Rekordowe kary od UODO. A nadchodzi jeszcze dyrektywa NIS 2

Polska spóźniła się z wdrożeniem unijnej dyrektywy NIS 2 o ponad rok – termin minął w październiku 2024 roku. Teraz, 17 listopada 2025 roku, projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa trafił do pierwszego czytania w Sejmie. Firmy mają tylko miesiąc na dostosowanie się po publikacji – to największa rewolucja w ochronie przed hakerami od wejścia RODO. NIS 2 obejmie 80–90 proc. podmiotów gospodarczych, z karami do 10 mln euro i osobistą odpowiedzialnością zarządów.

Rosnące zagrożenia: Dlaczego NIS 2 nie może dłużej czekać?

W erze AI, automatyzacji i cyfryzacji cyberataki paraliżują firmy i instytucje – od phishingu po ransomware. Dyrektywa NIS 2 ma podnieść poziom zabezpieczeń w UE, dzieląc podmioty na kluczowe (np. banki, szpitale), ważne i inne (firmy z >50 pracownikami i obrotem >10 mln euro). Polska nie dotrzymała terminu, ale projekt UC32 wprowadza dodatkowe kary – do 100 mln zł za poważne naruszenia.

Firmy mogą już teraz śmiało rozpocząć wdrażanie nowych procedur. Czas między publikacją a wejściem ustawy w życie wynosi zaledwie jeden miesiąc, co oznacza, że przedsiębiorstwa będą miały tylko 30 dni na wprowadzenie zmian

– tłumaczy Karolina Praszek-Gołębiewska, specjalistka ds. bezpieczeństwa informacji.

Nie tylko korporacje – NIS 2 dotknie prawie wszystkich

Podmioty kluczowe (medycyna, wojsko, finanse) i ważne (energia, transport) muszą wdrożyć środki w 6 miesięcy po wpisie do rejestru (3 miesiące na zgłoszenie). Dla innych – analiza ryzyka i procedury zgłaszania incydentów. Obowiązek weryfikacji kontrahentów – firmy nie mogą współpracować z tymi, które nie spełniają standardów.

Dyrektywa NIS 2 nie zapewni całkowitego wyeliminowania ataków hackerskich. Jej zadaniem jest danie narzędzi, które pozwolą firmom szybko podnieść się po incydencie, bez dużych przestojów i strat finansowych

– wyjaśnia Karolina Praszek-Gołębiewska.

Kary i odpowiedzialność: Zarząd zapłaci z własnej kieszeni

• Kluczowe podmioty: do 10 mln euro lub 2% obrotu
• Ważne: do 7 mln euro lub 1,4% obrotu
• Dodatkowe w Polsce: do 100 mln zł za zagrożenie bezpieczeństwu państwa

Karami okresowymi (500–100 tys. zł/dzień) za zwłokę w naprawie usterek. Zarządy odpowiadają majątkowo – nawet prywatnym majątkiem.

To wyraźny sygnał, że nadzór nad bezpieczeństwem staje się realnym obowiązkiem strategicznym, a nie tylko formalnością. Zarząd osobiście nie ucieknie ani nie ogłosi upadłości, żeby uniknąć odpowiedzialności

– podkreśla Karolina Praszek-Gołębiewska.

Wdrożenie krok po kroku

1. Ocena, czy firma podlega: >50 pracowników lub obrót >10 mln euro – sprawdź samodzielnie.
2. Wpis do rejestru: 3 miesiące od kwalifikacji.
3. Wdrożenie środków: 6 miesięcy – analiza ryzyka, procedury, szkolenia z cyberhigieny.
4. Weryfikacja kontrahentów: Ankiety, audyty, deklaracje bezpieczeństwa – łańcuch dostaw musi być równie silny.

Audytorzy analizują przechowywanie danych, procedury i luki – od segregatorów po zaawansowane systemy.

Sprawdzamy, w jaki sposób dana firma podchodzi do przechowywania danych – czy to segregator, czego stanowczo nie polecam, czy profesjonalne podejście z analizą ryzyka i wdrożeniem zabezpieczeń

– wskazuje Karolina Praszek-Gołębiewska.

Czy polskie firmy zdążą z wdrożeniem NIS 2?

Dyrektywa obowiązuje od 2024 roku – czas ucieka. Pytanie brzmi: czy przedsiębiorstwa wykorzystają 30 dni na audyt i zmiany, czy zatoną w karach i chaosie? NIS 2 to nie formalność – to warunek przetrwania w świecie, gdzie cyberatak może kosztować miliony.