System Cyberbezpieczeństwa NIS2

artykuł

Dyrektywa NIS2 - kiedy w Polsce, od kiedy obowiązuje?

Dyrektywa NIS2 weszła w życie dnia 16 stycznia 2023 r. Jednakże przepisy Dyrektywy NIS2 nie obowiązują polskich przedsiębiorców bezpośrednio. Każde z Państw Członkowskich UE zostało zobowiązanych do implementacji Dyrektywy NIS2. Czas na implementację dyrektywy upłynął w dniu 17 października 2024 r. Polski ustawodawca zdecydował się na implementację Dyrektywy NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wejście w życie nowelizacji planowane jest na 2025 r., jednak dokładna data nie jest jeszcze znana. Obecnie projekt nowelizacji procedowany jest przez Komitet do Spraw Europejskich i nie trafił nawet do prac w Parlamencie.


Dodatkowo każde Państwo Członkowskie UE do dnia 17 kwietnia 2025 r. ma obowiązek ustanowienia wykazu podmiotów kluczowych i ważnych, których dotyczą obowiązki określone w Dyrektywie NIS2. Polska prawdopodobnie nie dochowa przewidzianego prawem terminu. 

Nowe sektory gospodarki objęte Dyrektywą NIS2

Obowiązki przewidziane Dyrektywą NIS2 dotkną 18 sektorów gospodarki. W porównaniu do Dyrektywy NIS1 jest to rozszerzenie aż o 11 nowych sektorów gospodarki. Obowiązki będą dotyczyć m.in.



  • sektor żywności;
  • sektor motoryzacji;
  • sektor komunikacji elektronicznej;
  • sektor gospodarowania odpadami;
  • sektor producentów maszyn i urządzeń;
  • sektor producentów chemikaliów.

Kogo dotyczy Dyrektywa NIS2?

Dyrektywa NIS2 wprowadza podział na:




  • podmioty kluczowe, wymienione w załączniku I do Dyrektywy NIS2;
  • podmioty ważne, wymienione w załączniku II do Dyrektywy NIS2.


Artykuł 2 ust. 1 Dyrektywy NIS2 reguluje zakres obowiązywania Dyrektywy. Należy wskazać, że przepisy Dyrektywy NIS2 mają zastosowanie do podmiotów publicznych lub prywatnych takiego rodzaju jak wskazane w załączniku 1 i 2 do Dyrektywy NIS2. Ponadto podmioty muszą mieć co najmniej status średniego przedsiębiorcy. 


Należy wskazać, że przepisy Dyrektywy NIS2 obowiązują:



  • podmioty bez względu na wielkość (np. dostawca usług DNS);
  • podmioty, które spełniają jednocześnie dwa warunki:
  • są podmiotami określonej wielkości;
  • działają we wskazanym w załącznikach sektorze.

Wielkość przedsiębiorcy

Pierwszym elementem kluczowym do sprawdzenia, czy Twoja firma podlega przepisom Dyrektywy NIS2 jest analiza wielkości Twojego przedsiębiorstwa. Kluczowe są dwa pojęcia:



  • przedsiębiorca średni;
  • przedsiębiorca duży.


Wyznacznikiem klasyfikacji przedsiębiorstw jest art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu. Wobec powyższego przedsiębiorca jest przedsiębiorcą średnim, jeśli:



  • zatrudnia więcej niż 50 osób (bez względu na podstawę zatrudnienia) lub
  • ma obrót lub całkowity bilans roczny nie przekraczający 10 mln EURO.


Należy wskazać do uznania przedsiębiorcy za przedsiębiorcę średniego wystarczy spełnienie jednej z przesłanek. Dlatego, jeżeli zatrudniasz 20 osób, lecz obrót Twojej firmy przekracza 10 mln EURO to jesteś przedsiębiorcą średnim. 


Z kolei przedsiębiorca jest przedsiębiorcą dużym, jeżeli:



  • zatrudnia minimum 250 osób (bez względu na podstawę zatrudnienia) lub
  • ma obrót lub całkowity bilans roczny przekraczający 50 mln EURO.


