Wiele firm zakłada, że NIS2 dotyczy wyłącznie infrastruktury krytycznej, energetyki albo wielkich operatorów. To już nieaktualne podejście. Nowa dyrektywa znacząco poszerzyła zakres i obejmuje nie tylko najbardziej oczywiste branże, ale także wiele organizacji z sektora usług, technologii, produkcji czy administracji. Kluczowe pytanie brzmi dziś: czy działamy w sektorze objętym NIS2 i czy spełniamy kryteria wejścia?
- NIS2 co do zasady obejmuje publiczne i prywatne podmioty z typów wskazanych w załącznikach I i II, jeśli są co najmniej średniej wielkości
- Zakres nie zależy wyłącznie od liczby pracowników — znaczenie ma też rodzaj usług, skala działalności i status organizacji
- Niektóre podmioty mogą podlegać NIS2 niezależnie od wielkości, jeśli są szczególnie istotne dla państwa, rynku lub bezpieczeństwa
- Sama nazwa branży nie wystarczy; trzeba sprawdzić, czy firma rzeczywiście wykonuje działalność wskazaną w dyrektywie
Najprostsza odpowiedź brzmi: jeśli działasz w jednym z sektorów wskazanych przez NIS2 i nie jesteś małą organizacją o marginalnym znaczeniu, powinieneś sprawdzić obowiązki natychmiast. Dyrektywa obejmuje podmioty publiczne i prywatne z kategorii wymienionych w załącznikach I i II, które co do zasady kwalifikują się jako średnie przedsiębiorstwa albo są od nich większe.
Sprawdź: NIS2 – ocena zgodności. Narzędzie online
W praktyce pierwszy filtr jest sektorowy. Jeśli firma działa w obszarach takich jak energia, transport, zdrowie, bankowość, infrastruktura cyfrowa, łączność elektroniczna, usługi pocztowe, gospodarka odpadami, chemia, żywność, wybrane obszary produkcji, usługi cyfrowe, badania albo administracja publiczna, nie można zakładać, że temat was nie dotyczy.
Sama przynależność do branży nie przesądza jeszcze sprawy, ale jest mocnym sygnałem ostrzegawczym.
Drugi filtr to wielkość. NIS2 opiera się na zasadzie, że do zakresu wpadają co najmniej średnie i duże organizacje. Z perspektywy biznesu oznacza to, że nie tylko korporacje, lecz także wiele rozwiniętych firm średniej skali powinno przeprowadzić kwalifikację. Dyrektywa odwołuje się przy tym do unijnej logiki klasyfikacji przedsiębiorstw, a nie do potocznego myślenia o tym, kto jest „duży”.
Trzeci filtr to wyjątki. Nawet mniejszy podmiot może zostać objęty NIS2, jeśli świadczy usługę niezbędną dla utrzymania kluczowych aktywności społecznych lub gospodarczych, jeśli zakłócenie jego działania mogłoby silnie uderzyć w bezpieczeństwo publiczne, zdrowie publiczne albo wywołać ryzyko systemowe, albo jeśli państwo uzna go za szczególnie istotny na poziomie krajowym lub regionalnym.
NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
Osobną kategorią są podmioty, które mogą wejść do zakresu niezależnie od wielkości, takie jak dostawcy publicznych sieci lub usług łączności elektronicznej, dostawcy usług zaufania, rejestry domen najwyższego poziomu czy dostawcy DNS. Dla takich organizacji argument „jesteśmy za mali” może po prostu nie działać.
Najrozsądniejsze podejście nie polega więc na zgadywaniu, lecz na krótkim audycie kwalifikacyjnym: sprawdzeniu sektora, rodzaju usług, skali, wyjątków i tego, czy firma może zostać uznana za podmiot kluczowy albo ważny.
Jeśli odpowiedź na kilka z tych pytań brzmi „tak”, temat NIS2 powinien trafić na agendę zarządu natychmiast. Zwłoka zwykle kosztuje więcej niż wczesna kwalifikacja.
Czy podlegasz pod NIS2? – FAQ
Czy mała firma może podlegać NIS2?
Tak. Co do zasady NIS2 obejmuje średnie i duże podmioty, ale dyrektywa przewiduje wyjątki dla niektórych organizacji także niezależnie od wielkości.
Czy sam sektor działalności przesądza o obowiązkach?
Nie. Oprócz sektora trzeba sprawdzić także typ świadczonych usług, wielkość organizacji i to, czy podmiot nie spełnia jednego z wyjątków przewidzianych w dyrektywie.
Kiedy firma powinna rozpocząć analizę NIS2?
Najlepiej wtedy, gdy działa w jednym z sektorów z załączników I lub II albo świadczy usługi wskazane w dyrektywie. Samo „prawdopodobieństwo” wejścia w zakres jest już sygnałem do kwalifikacji.
Czytaj też:
