Czym jest NIS2?
NIS2, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, to najważniejsza unijna regulacja cyberbezpieczeństwa obejmująca szerokie spektrum sektorów gospodarki.
Zastąpiła poprzednią dyrektywę NIS z 2016 roku, która okazała się zbyt wąska zakresowo i zbyt różnie interpretowana przez poszczególne państwa. NIS2 ujednolica minimalne standardy cyberbezpieczeństwa w całej UE, obejmuje znacznie więcej sektorów i podmiotów niż jej poprzedniczka, i co ważne przenosi odpowiedzialność za cyberbezpieczeństwo bezpośrednio na zarządy firm, a nie tylko na działy IT.
Dla firm z sektora finansowego kluczowe jest zrozumienie jednej rzeczy: NIS2 i DORA to dwie różne regulacje, które częściowo się pokrywają, ale nie zastępują się wzajemnie.
Kiedy NIS2 obowiązuje w Polsce?
Unijna dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku. Termin transpozycji do prawa krajowego przez państwa członkowskie upłynął 17 października 2024 roku Polska, podobnie jak wiele innych krajów UE, nie zdążyła.
Polska ustawa wdrażająca NIS2 nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) została podpisana przez Prezydenta 19 lutego 2026 roku i weszła w życie 3 kwietnia 2026 roku.
Co to oznacza praktycznie:
- Firmy objęte regulacją mają 2 miesiące od wejścia w życie ustawy na dokonanie samoidentyfikacji i rejestracji
- 6 miesięcy od rejestracji na osiągnięcie pełnej zgodności
- Kary za nieprzestrzeganie zaczną być egzekwowane od kwietnia 2028 roku
Ważna zasada: NIS2 wprowadza mechanizm samoidentyfikacji, to na firmie spoczywa obowiązek samodzielnego ustalenia, czy podlega regulacji. Nie czekaj na pismo z urzędu.
NIS2 a DORA co ma pierwszeństwo dla firm finansowych?
To pytanie pojawia się najczęściej w rozmowach z firmami FinTech. Odpowiedź jest prosta, ale wymaga wyjaśnienia.
DORA jest lex specialis wobec NIS2 w zakresie cyberbezpieczeństwa ICT dla sektora finansowego. Oznacza to, że firmy finansowe objęte DORA banki, instytucje płatnicze, firmy inwestycyjne i inne podmioty z art. 2 DORA spełniają wymagania cyberbezpieczeństwa przede wszystkim poprzez DORA, a nie NIS2.
W praktyce:
- Jeśli Twoja firma podlega DORA, DORA ma pierwszeństwo w zakresie zarządzania ryzykiem ICT, raportowania incydentów i testowania odporności
- NIS2 stosuje się uzupełniająco w zakresach nieobjętych przez DORA
- Samo spełnianie DORA nie zwalnia z obowiązku rejestracji jako podmiot kluczowy lub ważny w ramach KSC, jeśli firma spełnia kryteria NIS2
Innymi słowy: DORA i NIS2 mogą się wzajemnie uzupełniać, a nie wykluczać. Firma FinTech może jednocześnie podlegać obu regulacjom z tym, że w obszarze cyberbezpieczeństwa ICT dominuje DORA.
Kogo z sektora finansowego obejmuje NIS2?
NIS2 wprost wymienia dwa sektory rynku finansowego jako sektory wysokiej krytyczności:
- Bankowość – instytucje kredytowe
- Infrastruktura rynków finansowych – operatorzy systemów obrotu, kontrahenci centralni (CCP)
To oznacza, że wymienione powyżej podmioty są co do zasady traktowane jako podmioty kluczowe objęte najsurowszym reżimem wymagań i kontroli.
Kluczowe kryterium wielkości:
NIS2 co do zasady obejmuje średnie i duże przedsiębiorstwa, czyli firmy spełniające oba poniższe warunki:
- Co najmniej 50 pracowników, oraz
- Roczny obrót lub suma bilansowa powyżej 10 mln EUR
Mikroprzedsiębiorstwa i małe firmy są co do zasady wyłączone ale nie zawsze. Ministerstwo Cyfryzacji może zdecydować, że określone małe podmioty zostaną objęte obowiązkami, jeśli ich rola dla gospodarki lub infrastruktury jest krytyczna.
Co z firmami FinTech, które nie są bankami?
Większość startupów FinTech instytucje płatnicze, firmy pożyczkowe, insurtech, platformy inwestycyjne nie jest objęta NIS2 bezpośrednio jako sektor finansowy. Są natomiast objęte DORA, jeśli posiadają licencję KNF lub NBP.
Wyjątek: jeśli firma FinTech spełnia kryterium wielkości i prowadzi działalność w sektorze objętym NIS2 (np. infrastruktura cyfrowa, usługi zarządzane ICT), może podlegać NIS2 z innego tytułu.
Jakie obowiązki nakłada NIS2?
NIS2 nie definiuje listy konkretnych narzędzi czy technologii do wdrożenia określa wymagania na poziomie zarządzania ryzykiem, które organizacja musi spełnić proporcjonalnie do swojej wielkości i ryzyka.
Zarządzanie ryzykiem cyberbezpieczeństwa: Organizacja musi wdrożyć i utrzymywać system zarządzania ryzykiem. Obejmuje to polityki bezpieczeństwa, procedury zarządzania incydentami, plany ciągłości działania i odtwarzania po awarii oraz regularne oceny ryzyka.
Bezpieczeństwo łańcucha dostaw: Jeden z najbardziej wymagających obszarów. Firma musi oceniać i monitorować ryzyko bezpieczeństwa u swoich dostawców i partnerów technologicznych. Jeśli korzystasz z dostawców chmurowych, zewnętrznych systemów IT, czy oprogramowania SaaS musisz zarządzać ryzykiem z nimi związanym.
Raportowanie incydentów: Poważne incydenty cyberbezpieczeństwa muszą być zgłaszane do właściwego organu (w Polsce: CSIRT NASK lub CSIRT GOV). Terminy: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia poważnego incydentu, pełny raport w ciągu 72 godzin.
Odpowiedzialność zarządu: NIS2 wprost przypisuje odpowiedzialność za cyberbezpieczeństwo organom zarządzającym. Zarząd musi zatwierdzać środki zarządzania ryzykiem i może ponosić osobistą odpowiedzialność za naruszenia. Szkolenia zarządu z cyberbezpieczeństwa są wymagane.
Techniczne środki bezpieczeństwa: Uwierzytelnianie wieloskładnikowe (MFA), szyfrowanie danych, bezpieczeństwo sieci, zarządzanie podatnościami, kontrola dostępu jest minimum minimum.
Kary za brak zgodności z NIS2
NIS2 wprowadza dwupoziomowy system kar:
Podmioty kluczowe:
- Do 10 000 000 EUR lub 2% rocznego światowego obrotu w zależności co wyższe
Podmioty ważne:
- Do 7 000 000 EUR lub 1,4% rocznego światowego obrotu w zależności co wyższe
Poza karami finansowymi NIS2 przewiduje osobistą odpowiedzialność kierownictwa w tym możliwość tymczasowego zakazu pełnienia funkcji zarządczych przez osoby odpowiedzialne za naruszenia.
W Polsce egzekwowanie kar zaczyna się od kwietnia 2028 roku, co daje firmy czas na dostosowanie ale nie jest to powód do odkładania przygotowań.
NIS2 a łańcuch dostaw co to oznacza dla firm SaaS obsługujących FinTech?
To jeden z najważniejszych, a najczęściej pomijanych aspektów NIS2 w kontekście rynku FinTech.
Jeśli Twoja firma SaaS sprzedaje oprogramowanie lub usługi infrastrukturalne bankom, instytucjom kredytowym lub innym podmiotom kluczowym objętym NIS2 Twoi klienci mają obowiązek zarządzać ryzykiem bezpieczeństwa u Ciebie jako dostawcy. W praktyce oznacza to:
- Klienci enterprise będą wymagali od Ciebie informacji o Twoich środkach bezpieczeństwa, politykach i incydentach
- Audyty dostawców stają się standardem, nie wyjątkiem
- Umowy z klientami objętymi NIS2 będą zawierały klauzule bezpieczeństwa, prawo do audytu i wymagania dotyczące raportowania incydentów
Sam jako firma SaaS możesz nie podlegać NIS2 bezpośrednio ale Twoi klienci będą od Ciebie oczekiwać poziomu dojrzałości bezpieczeństwa, który pozwoli im wywiązać się z własnych obowiązków.
ISO 27001 po stronie dostawcy SaaS jest w tej sytuacji najsilniejszym dowodem dojrzałości bezpieczeństwa i znacznie upraszcza proces kwalifikacji jako zaufany dostawca.
Od czego zacząć?
Krok 1: Ustal czy podlegasz NIS2 Sprawdź sektor działalności i wielkość firmy. Jeśli jesteś bankiem lub operatorem systemu obrotu jesteś podmiotem kluczowym. Jeśli jesteś instytucją płatniczą objętą DORA sprawdź czy spełniasz kryterium wielkości NIS2.
Krok 2: Oceń stan obecny Zrób gap analysis porównaj obecne procesy bezpieczeństwa z wymaganiami NIS2. Bez tego nie wiesz, ile pracy przed tobą.
Krok 3: Dostosuj procesy zarządzania ryzykiem Jeśli masz już DORA lub ISO 27001 część pracy jest zrobiona. Uzupełnij o elementy specyficzne dla NIS2, szczególnie w zakresie łańcucha dostaw i raportowania incydentów.
Krok 4: Zarejestruj się Po wejściu w życie polskiej ustawy o KSC masz 2 miesiące na rejestrację. Samoidentyfikacja jest obowiązkiem firmy nie czekaj na komunikat z ministerstwa.
Krok 5: Zaangażuj zarząd NIS2 nakłada obowiązki bezpośrednio na organy zarządzające. Cyberbezpieczeństwo musi być punktem na agendzie zarządu, nie tylko działu IT.
Podsumowanie
NIS2 to regulacja, która w Polsce weszła w życie 3 kwietnia 2026 roku. Dla sektora finansowego kluczowe jest zrozumienie relacji między NIS2 a DORA, DORA ma pierwszeństwo w zakresie cyberbezpieczeństwa ICT dla podmiotów finansowych, ale nie zwalnia z obowiązków rejestracyjnych i uzupełniających wymagań NIS2.
Firmy SaaS obsługujące klientów z sektora finansowego odczują NIS2 pośrednio przez rosnące wymagania swoich klientów w zakresie bezpieczeństwa dostawców.
Jeśli chcesz wiedzieć, czy Twoja organizacja podlega NIS2 i co to oznacza w praktyce umów bezpłatną konsultację:
👉 Skontaktuj się z nami – bezpłatna konsultacja 30 min
Pomagamy firmom FinTech i SaaS nawigować w środowisku regulacyjnym DORA, NIS2, ISO 27001 i budować bezpieczeństwo, które realnie wspiera biznes.