Podobnie jak w przypadku przedsiębiorcy średniego, wystarczy by Twoja firma spełniała jeden z warunków i będziesz przedsiębiorcą dużym.

Podmiot kluczowy a podmiot ważny

Drugim czynnikiem klasyfikującym organy podlegające przepisom Dyrektywy NIS2 jest określenie katalogu podmiotów kluczowych i ważnych. Jak wskazani powyżej Państwa Członkowskie UE mają czas do dnia 17 kwietnia 2025 r. do oznaczenia takich podmiotów. 

Za sektory kluczowe uznaje się:



  • energetykę, w tym:
  • energię elektryczną,
  • system ciepłowniczy i chłodniczy,
  • ropę naftową,
  • gaz,
  • wodór.
  • transport, w tym:
  • transport lotniczy,
  • transport kolejowy,
  • transport wodny,
  • transport drogowy.
  • bankowość,
  • infrastrukturę rynków finansowych,
  • opiekę zdrowotną,
  • wodę pitną,
  • ścieki,
  • infrastrukturę cyfrową,
  • zarządzanie usługami ICT,
  • podmioty administracji publicznej,
  • przestrzeń kosmiczną,


Z kolei sektorami ważnymi są:



  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja, wytwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • produkcja, w tym:
  • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
  • produkcja komputerów i wyrobów elektronicznych i optycznych,
  • produkcja urządzeń elektrycznych,
  • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana,
  • produkcja pojazdów samochodowych, przyczep i naczep,
  • produkcja pozostałego sprzętu transportowego.
  • dostawa usług cyfrowych,
  • badania naukowe.


Należy wskazać, że część z sektorów dzieli się także na podsektory. Dyrektywa NIS2 precyzuje konkretne podmioty lub kategorie podmiotów, których dotyczy. Przykładem podmiotu objętego nowymi przepisami są operatorzy świadczący usługi pocztowe zgodnie z definicją zawartą w art. 2 pkt 1a dyrektywy 97/67/WE, w tym dostawcy usług kurierskich.


Należy wskazać, że przedsiębiorstwa średnie w rozumieniu rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. są uznawane za podmioty kluczowe, jeżeli są przedsiębiorstwem dużym. Z kolei przedsiębiorstwa średnie są uważane za podmioty ważne.

Obowiązki

Dyrektywa NIS2 nakłada na podmioty objęte regulacją szereg obowiązków i procedur związanych z zarządzaniem ryzykiem cyberbezpieczeństwa. Wśród najważniejszych obowiązków zalicza się:



  • zgłaszanie incydentów zagrożenia cybernetycznego,
  • zapewnienie ciągłości działania i zarządzania kopiami zapasowymi,
  • zapewnienie bezpieczeństwa łańcucha dostaw,
  • wprowadzanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem,
  • powiadomienie odbiorców o poważnych incydentach cybernetycznych,
  • wdrożenie polityk i procedur związanych z oceną ryzyka w cyberbezpieczeństwie,
  • przeprowadzanie audytów bezpieczeństwa,
  • stosowanie własnych (lub nabytych) produktów, usług i procesów ITC zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa,
  • szkolenie w celu zdobycia wiedzy i umiejętności z zakresu cyberbezpieczeństwa.

Kary

Nieprzestrzeganie przepisów Dyrektywy NIS2 grozi nałożeniem na przedsiębiorcę surowych kar finansowych. Podmioty ważne, które uchybią przewidzianym prawem obowiązkom narażają się na karę do 7 mln EURO lub 1,4 % łącznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa.. Z kolei w zakresie podmiotów kluczowych kary finansowe będą mogły osiągnąć pułap do 10 mln EURO lub 2 % przychodów za poprzedni rok obrotowy. Należy pamiętać, że każdorazowo zastosowanie znajduje wyższa z kwot. Polski ustawodawca planuje wprowadzenie minimalnej wysokości kar. Dla podmiotów ważnych kara minimalna będzie wynosić 15.000 zł, a dla podmiotów kluczowych 20.000 zł.

