Dyrektywa NIS2 dzieli firmy na dwie kategorie:

Podmioty istotne (większe obowiązki):

  • Firmy zatrudniające ponad 250 osób ORAZ
  • Roczny obrót powyżej 50 mln euro ORAZ
  • Działające w kluczowych sektorach

Podmioty ważne (mniejsze obowiązki):

  • Firmy zatrudniające 50-250 osób ORAZ
  • Roczny obrót 10-50 mln euro ORAZ
  • Działające w objętych sektorach

Sektory objęte dyrektywą

Sektory o wysokiej krytyczności:

  • Energia (elektrownie, rafinerie, stacje paliw)
  • Transport (koleje, porty, lotniska)
  • Bankowość i infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa (dostawcy chmury, data center)

Inne ważne sektory:

  • Administracja publiczna
  • Sektor kosmiczny
  • Usługi pocztowe i kurierskie
  • Zarządzanie odpadami
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Handel elektroniczny (uwaga dla sklepów online!)
  • Produkcja chemiczna, farmaceutyczna, maszyn

Szczególna uwaga dla e-commerce

Jeśli prowadzisz sklep internetowy i spełniasz kryteria wielkościowe, automatycznie podpadasz pod NIS2. To oznacza, że platforma e-commerce, systemy płatności, baza danych klientów – wszystko musi być zabezpieczone zgodnie z nowymi standardami.

Konkretne obowiązki dla przedsiębiorców

Czas na konkretny plan działania. Oto lista obowiązków, które musisz wdrożyć w swojej firmie, aby być zgodnym z NIS2.

Zarządzanie ryzykiem cybernetycznym

Do 30 czerwca 2026 roku musisz:

  1. Przeprowadzić audyt bezpieczeństwa – przegląd wszystkich systemów IT w firmie
  2. Stworzyć mapę zagrożeń – identyfikacja potencjalnych punktów ataku
  3. Wdrożyć politykę bezpieczeństwa – pisemne procedury dla wszystkich pracowników
  4. Wyznaczyć odpowiedzialnych – konkretne osoby za każdy obszar cyberbezpieczeństwa

Koszt: Dla średniej firmy (100 pracowników) – około 50-150 tysięcy złotych na wdrożenie.

Techniczne zabezpieczenia

Obowiązkowe zabezpieczenia techniczne:

  • Uwierzytelnianie wieloskładnikowe (MFA) – dla wszystkich pracowników z dostępem do systemów
  • Szyfrowanie danych – zarówno przechowywanych, jak i przesyłanych
  • Kopie zapasowe – automatyczne, testowane co najmniej raz na kwartał
  • Segmentacja sieci – oddzielenie krytycznych systemów od reszty infrastruktury
  • Monitoring w czasie rzeczywistym – systemy wykrywające podejrzaną aktywność

Zgłaszanie incydentów

Nowe obowiązki sprawozdawcze to jeden z najważniejszych elementów NIS2:

Timeline zgłaszania:

  • Pierwsze zgłoszenie: w ciągu 24 godzin od wykrycia incydentu
  • Wstępny raport: w ciągu 72 godzin z podstawowymi informacjami
  • Końcowy raport: w ciągu 30 dni z pełną analizą i planem naprawczym

Co trzeba zgłosić:

  • Każde naruszenie danych osobowych
  • Przerwy w działaniu systemów powyżej 4 godzin
  • Próby włamania (nawet nieudane)
  • Podejrzaną aktywność w systemach

Szkolenia pracowników

Obowiązkowy program szkoleń obejmuje:

  • Rozpoznawanie phishingu i ataków socjotechnicznych
  • Bezpieczne korzystanie z internetu i poczty
  • Procedury reagowania na incydenty
  • Zarządzanie hasłami i dostępami

Częstotliwość: Co najmniej raz na 12 miesięcy dla wszystkich pracowników, co 6 miesięcy dla kadry IT.

Kary i konsekwencje za nieprzestrzeganie

Kary za nieprzestrzeganie NIS2 są bezprecedensowo wysokie. Oto konkretne kwoty i konsekwencje, które mogą dotknąć Twoją firmę.

