Dyrektywa NIS2 - czym jest, kogo dotyczy i jakie są jej kluczowe założenia
Dyrektywa NIS2 to akt prawny Unii Europejskiej, który zastępuje wcześniejszą dyrektywę NIS z 2016 roku. Jej celem jest wzmocnienie bezpieczeństwa sieci i systemów informatycznych w państwach członkowskich UE. Termin implementacji nowych wymagań minął 17 października 2024 roku, jednak na gruncie polskiego prawa przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która zostanie wprowadzona w pierwszym kwartale 2025 roku.
NIS2 ma na celu ujednolicenie przepisów dotyczących cyberbezpieczeństwa w całej Unii Europejskiej, poprzez ustalenie wspólnych standardów, procedur oraz wymagań w zakresie ochrony danych i reagowania na incydenty cybernetyczne. Nowa dyrektywa wprowadza bardziej rygorystyczne wymagania w porównaniu do poprzedniej, obejmując swoim zakresem większą liczbę sektorów i przedsiębiorstw.
Kogo obowiązuje dyrektywa NIS2
-
Średnie i duże
przedsiębiorstwa.
Dyrektywa NIS2 nakłada obowiązki głównie na średnie i duże firmy w sektorach kluczowych i ważnych.
- Sektory kluczowe to m.in. przedsiębiorstwa związane z energetyką, transportem, bankowością, administracją publiczną, opieką zdrowotną.
- Sektory ważne to m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja wyrobów medycznych, optycznych i elektronicznych.
-
Małe i mikroprzedsiębiorstwa.
Z założenia są wyłączone z obowiązków NIS2, za wyjątkiem firm działających w sektorach wrażliwych, które:
- są dostawcami usług zaufania,
- są dostawcami usług DNS z wyłączeniem operatorów głównych serwerów nazw,
- prowadzą rejestry nazw TLD,
- są podmiotami administracji publicznej na szczeblu centralnym,
- są podmiotami krytycznymi według dyrektywy CER.
Kluczowe założenia dyrektywy NIS2
-
Szerszy zakres podmiotów.
W przeciwieństwie do pierwszej dyrektywy NIS, która obejmowała tylko kluczowe sektory, NIS2 rozszerza zakres i dzieli je dwie grupy: podmioty kluczowe oraz podmioty ważne, przy czym podmioty kluczowe podlegają bardziej rygorystycznym wymogom.
-
Podniesienie standardów
bezpieczeństwa.
Dyrektywa zaostrza wymogi bezpieczeństwa dla przedsiębiorstw, narzucając podejście oparte na zarządzaniu ryzykiem i określając podstawowe środki bezpieczeństwa cybernetycznego, które muszą wprowadzić wszystkie organizacje objęte zakresem dyrektywy.
-
Obowiązek raportowania
incydentów.
Podmioty kluczowe i ważne będą zobowiązane do zgłaszania poważnych incydentów w ściśle określonych terminach do odpowiednich organów. Te organizacje mogą także być zobowiązane do informowania swoich klientów o wystąpieniu incydentu oraz w szczególnych przypadkach nawet o zaistnieniu zagrożenia.
-
Większa odpowiedzialność organów
zarządzających.
Silniejszy nacisk na organy zarządzające spółek objętych zakresem działania, w ramach którego państwa członkowskie muszą zapewnić, że takie organy zarządzające mogą zostać pociągnięte do odpowiedzialności za naruszenie przez podmiot przepisów dotyczących tych środków.
-
Zarządzanie zagrożeniami w łańcuchach
dostaw.
Organizacje objęte NIS2 muszą wdrożyć środki zabezpieczające łańcuchy dostaw oraz zadbać o bezpieczeństwo relacji z kontrahentami, aby ograniczyć ryzyko na wszystkich etapach dostarczania usług.
-
Zwiększenie nadzoru i jednolitości
przepisów.
NIS2 wprowadza silniejsze środki nadzoru dla organów krajowych, bardziej rygorystyczne wymogi dotyczące egzekwowania środków bezpieczeństwa oraz harmonizację systemów sankcji i obowiązków sprawozdawczych w krajach członkowskich, a także wzmacnia mechanizmy współpracy międzynarodowej i wymiany informacji.
Zobacz także
KSeF już niebawem zacznie obowiązywać dużych przedsiębiorców, a chwilę później resztę podatników. Ustawa przewiduje jednak sytuacje, w których korzystanie z systemu nie jest obligatoryjne.
Krajowy System e-Faktur staje się faktem. Już w 2026 r. wszystkie firmy w Polsce będą zobowiązane do korzystania z nowego rozwiązania. Jakie obowiązki czekają przedsiębiorców? Przedstawiamy najważniejsze informacje.
Faktura pro forma jest powszechnie stosowanym dokumentem handlowym. W poniższym artykule wyjaśniamy, czy będzie można ją wystawić za pomocą KSeF.
Z początkiem lutego 2026 r. wejdzie w życie obowiązek wystawiania faktur ustrukturyzowanych za pośrednictwem KSeF. Aby móc wystawić fakturę w trybie offline lub uwierzytelnić się w systemie, konieczne będzie posiadanie certyfikatu KSeF.
Prezydent Karol Nawrocki podpisał ustawę, która wprowadzi obowiązkowy Krajowy System e-Faktur. Oznacza to koniec procesu legislacyjnego na poziomie ustawodawczym. Tym samym data wdrożenia KSeF w przyszłym roku nie powinna już ulec zmianie.
Wraz z wprowadzeniem Krajowego Systemu e-Faktur (KSeF) przedsiębiorcy zostaną zobligowani do umieszczania kodów QR na fakturach, które przekazują w formie wydruku lub pliku PDF. Taki kod to prosty, dwuwymiarowy znak graficzny, dzięki któremu można szybko zidentyfikować konkretny dokument.
Od 1 lutego 2026 roku zacznie obowiązywać wymóg wystawiania faktur w Krajowym Systemie e-Faktur (KSeF). W związku z tym już teraz pojawia się pytanie: czy faktura wystawiona poza KSeF nadal będzie stanowiła podstawę do odliczenia VAT? Dowiedz się, jakie stanowisko przyjął organ podatkowy.
Rząd przyjął przygotowany przez ministra finansów projekt ustawy wprowadzającej obowiązkowy KSeF (Krajowy System e-Faktur). System będzie wdrażany w dwóch etapach. Sprawdź, kiedy obowiązek obejmie Twoją firmę, czy będziesz mógł skorzystać z okresu przejściowego i w jaki sposób wprowadzenie KSeF wpłynie na termin zwrotu VAT.
Ministerstwo Finansów przedstawiło projekt rozporządzenia dotyczącego prowadzenia podatkowej księgi przychodów i rozchodów (KPiR). Zmiany wynikają z nowelizacji ustawy oraz planowanego obowiązku prowadzenia księgi w formie elektronicznej. Nowe przepisy wpłyną na sposób ewidencjonowania i dokumentowania przychodów i kosztów przez przedsiębiorców i biura rachunkowe.