Dyrektywa NIS2 oraz projekt nowej ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) znacząco rozszerzają katalog sektorów objętych obowiązkami cyberbezpieczeństwa. Regulacje, które wcześniej dotyczyły jedynie infrastruktury krytycznej i kilku wybranych usług, obejmą teraz znacznie większą część gospodarki, w tym wiele firm prywatnych, które do tej pory nie podlegały żadnym podobnym wymaganiom.
W tym artykule przedstawiamy:
- pełną listę sektorów NIS2,
- różnicę między podmiotami kluczowymi i ważnymi,
- oraz praktyczne wskazówki, jak ocenić, czy sektor firmy faktycznie wchodzi w zakres regulacji.
Sektory NIS2 UKSC – dwa poziomy regulacji sektorowych
Dyrektywa NIS2 określa, które sektory i typy działalności są objęte cyber-obowiązkami.
Projekt ustawy KSC przenosi te przepisy bezpośrednio do polskiego prawa, wskazując:
- podmioty kluczowe (essential entities) – najwyższy poziom obowiązków,
- podmioty ważne (important entities) – obowiązki podobne, lecz o nieco innym podejściu nadzorczym.
Sprawdź, czy podlegasz pod UKSC (NIS2)
Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!
Sektory kluczowe NIS2 (Essential Entities)
Sektory kluczowe to te, które mają fundamentalne znaczenie dla funkcjonowania państwa, bezpieczeństwa i infrastruktury życia publicznego. Podmioty działające w tych obszarach niemal zawsze podlegają regulacji.
Lista sektorów kluczowych NIS2:
- Transport (kolej, lotnictwo, drogowy, morski, żegluga śródlądowa)
- Ochrona zdrowia (szpitale, kliniki, laboratoria, producenci wyrobów medycznych)
- Infrastruktura cyfrowa (np. IXP, CDN, centra danych)
- Zarządzanie usługami ICT (w tym dostawcy usług zarządzanych – MSP)
- Przestrzeń kosmiczna
Sektory ważne NIS2 (Important Entities)
Druga grupa to sektory ważne — obszary gospodarki, które nie są klasyfikowane jako krytyczne państwowo, ale mają duże znaczenie dla rynku i ciągłości działania usług.
Lista sektorów ważnych NIS2:
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Pozostała produkcja (m.in. elektronika, maszyny, urządzenia przemysłowe)
- Usługi pocztowe i kurierskie
- Gospodarka odpadami (zbieranie, przetwarzanie, utylizacja)
- Dostawcy usług cyfrowych (hosting, platformy, marketplace)
- Badania naukowe
- Dostawcy usług DNS
- Dostawcy usług zaufania (kwalifikowani i niekwalifikowani)
- Podmioty publiczne (urzędy, instytucje publiczne, JST)
- Infrastruktura krytyczna
- Rejestry domen najwyższego poziomu (TLD)
- Przedsiębiorcy komunikacji elektronicznej
Uwaga: sektor to nie wszystko. Kwalifikacja zależy także od wielkości firmy
Przynależność do sektora to warunek konieczny, ale niewystarczający. NIS2 i UKSC stosują progi wielkości, które współdefiniują kwalifikacje. Ogólna zasada wygląda tak:
Wielkość | Pracownicy | Roczny obrót lub bilans |
Mikro/mała – zwykle NIE podlega | < 50 osób | < 10 mln EUR |
Średnia – najczęściej PODLEGA (podmiot ważny) | 50–250 osób | 10–50 mln EUR |
Duża – PRAWIE ZAWSZE podlega (podmiot kluczowy) | > 250 osób | > 50 mln EUR |
Ważne: istnieją wyjątki od progów. Podmioty administracji publicznej i niektórych sektorów kluczowych podlegają niezależnie od wielkości. Jeśli nie masz pewności – skonsultuj się z ekspertem przed samodzielną oceną statusu.
Co z firmami „pośrednio związanymi” z sektorami kluczowymi?
To jeden z najciekawszych obszarów NIS2.
W praktyce pod regulacje mogą podlegać również firmy, które:
- działają jako dostawcy usług IT/ICT,
- obsługują infrastrukturę cyfrową klientów regulowanych,
- produkują komponenty lub urządzenia dla sektorów kluczowych,
- realizują procesy, których niedostępność mogłaby wywołać incydent w firmie regulowanej.
