Dla wielu przedsiębiorców, w tym z branży produkcyjnej, cyberodporność staje się obowiązkiem regulacyjnym, organizacyjnym i zarządczym. To zmiana, której nie warto odkładać do pierwszego incydentu albo pierwszego pisma z urzędu. Przepisy weszły w życie 3 kwietnia 2026 roku. Terminy w nich wskazane zaczęły już biec.
Nie tylko dla firm technologicznych
Nowe przepisy nie dotyczą wyłącznie telekomów, operatorów infrastruktury krytycznej albo wielkich dostawców usług cyfrowych. Oprócz tak zwanych podmiotów kluczowych przepisy przewidują również kategorię podmiotów ważnych. O tym, czy firma do niej wpada, decydują co do zasady dwa elementy: rodzaj działalności i skala przedsiębiorstwa.
Podmiotem ważnym może być przedsiębiorca prowadzący działalność gospodarczą w przynajmniej jednej z dziedzin wskazanych w załącznikach do ustawy, jeżeli spełnia próg średniego przedsiębiorcy lub go przekracza i nie jest kwalifikowany jako podmiot kluczowy.
Jakie dziedziny obejmują podmioty ważne
Zakres jest szeroki, w tym dotyczy przemysłu. Obejmuje produkcję i dystrybucję chemikaliów, produkcję, przetwarzanie i dystrybucję żywności, produkcję wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, a także produkcję komputerów, elektroniki i optyki, urządzeń elektrycznych, maszyn i urządzeń, pojazdów oraz innego sprzętu transportowego. Innymi słowy: klasyczny zakład przemysłowy może dziś podlegać NIS2 nie dlatego, że świadczy usługi IT, ale dlatego, że jest średnim lub większym producentem w branży wskazanej w ustawie.
Dlaczego produkcja nie może tego zlekceważyć
W przemyśle cyberincydent rzadko kończy się na problemie z pocztą czy chwilowej niedostępności serwera. Częściej oznacza przestój, zakłócenie logistyki, utratę widoczności procesu, kłopoty z jakością albo zerwanie ciągłości dostaw. Dlatego ustawa wymaga od podmiotu ważnego wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego nie tylko ochronę systemów, ale też ryzyko operacyjne, ciągłość działania, monitoring, zarządzanie podatnościami i bezpieczeństwo łańcucha dostaw.
Dla zakładu produkcyjnego oznacza to konieczność objęcia uwagą nie tylko biurowego IT, ale również środowiska OT, dostępu zdalnego serwisantów, integratorów automatyki, dostawców ERP, MES czy usług chmurowych. W praktyce właśnie tam najczęściej ujawnia się największa luka między formalnym przekonaniem o bezpieczeństwie a rzeczywistą odpornością organizacji.
Najpierw kwalifikacja, potem wdrożenie
Najbliższe miesiące powinny zacząć się od prostego, ale uczciwego pytania: czy nasza działalność mieści się w katalogu ustawowym i czy osiągamy próg średniego przedsiębiorcy? Tę analizę trzeba zrobić samodzielnie. Nie można już czekać na urzędowe potwierdzenie, bo obowiązek powstaje z mocy prawa.
Jeżeli firma spełnia przesłanki, powinna złożyć wniosek o wpis do wykazu w ciągu 6 miesięcy. Zmianę danych trzeba zgłaszać w ciągu 14 dni. Jeśli przedsiębiorca tego nie zrobi, organ może wpisać go do wykazu z urzędu.
Kolejny krok to organizacja odpowiedzialności. Podmiot ważny musi wyznaczyć osoby kontaktowe, uruchomić możliwość zgłaszania zagrożeń i incydentów, przygotować dokumentację bezpieczeństwa i zdecydować, czy buduje własne struktury cyberbezpieczeństwa, czy korzysta z wyspecjalizowanego dostawcy usług zarządzanych. Równolegle trzeba wdrożyć system zarządzania bezpieczeństwem informacji, obejmujący m.in. ocenę ryzyka, polityki bezpieczeństwa, ochronę fizyczną, cyberhigienę, aktualizacje, kontrolę dostępu, monitoring oraz plany ciągłości działania i odtworzenia.
Na wykonanie tych obowiązków ustawa daje co do zasady 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot ważny.
Incydenty trzeba umieć nie tylko opanować, ale też zgłosić
Nowe przepisy nie kończą się na prewencji. Podmiot ważny musi umieć rozpoznać incydent poważny i zareagować w ustawowych terminach: przekazać wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, zgłoszenie incydentu w ciągu 72 godzin, a następnie raport końcowy co do zasady w ciągu miesiąca. To wymaga wcześniejszego ustalenia, kto wykrywa incydent, kto go kwalifikuje, kto kontaktuje się z CSIRT i kto odpowiada za zebranie danych do zgłoszenia.
W praktyce właśnie tu rozstrzyga się, czy organizacja ma system, czy jedynie dokument.
Sankcje i odpowiedzialność finansowa kierownictwa
Podmiot ważny nie może traktować tych obowiązków jako miękkiej rekomendacji. Ustawa przewiduje surowe administracyjne kary pieniężne, a w przypadku podmiotów ważnych ich pułap sięga 7 mln euro albo 1,4 proc. przychodu. Dodatkowo możliwa jest okresowa kara pieniężna sięgająca 100 tys. zł za każdy dzień opóźnienia w wykonaniu decyzji.
Równie istotne jest to, że ustawodawca wyraźnie przenosi odpowiedzialność na kierownictwo. Kierownik podmiotu ważnego odpowiada za wykonywanie obowiązków z zakresu cyberbezpieczeństwa, ma podejmować decyzje, planować środki finansowe, przydzielać zadania, nadzorować ich wykonanie i zapewniać zgodność działania firmy z prawem. To nie jest temat, który można w całości zrzucić na dział IT.
Co więcej, odpowiedzialność kierownictwa ma wymiar bezpośrednio finansowy. Kierownik podmiotu ważnego - w praktyce zarząd - może zostać ukarany osobiście za niewykonanie ustawowych obowiązków. Kara ta może zostać nałożona niezależnie od kary wymierzonej samemu podmiotowi, także gdy zaniechanie miało charakter jednorazowy. Kara może wynieść do 300 procent wynagrodzenia ukaranego, obliczanego według zasad stosowanych przy ustalaniu ekwiwalentu za urlop.
Istotnym ryzykiem jest dziś zwłoka w działaniu
Dla wielu przedsiębiorców z branży produkcyjnej poważnym problemem może być błędne przekonanie, że „to jeszcze nas nie dotyczy”. Tymczasem NIS2 i znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa obejmują znaczną część średniego i dużego przemysłu. Dlatego rozsądna strategia na dziś jest prosta: sprawdzić status, wpisać temat do agendy zarządu, uporządkować odpowiedzialność i zacząć wdrożenie, zanim zrobi to za firmę incydent albo organ nadzorczy i pojawi się widmo sankcji.
autor: Szymon Szurgacz, radca prawny Sendero Tax and Legal
