Na pytanie „ile podmiotów obejmie NIS2?” nie ma jednej liczby wpisanej w dyrektywie. To nie jest zamknięty rejestr przygotowany na poziomie UE. Zakres zależy od sektora, wielkości organizacji, wyjątków przewidzianych przez prawo i od krajowej implementacji. Jedno jest jednak pewne: NIS2 znacząco poszerza krąg organizacji objętych obowiązkami cyberbezpieczeństwa.
- NIS2 obejmuje 18 sektorów krytycznych i co do zasady średnie oraz duże podmioty działające w tych obszarach
- O tym, czy firma podlega NIS2, decydują jednocześnie sektor działalności, skala organizacji i wyjątki ustawowe
- W Polsce najczęściej mówi się już nie o setkach, lecz o ponad 10 tys. firm objętych nowymi obowiązkami
- Liczba nie jest sztywna: część danych ma charakter szacunkowy, a ostateczna kwalifikacja wymaga samooceny
- Już 5 marca premiera raportu NIS2 i wyniki badania zrealizowanego na próbie 1018 firm zatrudniających powyżej 300 osób
Największy błąd to szukanie jednej odpowiedzi bez sprawdzenia trzech rzeczy naraz: branży, skali działalności i statusu prawnego podmiotu. NIS2 nie działa jak lista nazw firm. Dyrektywa wskazuje sektory i zasadę wielkościową. Co do zasady obejmuje średnie i duże organizacje z sektorów o wysokiej lub innej krytyczności, takich jak energia, transport, bankowość, infrastruktura cyfrowa, zdrowie, usługi pocztowe, gospodarka odpadami, żywność, chemikalia, badania czy wybrane obszary produkcji.
Dlatego odpowiedź „czy dotyczy mnie NIS2?” bywa bardziej złożona niż „mam ponad 50 pracowników, więc na pewno tak”. W praktyce trzeba sprawdzić także rodzaj świadczonych usług, miejsce w łańcuchu dostaw oraz wyjątki. Dyrektywa przewiduje bowiem sytuacje, w których również mniejsze podmioty mogą zostać objęte regulacją, jeśli mają szczególne znaczenie dla bezpieczeństwa lub ciągłości usług.
NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
W polskiej debacie najczęściej pojawia się dziś liczba „ponad 10 tys. firm”. To dobry skrót, ale warto rozumieć, skąd się bierze. W ocenie skutków regulacji do projektu nowelizacji KSC w samych sektorach prywatnych i gospodarczych pojawiają się tysiące podmiotów: setki w energetyce, bankowości, odpadach czy infrastrukturze cyfrowej, ponad tysiąc w żywności, produkcji i zdrowiu oraz kilka tysięcy w komunikacji elektronicznej. To właśnie dlatego skrót „ponad 10 tys.” jest dziś tak często używany.
Jednocześnie ten sam dokument wyraźnie zastrzega, że dane są szacunkowe. Oparto je głównie o rejestr REGON, bez pełnego uwzględnienia kryteriów obrotu i bilansu, przy możliwym nakładaniu się części kategorii oraz przy zmieniającej się sytuacji rynkowej. Dodatkowo ustawodawca przewiduje obowiązek samoidentyfikacji i wpisu do wykazu, więc finalna liczba nie będzie stała raz na zawsze.
Ile podmiotów obejmie NIS2? Niekoniecznie 10 tys. firm
Warto pamiętać, że skala obejmuje nie tylko biznes prywatny, ale także szeroko rozumianą administrację publiczną. Dlatego zasięg NIS2 jest dużo większy niż dawny model, w którym mówiliśmy o wąskiej grupie operatorów usług kluczowych. To nie jest kosmetyczna zmiana, lecz wyraźne rozszerzenie obowiązków na znaczną część rynku i instytucji.
Najbardziej praktyczna odpowiedź brzmi dziś tak: jeśli działasz w sektorze istotnym dla gospodarki lub społeczeństwa, nie zakładaj automatycznie, że NIS2 cię nie dotyczy. Najpierw wykonaj kwalifikację, potem policz luki, a dopiero na końcu oceniaj skalę wdrożenia.
FAQ
Czy administracja publiczna też jest objęta NIS2?
Tak. W polskich materiałach wdrożeniowych administracja publiczna jest wprost uwzględniona jako jedna z dużych grup objętych obowiązkami.
Czy każda firma mająca ponad 50 pracowników automatycznie podlega NIS2?
Nie. Kryterium wielkości jest ważne, ale równie istotne są sektor działalności, rodzaj usług i wyjątki przewidziane przez dyrektywę oraz przepisy krajowe.
Skąd bierze się liczba „ponad 10 tys. firm” w Polsce?
To uproszczenie oparte na publicznych szacunkach dotyczących polskiej implementacji oraz na sektorowych wyliczeniach z oceny skutków regulacji, gdzie w wielu branżach pojawiają się setki, tysiące i kilka tysięcy podmiotów.
