Mleczarnia z 15 pracownikami musi wdrożyć system cyberbezpieczeństwa. Nowa ustawa nie robi wyjątków

Podmioty kluczowe i ważne mają sześć miesięcy — do 3 października 2026 roku — na złożenie wniosku o wpis do specjalnego wykazu przez system S46.

Kto jest „kluczowy", a kto „ważny" — i dlaczego to ma znaczenie

Podmiotami kluczowymi są m.in. duże firmy z sektorów energii, transportu, bankowości i ochrony zdrowia. Podmiotami ważnymi — średnie przedsiębiorstwa z tych branż plus firmy z branży spożywczej, gospodarki odpadami czy usług pocztowych. O tym, jakie standardy dyrektywa NIS2 wprowadza dla branży finansowej, energetycznej i podmiotów publicznych, pisaliśmy już wcześniej.

Ale tu pojawiają się pułapki, o których media nie piszą. Ustawa posługuje się definicjami wielkości przedsiębiorstwa z rozporządzenia UE — a te definicje uwzględniają nie tylko dane samej firmy, ale też podmiotów powiązanych i partnerskich. Mała firma będąca w 100% spółką-córką dużego holdingu energetycznego może zostać sklasyfikowana jako „podmiot kluczowy" ze względu na powiązania kapitałowe, mimo że sama zatrudnia 15 osób.

Drugi niuans: sektor „produkcji żywności" obejmuje nie tylko wielkie koncerny, ale też średnie zakłady przetwórstwa — mleczarnie, piekarnie, masarnie z obrotami powyżej 10 mln EUR rocznie. Wiele z tych firm nie ma działu IT i nigdy nie słyszało o normie ISO 27001, a teraz musi wdrożyć system zarządzania bezpieczeństwem informacji. Problem jest tym poważniejszy, że na rynku brakuje specjalistów od cyberbezpieczeństwa, a popyt na nich będzie teraz jeszcze większy.

Co dokładnie trzeba wdrożyć

Ustawa wymaga od podmiotów objętych regulacją wdrożenia systemu zarządzania bezpieczeństwem informacji, w tym analizy ryzyka, polityk bezpieczeństwa, planów ciągłości działania, procedur zarządzania incydentami i regularnych audytów. Obowiązkowe jest też zgłaszanie poważnych incydentów do CSIRT (Computer Security Incident Response Team) w ciągu 24 godzin od ich wykrycia — i pełny raport w ciągu 72 godzin.

Dla porównania — dotychczas obowiązek zgłaszania incydentów dotyczył wyłącznie operatorów usług kluczowych (ok. 400 podmiotów w Polsce). Po nowelizacji szacuje się, że objętych będzie kilkadziesiąt tysięcy podmiotów. Wielu z nich już teraz powinno zadbać o bezpieczeństwo IT w firmie, zanim zaczną obowiązywać kary.

Kary — nie tylko dla firmy, ale i dla prezesa

Kary administracyjne zaczną być nakładane po 3 kwietnia 2028 roku. Dla podmiotów kluczowych mogą wynieść 10 mln euro lub 2% rocznego przychodu — w zależności od tego, co jest wyższe. Kara finansowa może zostać nałożona bezpośrednio na kierownika podmiotu.

To ostatni element jest nowością w polskim porządku prawnym. Do tej pory kary administracyjne za naruszenia cyberbezpieczeństwa nakładano na podmiot — teraz osobista odpowiedzialność finansowa spada też na prezesa zarządu, dyrektora, wspólnika zarządzającego. Przy czym kara na osobę fizyczną może wynieść do 600% miesięcznego wynagrodzenia.

Od czego zacząć?

Pierwszy krok to samodzielna samoocena: czy firma spełnia kryteria wielkości (średnie lub duże przedsiębiorstwo w rozumieniu prawa UE) i czy działa w jednym z sektorów objętych ustawą. Lista sektorów liczy 18 pozycji dla podmiotów kluczowych i 8 dla ważnych.

Jeśli firma podlega ustawie, to do 3 października 2026 r. musi zarejestrować się w systemie S46. Natomiast wdrożenie pełnego systemu zarządzania bezpieczeństwem to proces na 12–18 miesięcy — warto zacząć teraz, bo do 3 kwietnia 2028 r. (kiedy ruszą kary) pozostają niecałe dwa lata. Warto też pamiętać, że nowe przepisy dotyczą nie tylko cyberbezpieczeństwa sensu stricto — firmy przetwarzające dane klientów czy pracowników muszą równolegle zadbać o ochronę danych osobowych, bo naruszenia w tym obszarze mogą narazić je na dodatkowe sankcje z tytułu RODO.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj