Przejdź do treści
Słownik

NIS2

Dyrektywa (UE) 2022/2555 o cyberbezpieczeństwie sieci i systemów informacyjnych

Także zwany: dyrektywa NIS 2, NIS 2.0, Directive 2022/2555

NIS2 to dyrektywa UE 2022/2555 z 14 grudnia 2022 r. nakładająca obowiązki zarządzania ryzykiem cyber i raportowania incydentów na podmioty kluczowe i ważne. W Polsce wdrożona nowelizacją UKSC, w mocy od 3 kwietnia 2026 r. Termin rejestracji: 3 października 2026 r.

NIS2 zastępuje pierwszą dyrektywę NIS (2016/1148) i rozszerza zakres podmiotów objętych z około 1 700 w starym reżimie do około 160 000 w UE.

Kogo dotyczy

Łącznie dwóch warunków: (1) podmiot w sektorze załącznika I (kluczowy) lub II (ważny) UKSC, oraz (2) próg ≥50 pracowników lub ≥10 mln euro obrotu. Większość polskich MŚP nie spełnia obu warunków.

Kluczowe terminy

  • 3 kwietnia 2026 r. - UKSC w mocy.
  • 3 października 2026 r. - termin rejestracji w rejestrze MC.
  • 3 kwietnia 2027 r. - pełna zgodność z art. 21.
  • 3 kwietnia 2028 r. - pierwszy obowiązkowy audyt.

Kary

Podmioty kluczowe: do 10 mln euro lub 2% obrotu globalnego. Podmioty ważne: do 7 mln euro lub 1,4%. Dodatkowo odpowiedzialność osobista zarządu (art. 20).

Ostatnia aktualizacja: 2026-05-28