A skoro niedawno było o tym, że odpowiedzią na prezydencką niezgodę na nadregulację rynku kryptoaktywów ma być ustawa „MiCA+0”, dziś czas na kilka słów o długo procedowanej i niezmiernie kontrowersyjnej ustawie stanowiącej implementację dyrektywy NIS2 — czyli jakich podmiotów dotyczy wdrożenie nowych wymogów w zakresie cyberbezpieczeństwa — i jak należy rozumieć obowiązek samoweryfikacji na potrzeby NIS2? (ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, Dz.U. z 2026 r. poz. 252).
Nie wiem czy opowieść o NIS2 na tutejszych łamach będzie tęgą sagą czy raczej lichą nowelą, ale od czegoś zacząć trzeba. Najlepiej od samego początku:
- dla jasności: przepisy implementujące dyrektywę 2022/2555 w/s środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii nie są nowością samą w sobie: wszakże ustawa o krajowym systemie cyberbezpieczeństwa obowiązuje od ładnych paru lat, dyrektywa NIS2 tylko pewien zestaw zmian, ale też konieczność odpowiedniej implementacji w przepisach krajowych — zaś dla podmiotów objętych regulacją wymóg dostosowania swej działalności;
- komu zatem wdrożenie obowiązków wynikających z dyrektywy NIS 2 będzie spędzało sen z powiek? tu pierwsza istotna zmiana: w aktualnym stanie prawnym istnieje pojęcie operatora usługi kluczowej, tj. podmiotu prowadzącego działalność w jednym z określonych sektorów gospodarki, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał odpowiednią decyzję; podmioty te wpisywane są z urzędu do prowadzonego przez ministra d/s informatyzacji wykazu (niepublicznego, ujawnianego wyłącznie ściśle określonym instytucjom i podmiotom) — można powiedzieć, że obowiązuje zasada, że dopóki nie znajdą, dopóty spokój;
- NIS2 zakłada inny mechanizm: każdy podmiot prowadzący działalność lub świadczący usługi w Polsce powinien dokonać samoweryfikacji pod względem prowadzenia działalności w określonym sektorze kluczowym lub rozmiarów prowadzonej działalności…
art. 5a ust 1 ustawy o krajowym systemie cyberbezpieczeństwa
Podmiot kluczowy lub podmiot ważny podlegają obowiązkom wynikającym z ustawy, jeżeli mają miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej lub prowadzą działalność na terytorium Rzeczypospolitej Polskiej przez swoje siedziby, oddziały lub w ramach działalności transgranicznej.
- przy czym zakres terytorialny stosowania ustawy wygląda nieco inaczej w przypadku branży cyfrowej, m.in. przedsiębiorstw komunikacji elektronicznej, dostawców usług DNS, rejestrów nazw domen najwyższego poziomi (TLD), dostawców sieci dostarczania treści, a także dostawców wyszukiwarki internetowej oraz dostawców platformy usług sieci społecznościowych świadczących usługi na terytorium Rzplitej — w ich przypadku kluczowa jest okoliczność, czy Polska jest głównym miejscem prowadzenia działalności;
- …a jeśli wynik owego audytu będzie pozytywny — konieczne będzie złożenie wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych;
- wykaz taki zawierać będzie m.in. informacje o nazwie i adresie, sektorze i podsektorze prowadzonej działalności, zakresie publicznych adresów IP wykorzystywanych w sposób ciągły, deklarację w zakresie rozmiarów działalności (mikro-, mały przedsiębiorca, średni przedsiębiorca, etc., etc.);
- (pojęcia podmiotu kluczowego i podmiotu ważnego pozwolę sobie szczegółowo omówić w kolejnym odcinku);
- co istotne taki self-assessment nie będzie działaniem jednorazowym: ustawa nakłada obowiązek złożenia wniosku do wykazu w ciągu pół roku po spełnieniu warunków nakazujących wdrożenie rozwiązań NIS2 — co w przypadku niektórych przedsiębiorstw będzie oznaczało konieczność stałego trzymania ręki na pulsie…
art. 7c ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
Podmiot kluczowy lub podmiot ważny składają wniosek o wpis do wykazu [podmiotów kluczowych i podmiotów ważnych], w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.
- … także dlatego, iż w przypadku prowadzenia kilku rodzajów działalności podmiot będzie miał obowiązek wykazać je osobno — czyli weryfikacja powinna obejmować nie tylko rozmiary prowadzonej działalności, ale też jej przedmiot;
- wniosek o wpis do wykazu będzie miał postać elektroniczną i będzie składany przez specjalny system teleinformatyczny (jego uruchomienie i funkcjonalności będą określone, a jakże, w odrębnym komunikacie ministra d/s informatyzacji; nawiasem mówiąc system ten będzie też służył do… doręczania pism związanych z funkcjonowaniem krajowego systemu cyberbezpieczeństwa);
- (jakby ktoś pytał: podmioty wpisane do aktualnego wykazu będą przepisywane do nowego wykazu z urzędu (art. 34 ust. 2 ustawy);
- obowiązkiem podmiotu wpisanego do wykazu będzie także zgłaszanie każdej zmiany, w terminie 14 dni od jej zajścia, przy czym równolegle ministerstwo będzie miało obowiązek aktualizacji danych „w zakresie nazwy” podmiotu, na podstawie „publicznie dostępnych rejestrów publicznych” (czytaj: KRS, REGON, CEIDG) — a jeśli uzyskane dane wskazują na zaprzestanie działalności, podmiot z wykazu będzie wykreślany;
- (jakby ktoś był ciekawski: wykaz podmiotów kluczowych i podmiotów ważnych będzie nie tylko niepubliczny — dane będą ujawniane wyłącznie organowi właściwemu d/s cyberbezpieczeństwa w zakresie nadzorowanego sektora lub podsektora, a także ściśle określonym służbom i organom — ale też wyłączony spod przepisów o dostępie do informacji publicznej oraz o otwartych danych (art. 7 ust. 3 uksc);
- aczkolwiek w portalu Otwarte Dane będzie udostępniana zbiorcza informacja — o liczbie podmiotów, w rozbiciu na sektory, podsektory i rodzaje działalności.
I to by było na tyle, na razie — spróbuję jakoś przez to całe NIS2 przebrnąć i nie zasnąć, ani nie strzelić sobie w łeb.