PODSUMOWANIE

Dyrektywa NIS2 stanowi rewolucję w cyberbezpieczeństwie i na nowo definiuje obowiązki przedsiębiorców w tym zakresie. Wielowątkowość oraz złożoność przepisów może nastręczać trudności interpretacyjnych. Obowiązki dotkną ponad 6.000 przedsiębiorców. Kary za nieprzestrzeganie przepisów są niezwykle surowe. Dlatego w zakresie obowiązywania Dyrektywy NIS2 warto skonsultować się z ekspertami z Kancelarii Adwokackiej RITE LEGAL. Oferujemy kompleksowe wsparcie w sprawach prawa korporacyjnego, w tym w zakresie analizy obowiązku dostosowania Twojej firmy do przepisów Dyrektywy NIS 2 oraz wdrożenia odpowiednich procedur. Umów się na spotkanie już teraz!

AUTOR

Jakub Pasierski

Adwokat, Partner Kancelarii

Jakub Pasierski

Założyciel RITE. Prawo karne-gospodarcze, handlowe czy kontraktowe nie mają przed nim tajemnic.

długa strzałka

Spodobały Ci się przygotowane przez nas materiały?
Zobacz więcej!

PRZEJDŹ DO BLOGA
Zdjęcie artykułu
Prawo cywilne

Czas czytania: 15M

09.07.2025

Odszkodowanie od dewelopera za opóźnienie w wydaniu lokalu

Opóźnienia w oddaniu inwestycji deweloperskich to problem coraz częściej dotykający kupujących swoje wymarzone mieszkania. Zakupy na rynku pierwotnym wiążą się z coraz dłuższym oczekiwaniem na zakończenie procesu inwestycyjnego. Marząc o nowym mieszkaniu nowi nabywcy z niecierpliwością oczekują określonej w umowie daty zakończenia inwestycji i przekazania mieszkania. Finalizacja budowy i przekazanie lokalu to przecież moment, który pozwala na przeprowadzkę, rezygnację z najmu i stopniowe rozpoczęcie kolejnych etapów życia – remon­tów, adaptacji, organizacji przestrzeni. Nieraz zdarza się jednak, że deweloper przekracza termin określony w umowie. Wtedy nowi nabywcy muszą zmierzyć się z nowym, rzeczywistym problemem, który często owocuje dodatkowymi kosztami związanymi, na przykład, z przedłużonym okresem wynajmu mieszkania, brakiem możliwości rozpoczęcia remontu pomimo zawarcia umów przedwstępnych z wykonawcami, brakiem możliwości wynajmu zakupionego w ramach inwestycji mieszkania. W obliczu takich sytuacji warto znać swoje uprawnienia i wiedzieć, że, nieprawidłowości w działaniu dewelopera mogą powodować jego odpowiedzialność na gruncie cywilnoprawnym, w tym skutkować powstaniem roszczeń o odszkodowanie. Deweloper, jako strona umowy deweloperskiej może odpowiadać przed nabywcą na podstawie różnych podstaw prawnych. Po pierwsze wskazać należy, że w przypadku zwłoki, a więc nie oddania mieszkania w terminie określonym w umowie mogą zaistnieć podstawy do przyjęcia odpowiedzialności odszkodowawczej Dewelopera. Należy przy tym zaznaczyć, że przyczyną powstania zwłoki nie mogą być okoliczności, za które nie odpowiada deweloper. Zwłoka rodzi obowiązek naprawienia szkody, która powstała w związku z nieoddaniem mieszkania w terminie określonym w umowie. Zasady odpowiedzialności określa art. 471 KC, a szkoda obejmować może zarówno poniesione rzeczywiste straty (np. koszt najmu, wyższe raty kredytu), jak i utracone korzyści (np. dochód z przewidzianego najmu).

