norppa.io
Przewodniki

Przewodnik NIS2 · 8 min

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

NIS2 obejmuje znacznie szerszy krąg niż pierwotna dyrektywa NIS — ale nie wszystkich. To, czy Twoja organizacja jest objęta, zależy od trzech rzeczy: sektora, wielkości i kilku wyjątków niezależnych od wielkości. Ten przewodnik omawia każdy test, abyś mógł określić swój status, i wyjaśnia, dlaczego wyznaczenie nie jest jedynym sposobem, w jaki dyrektywa Cię obejmuje. Termin transpozycji (17 października 2024 r.) minął, a państwa członkowskie egzekwują przepisy w miarę finalizowania prawa krajowego.

Dwie kategorie: podmioty kluczowe i ważne

NIS2 dzieli objęte organizacje na dwa poziomy. Oba muszą spełniać te same podstawowe obowiązki w zakresie bezpieczeństwa i zgłaszania; różnica polega na intensywności nadzoru i maksymalnych karach.

Podmioty kluczowe

Duże organizacje w sektorach o najwyższej krytyczności (załącznik I) oraz niektóre podmioty wyznaczone niezależnie od wielkości. Podlegają nadzorowi proaktywnemu (ex ante): audyty, inspekcje i wezwania do udzielenia informacji mogą nastąpić bez wcześniejszego incydentu.

Podmioty ważne

Większość pozostałych objętych organizacji osiągających próg wielkości, w tym sektory z załącznika II. Podlegają nadzorowi reaktywnemu (ex post): organy działają, gdy istnieją przesłanki niezgodności.

Które sektory są objęte?

NIS2 wymienia objęte sektory w dwóch załącznikach. Załącznik I obejmuje sektory o wysokiej krytyczności; załącznik II inne sektory krytyczne. Jeśli Twoja podstawowa działalność mieści się na którejś z list i osiągasz próg wielkości, prawdopodobnie jesteś objęty.

Załącznik I — sektory o wysokiej krytyczności

  • Energetyka (energia elektryczna, ropa, gaz, ciepłownictwo, wodór)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynków finansowych
  • Zdrowie (świadczeniodawcy, laboratoria referencyjne UE, leki, wyroby medyczne)
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa (DNS, rejestry TLD, centra danych, chmura, CDN, usługi zaufania, komunikacja elektroniczna)
  • Zarządzanie usługami ICT, B2B (dostawcy usług zarządzanych i zarządzanego bezpieczeństwa)
  • Administracja publiczna (centralna i regionalna)
  • Przestrzeń kosmiczna

Załącznik II — inne sektory krytyczne

  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Wytwarzanie, produkcja i dystrybucja chemikaliów
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Produkcja (wyroby medyczne, komputery i elektronika, maszyny, pojazdy silnikowe, inny sprzęt transportowy)
  • Dostawcy cyfrowi (platformy handlu online, wyszukiwarki, sieci społecznościowe)
  • Organizacje badawcze

Próg wielkości

W obrębie objętego sektora NIS2 zwykle ma zastosowanie dopiero od minimalnej wielkości — tzw. reguła pułapu wielkości. Uwzględnia się zarówno liczbę pracowników, jak i dane finansowe.

Duży — zwykle 'kluczowy' (załącznik I)

Co najmniej 250 pracowników albo obrót powyżej 50 mln euro i suma bilansowa powyżej 43 mln euro. Duże podmioty w sektorach z załącznika I są zwykle klasyfikowane jako kluczowe. Duże podmioty w sektorach z załącznika II pozostają ważne, nie kluczowe.

Średni — zwykle 'ważny'

Co najmniej 50 pracowników albo roczny obrót i suma bilansowa powyżej 10 mln euro. Osiągnięcie progu średniej wielkości w objętym sektorze zwykle obejmuje Cię jako podmiot ważny.

Poniżej progu średniego mikro- i małe organizacje są zwykle poza zakresem — chyba że ma zastosowanie wyjątek niezależny od wielkości.

