
Dyrektywa NIS2 - czym jest, kogo dotyczy i jakie są jej kluczowe założenia
Dyrektywa NIS2 to akt prawny Unii Europejskiej, który zastępuje wcześniejszą dyrektywę NIS z 2016 roku. Jej celem jest wzmocnienie bezpieczeństwa sieci i systemów informatycznych w państwach członkowskich UE. Termin implementacji nowych wymagań minął 17 października 2024 roku, jednak na gruncie polskiego prawa przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która zostanie wprowadzona w pierwszym kwartale 2025 roku.
NIS2 ma na celu ujednolicenie przepisów dotyczących cyberbezpieczeństwa w całej Unii Europejskiej, poprzez ustalenie wspólnych standardów, procedur oraz wymagań w zakresie ochrony danych i reagowania na incydenty cybernetyczne. Nowa dyrektywa wprowadza bardziej rygorystyczne wymagania w porównaniu do poprzedniej, obejmując swoim zakresem większą liczbę sektorów i przedsiębiorstw.
Kogo obowiązuje dyrektywa NIS2
-
Średnie i duże
przedsiębiorstwa.
Dyrektywa NIS2 nakłada obowiązki głównie na średnie i duże firmy w sektorach kluczowych i ważnych.
- Sektory kluczowe to m.in. przedsiębiorstwa związane z energetyką, transportem, bankowością, administracją publiczną, opieką zdrowotną.
- Sektory ważne to m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja wyrobów medycznych, optycznych i elektronicznych.
-
Małe i mikroprzedsiębiorstwa.
Z założenia są wyłączone z obowiązków NIS2, za wyjątkiem firm działających w sektorach wrażliwych, które:
- są dostawcami usług zaufania,
- są dostawcami usług DNS z wyłączeniem operatorów głównych serwerów nazw,
- prowadzą rejestry nazw TLD,
- są podmiotami administracji publicznej na szczeblu centralnym,
- są podmiotami krytycznymi według dyrektywy CER.
Kluczowe założenia dyrektywy NIS2
-
Szerszy zakres podmiotów.
W przeciwieństwie do pierwszej dyrektywy NIS, która obejmowała tylko kluczowe sektory, NIS2 rozszerza zakres i dzieli je dwie grupy: podmioty kluczowe oraz podmioty ważne, przy czym podmioty kluczowe podlegają bardziej rygorystycznym wymogom.
-
Podniesienie standardów
bezpieczeństwa.
Dyrektywa zaostrza wymogi bezpieczeństwa dla przedsiębiorstw, narzucając podejście oparte na zarządzaniu ryzykiem i określając podstawowe środki bezpieczeństwa cybernetycznego, które muszą wprowadzić wszystkie organizacje objęte zakresem dyrektywy.
-
Obowiązek raportowania
incydentów.
Podmioty kluczowe i ważne będą zobowiązane do zgłaszania poważnych incydentów w ściśle określonych terminach do odpowiednich organów. Te organizacje mogą także być zobowiązane do informowania swoich klientów o wystąpieniu incydentu oraz w szczególnych przypadkach nawet o zaistnieniu zagrożenia.
-
Większa odpowiedzialność organów
zarządzających.
Silniejszy nacisk na organy zarządzające spółek objętych zakresem działania, w ramach którego państwa członkowskie muszą zapewnić, że takie organy zarządzające mogą zostać pociągnięte do odpowiedzialności za naruszenie przez podmiot przepisów dotyczących tych środków.
-
Zarządzanie zagrożeniami w łańcuchach
dostaw.
Organizacje objęte NIS2 muszą wdrożyć środki zabezpieczające łańcuchy dostaw oraz zadbać o bezpieczeństwo relacji z kontrahentami, aby ograniczyć ryzyko na wszystkich etapach dostarczania usług.
-
Zwiększenie nadzoru i jednolitości
przepisów.
NIS2 wprowadza silniejsze środki nadzoru dla organów krajowych, bardziej rygorystyczne wymogi dotyczące egzekwowania środków bezpieczeństwa oraz harmonizację systemów sankcji i obowiązków sprawozdawczych w krajach członkowskich, a także wzmacnia mechanizmy współpracy międzynarodowej i wymiany informacji.
Zobacz także
Obowiązkowy KSeF coraz bliżej - już od 1 lutego 2026 system obejmie pierwszą grupę podatników. Nawet najlepiej przygotowane firmy mogą popełniać błędy przy wystawianiu e-faktur, szczególnie w pierwszych miesiącach realizacji nowego wymogu. Czy ewentualne braki formalne wpłyną na ważność dokumentów?
Od 1 lutego 2026 roku zacznie obowiązywać wymóg wystawiania faktur w Krajowym Systemie e-Faktur (KSeF). W związku z tym już teraz pojawia się pytanie: czy faktura wystawiona poza KSeF nadal będzie stanowiła podstawę do odliczenia VAT? Dowiedz się, jakie stanowisko przyjął organ podatkowy.
Rząd przyjął przygotowany przez ministra finansów projekt ustawy wprowadzającej obowiązkowy KSeF (Krajowy System e-Faktur). System będzie wdrażany w dwóch etapach. Sprawdź, kiedy obowiązek obejmie Twoją firmę, czy będziesz mógł skorzystać z okresu przejściowego i w jaki sposób wprowadzenie KSeF wpłynie na termin zwrotu VAT.
Ministerstwo Finansów przedstawiło projekt rozporządzenia dotyczącego prowadzenia podatkowej księgi przychodów i rozchodów (KPiR). Zmiany wynikają z nowelizacji ustawy oraz planowanego obowiązku prowadzenia księgi w formie elektronicznej. Nowe przepisy wpłyną na sposób ewidencjonowania i dokumentowania przychodów i kosztów przez przedsiębiorców i biura rachunkowe.
Obowiązek przekazywania ksiąg rachunkowych w formacie JPK CIT wszedł w życie 1 stycznia 2025. Kiedy trzeba będzie wysłać pierwszy plik i jakie dane powinny się w nim znaleźć?
Wielu przedsiębiorców rozpoczynających działalność korzysta z możliwości zwolnienia z podatku VAT – to prostsze rozliczenia i brak konieczności doliczania podatku do ceny. Jednak co dzieje się w sytuacji, gdy w trakcie miesiąca zostanie przekroczony ustawowy limit? Jak zarejestrować się jako podatnik VAT?
Mikroprzedsiębiorcy będą mogli skorzystać z czasowego zwolnienia z obowiązku korzystania z Krajowego Systemu e-Faktur (KSeF). System stanie się obowiązkowy dla pierwszej grupy podatników VAT już 1 lutego 2026 r., dla najmniejszych firm przewidziano jednak okres przejściowy. Sprawdź, na jakich zasadach możesz z niego skorzystać.