PRZECZYTAJ ARTYKUŁ
Zdjęcie artykułu
Prawo w biznesie

Czas czytania: 10M

27.06.2025

Odpowiedzialność członków zarządu spółki akcyjnej - klucz do bezpieczeństwa prawnego i finansowego

Spółka akcyjna to jedna z najbardziej prestiżowych i złożonych form prawnych prowadzenia działalności gospodarczej w Polsce. Jest to osoba prawna, co oznacza, że posiada własny majątek i samodzielnie zaciąga zobowiązania, a jej kapitał zakładowy jest podzielony na akcje. Charakterystyczną cechą spółki akcyjnej jest możliwość pozyskiwania kapitału od szerokiego grona inwestorów, często poprzez giełdę papierów wartościowych, co wiąże się z większą transparentnością i rygorystycznymi wymogami regulacyjnymi. Na czele każdej spółki akcyjnej stoi zarząd, którego członkowie są powoływani do prowadzenia spraw spółki i jej reprezentacji. To właśnie oni, jako kluczowi decydenci, ponoszą ciężar codziennych operacji i strategicznych decyzji. Obowiązki członków zarządu są szerokie i obejmują m.in.: - Prowadzenie spraw spółki: zarządzanie bieżącą działalnością, podejmowanie decyzji operacyjnych i strategicznych. - Reprezentowanie spółki: występowanie w imieniu spółki w kontaktach z kontrahentami, instytucjami finansowymi, organami państwowymi. - Nadzór nad finansami: dbanie o płynność finansową, terminowe regulowanie zobowiązań, sporządzanie sprawozdań finansowych. - Zapewnienie zgodności z prawem (compliance): przestrzeganie przepisów Kodeksu spółek handlowych, prawa podatkowego, prawa pracy i innych regulacji. - Ochrona interesów spółki i akcjonariuszy: działanie w dobrej wierze i z należytą starannością, dbanie o rozwój i wartość spółki. W dynamicznym świecie biznesu, gdzie zmiany regulacyjne i rynkowe są na porządku dziennym, zrozumienie zakresu odpowiedzialności członków zarządu spółki akcyjnej jest absolutnie kluczowe dla każdego menedżera. Zaniedbania lub błędy w zarządzaniu spółką akcyjną mogą spowodować odpowiedzialność majątkową członka zarządu. Szczególnie istotne dla członka zarządu spółki akcyjnej jest niewypłacalność spółki lub zaległości podatkowe. Artykuł kompleksowo przedstawia zagadnienia związane z odpowiedzialnością majątkową członków zarządu spółki akcyjnej. Artykuł bazuje na sprawdzonych przepisach prawa i aktualnym orzecznictwie sądów. Eksperci z Kancelarii Adwokackiej RITE LEGAL wskażą Ci jak chronić majątek osobisty członka zarządu.

PRZECZYTAJ ARTYKUŁ

UMÓW SIĘ NA KONSULTACJĘ

strzałka w prawostrzałka w lewo
  • Konsultacja online z partnerem kancelarii

    TERMIN

    Umów telefonicznie:
    +48 729 928 898

  • Konsultacja online z partnerem kancelarii

    TERMIN

    Umów telefonicznie:
    +48 729 928 898

  • Konsultacja online z partnerem kancelarii

    TERMIN

    Umów telefonicznie:
    +48 729 928 898

Aby osiągnąć sukces, musisz zadbać o najmniejsze detale. Wierzymy, że kompleksowa obsługa Twojej firmy przez zespół zdeterminowanych prawników, pozwoli Ci skupić się na najważniejszych aspektach Twojej działalności. Umówmy się na spotkanie.

Rite to kancelaria prawna, skupiona na sukcesie biznesowym klienta. Umów się na płatną konsultację, wybierz termin

ZADZWOŃ

+48 729 928 898


NAPISZ

kancelaria@rite.pl


PRACUJEMY

Od poniedziałku do piątku w godzinach 9-18

LOKALIZACJA

ul. Lelewela 21/6,
53-505 Wrocław