Wyjątki niezależne od wielkości — objęty niezależnie od rozmiaru

Niektóre podmioty są objęte niezależnie od tego, jak małe są, ze względu na pełnioną rolę. Należą do nich kwalifikowani dostawcy usług zaufania, rejestry nazw domen najwyższego poziomu i dostawcy usług DNS, dostawcy publicznych sieci lub usług łączności elektronicznej oraz podmioty będące jedynym dostawcą usługi niezbędnej dla działalności społecznej lub gospodarczej w państwie członkowskim.

Także podmioty administracji publicznej oraz organizacje uznane za krytyczne na mocy dyrektywy w sprawie odporności podmiotów krytycznych (CER) mogą być objęte niezależnie od wielkości, a państwa członkowskie mogą wyznaczać poszczególne podmioty indywidualnie. Jeśli prowadzisz infrastrukturę krytyczną lub usługę bez zamiennika, sprawdź listę wyznaczeń swojego organu krajowego, zamiast polegać wyłącznie na teście wielkości.

Nie wyznaczony? Łańcuch dostaw i tak może Cię wciągnąć

Nawet jeśli nie jesteś objęty bezpośrednio, NIS2 dosięga Cię pośrednio. Objęte organizacje muszą zarządzać ryzykiem cyberbezpieczeństwa swoich dostawców i usługodawców (art. 21 ust. 2 lit. d). W praktyce oznacza to, że Twoi klienci — banki, szpitale, firmy energetyczne, podmioty publiczne — będą coraz częściej wymagać dowodów Twojego poziomu bezpieczeństwa jako warunku współpracy.

Praktyczne pytanie rzadko brzmi więc tylko 'czy jestem wyznaczony?'. Brzmi też 'czy moi klienci podlegają NIS2?'. Jeśli tak, ich obowiązki przechodzą na Ciebie poprzez umowy, kwestionariusze i ciągły monitoring — niezależnie od tego, czy formalnie jesteś podmiotem kluczowym lub ważnym.

Co w praktyce oznacza bycie objętym

Jeśli jesteś objęty, podstawowe obowiązki to:

  • Środki zarządzania ryzykiem — podstawa z art. 21: analiza ryzyka, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, szyfrowanie, kontrola dostępu i inne.
  • Zgłaszanie incydentów — wczesne ostrzeżenie do krajowego CSIRT w ciągu 24 godzin od istotnego incydentu, pełniejsze zgłoszenie w ciągu 72 godzin i raport końcowy w ciągu miesiąca (art. 23).
  • Ład i odpowiedzialność — organy zarządzające muszą zatwierdzać i nadzorować środki oraz mogą ponosić odpowiedzialność; oczekuje się szkoleń personelu.
  • Rejestracja — wiele podmiotów musi zarejestrować się w swoim organie krajowym, podając dane kontaktowe i sektorowe.

Podmioty kluczowe i ważne spełniają tę samą podstawę; poziom wpływa głównie na sposób nadzoru i maksymalne kary.

Źródło: Dyrektywa (UE) 2022/2555 (NIS2), artykuły 2–3 oraz załączniki I–II — wiążące szczegóły w Twoim kraju znajdziesz w krajowej ustawie transponującej i u organu nadzoru.

Jak pomaga norppa.io

Gdy już wiesz, że Twoi dostawcy są objęci — albo że klienci oczekują gwarancji na poziomie NIS2 — norppa.io dostarcza ciągłe dowody potrzebne w obu kierunkach. Każda monitorowana domena dostawcy jest sprawdzana w ponad 100 punktach kontrolnych codziennie, zdarzenia krytyczne co sześć godzin, a wyniki są automatycznie mapowane do artykułów NIS2.

Kwestionariusze samooceny (SAQ) trafiają do dostawców bezpośrednio z norppa.io i łączą się z technicznym profilem ryzyka, dzięki czemu dowody procesowe i techniczne są w jednym miejscu — gotowe na due diligence Twoich klientów lub audyt nadzorczy.

Zobacz, jak wygląda monitoring na poziomie NIS2

Przykładowy raport o dostawcy — wyniki, mapowanie NIS2 i dowody — w dwie minuty.

Zobacz przykładowy raport

Powiązane przewodniki

NIS2 i wymóg łańcucha dostaw — co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

NIS2 Art. 21(2) — lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.