Przykłady firm, które często wpadają w zakres NIS2, mimo że nie należą „formalnie” do sektorów:
- software house’y obsługujące banki / energetykę / zdrowie,
- firmy IT świadczące usługi zarządzane (MSP),
- producenci podzespołów dla energetyki, telekomów lub logistyki,
- operatorzy transportowi współpracujący z podmiotami krytycznymi.
Wiem, że podlegam – co dalej?
Ustalenie, że Twoja organizacja podlega pod UKSC/NIS2, to początek, nie koniec. Oto konkretna ścieżka działań:
- Ocena i dokumentacja statusu – sporządź notę statusową potwierdzającą kwalifikację jako podmiot kluczowy lub ważny. To chroni kierownictwo prawnie i jest punktem wyjścia do wdrożenia.
- Audyt luk (gap analysis) – porównaj aktualny stan bezpieczeństwa z wymaganiami UKSC.
- Wdrożenie SZBI – system zarządzania bezpieczeństwem informacji musi być gotowy do 3 kwietnia 2027 r.
- Procedury incydentowe – kto powiadamia CSIRT, w jakim terminie, jakie informacje przekazuje.
- Przegląd umów z dostawcami IT – upewnij się, że umowy spełniają wymagania UKSC w zakresie bezpieczeństwa łańcucha dostaw.
- Szkolenia pracowników i kierownictwa – regularnie, udokumentowane.
- Audyt bezpieczeństwa – do 3 kwietnia 2028 r. (dopiero od tej daty mogą być nakładane kary).
Sektory NIS2 UKSC. Czy podlegam pod NIS2?
Kwalifikacja pod NIS2/UKSC to nie tylko przejrzenie listy sektorów. To analiza łańcucha dostaw, roli operacyjnej, struktury organizacyjnej i powiązań z innymi podmiotami. Błąd na etapie kwalifikacji oznacza albo niepotrzebne koszty wdrożenia, albo – gorzej – niezidentyfikowane ryzyko regulacyjne i finansowe.
Od blisko 20 lat uczestniczymy w cyfryzacji regulowanych sektorów gospodarki. Rozumiemy nie tylko przepisy – rozumiemy realia, z jakimi mierzą się polskie organizacje.
SEDIVIO to zgodność z UKSC i NIS2
W SEDIVIO pomagamy organizacjom przejść przez cały proces wdrożenia wymagań wynikających z projektu ustawy o krajowym systemie cyberbezpieczeństwa – od kwalifikacji, przez audyt, aż po przygotowanie dokumentacji, procesów i zabezpieczeń technicznych.
Wspieramy nie tylko zgodność z przepisami, ale również realne podnoszenie poziomu cyberbezpieczeństwa. Korzystamy z narzędzi, które umożliwiają monitorowanie podatności, zarządzanie incydentami, weryfikację ryzyka i poprawę odporności operacyjnej na co dzień, dzięki czemu wdrożenie UKSC jest trwałe i praktyczne
W praktyce kwalifikacja pod NIS2/UKSC wymaga analizy działalności, roli w łańcuchu dostaw i skali operacyjnej, a nie tylko sprawdzenia listy sektorów.
Takie analizy realizuje SEDIVIO, koncentrując się na tym, czy i w jakim zakresie organizacja realnie podlega regulacji, zanim rozpocznie się jakiekolwiek wdrożenia techniczne lub dokumentacyjne.
Doświadczenie w NIS2 nie polega na znajomości jednego sektora, lecz na pracy z organizacjami działającymi na styku kilku sektorów jednocześnie (np. IT, energia, logistyka, przemysł).
SEDIVIO pracuje właśnie w tym obszarze — tam, gdzie granice sektorowe są nieoczywiste, a błędna kwalifikacja może prowadzić do ryzyk regulacyjnych lub niepotrzebnych kosztów.
Kwalifikacja musi być przeprowadzona przez podmiot, który rozumie jednocześnie regulację i realia operacyjne, a nie tylko interpretację prawną.
SEDIVIO realizuje kwalifikacje w sposób, który pozwala je później obronić przed regulatorem, audytorem lub partnerem kontraktowym.