Wysokość kar finansowych

Dla podmiotów istotnych:

  • Maksymalna kara: 10 milionów euro lub 2% rocznego światowego obrotu (wybierana jest wyższa kwota)
  • Przykład: Firma z obrotem 100 mln euro może zostać ukarana na 2 mln euro

Dla podmiotów ważnych:

  • Maksymalna kara: 7 milionów euro lub 1,4% rocznego światowego obrotu
  • Przykład: Firma z obrotem 50 mln euro może zostać ukarana na 700 tysięcy euro

Dodatkowe konsekwencje

Zakaz prowadzenia działalności:

  • Czasowe zawieszenie licencji lub pozwoleń
  • Wykluczenie z przetargów publicznych na okres do 3 lat
  • Obowiązek publikacji informacji o karze (szkoda wizerunkowa)

Odpowiedzialność osobista kadry zarządzającej:

  • Osobiste grzywny dla członków zarządu do 500 tysięcy złotych
  • Zakaz pełnienia funkcji kierowniczych w spółkach publicznych
  • Odpowiedzialność karna w przypadku rażących zaniedbań

Pierwsze przypadki kar w Europie

Chociaż NIS2 weszło w życie w 2026 roku, pierwsze kary już są nakładane:

  • Niemiecki dostawca energii: 2,5 mln euro za brak procedur zgłaszania incydentów
  • Włoska firma logistyczna: 800 tysięcy euro za nieprzeszkolenie pracowników
  • Francuski sklep internetowy: 1,2 mln euro za brak segmentacji sieci

Jak przygotować firmę do NIS2

Praktyczny plan wdrożenia NIS2 w Twojej firmie. Podzieliliśmy proces na etapy, które możesz realizować stopniowo.

Etap 1: Ocena stanu obecnego (4-6 tygodni)

Krok 1: Sprawdź, czy podlegasz przepisom

  • Porównaj swoją działalność z listą objętych sektorów
  • Zweryfikuj kryteria wielkościowe (pracownicy + obrót)
  • Skonsultuj się z prawnikiem specjalizującym się w prawie IT

Krok 2: Przeprowadź audyt bezpieczeństwa

  • Zinwentaryzuj wszystkie systemy IT w firmie
  • Oceń poziom obecnych zabezpieczeń
  • Zidentyfikuj najsłabsze punkty

Koszt tego etapu: 15-30 tysięcy złotych (w zależności od wielkości firmy)

Etap 2: Wdrożenie podstawowych zabezpieczeń (8-12 tygodni)

Priorytety techniczne:

  1. Uwierzytelnianie wieloskładnikowe

    • Koszt: 20-50 zł/miesiąc na pracownika
    • Czas wdrożenia: 2-3 tygodnie
    • Dostawcy: Microsoft, Google, specialized solutions

  2. Szyfrowanie danych

    • Koszt: 10-100 tysięcy złotych (jednorazowo)
    • Czas wdrożenia: 4-6 tygodni
    • Obejmuje: dyski, bazy danych, transfer

  3. System kopii zapasowych

    • Koszt: 5-20 tysięcy złotych + miesięczne opłaty
    • Test przywracania: co 3 miesiące
    • Lokalizacja: minimum 2 różne miejsca

Etap 3: Procedury i dokumentacja (4-6 tygodni)

Dokumenty do przygotowania:

  • Polityka bezpieczeństwa informacji – główny dokument określający zasady
  • Procedury reagowania na incydenty – krok po kroku, co robić w przypadku ataku
  • Plan ciągłości działania – jak utrzymać biznes podczas kryzysu
  • Instrukcje dla pracowników – praktyczne poradniki w prostym języku

Szablon procedury incydentu:

  1. Wykrycie problemu → natychmiastowe odłączenie od sieci
  2. Ocena skali → powiadomienie kierownictwa w ciągu 30 minut
  3. Zgłoszenie do CERT Polska → w ciągu 24 godzin
  4. Rozpoczęcie naprawy → z równoczesną dokumentacją działań

Etap 4: Szkolenia i testy (ciągły proces)

Program szkoleń pracowników:

  • Szkolenie podstawowe (2 godziny dla wszystkich):
    • Rozpoznawanie phishingu
    • Bezpieczne hasła

Tagi:

Porady

Gotowy zastosować tę wiedzę w praktyce?

System Mobilna Faktura automatyzuje wszystko co przeczytałeś w tym artykule. Wypróbuj za darmo - bez karty kredytowej, bez zobowiązań.

Załóż darmowe konto →

Powiązane artykuły

Płatny czas dojazdu na delegacji - zmiany w 2026

Nowe przepisy od 2026 roku mogą wprowadzić obowiązek płacenia za czas dojazdu na delegacje służbowe. Co to oznacza dla pracodawców?

Czytaj więcej →

e-TOLL 2026: 645 km nowych dróg płatnych - co to znaczy?

Od lutego 2026 r. 645 km nowych płatnych dróg i wyższe opłaty w e-TOLL. Praktyczny przewodnik dla przedsiębiorców - koszty, zmiany, porady.

Czytaj więcej →

PFRON: zwrot za asystenta niepełnosprawnego pracownika

Sprawdź jak otrzymać zwrot kosztów asystenta w pracy dla niepełnosprawnego pracownika z PFRON. Kompletny przewodnik po dofinansowaniu.

Czytaj więcej →