16 stycznia 2023 r. weszła w życie dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, powszechnie znana jako NIS 2. Jest to jedno z najbardziej doniosłych unijnych aktów prawnych ostatnich lat, znacząco podnoszące standardy cyberbezpieczeństwa w Unii Europejskiej.
Dyrektywa NIS 2 obejmuje 18 kluczowych sektorów gospodarki, m.in. energetykę, transport, bankowość, infrastrukturę rynków finansowych, ochronę zdrowia, administrację publiczną, gospodarkę wodną czy infrastrukturę cyfrową. W praktyce oznacza to, że tysiące przedsiębiorstw – często po raz pierwszy – zostały objęte obowiązkami o charakterze regulacyjnym i compliance.
NIS 2 – co realnie zmienia dla przedsiębiorców?
NIS 2 wprowadza rozszerzony katalog obowiązków dla tzw. podmiotów kluczowych i podmiotów ważnych, w tym m.in.: w zarządzania ryzykiem cybernetycznym,
- rozbudowane procedury zgłaszania incydentów (często w bardzo krótkich terminach),
- dokumentowanie działań z zakresu cyberbezpieczeństwa,
- odpowiedzialność kierownictwa za nadzór nad zgodnością,
- potencjalnie bardzo wysokie sankcje finansowe (do 10 mln EUR lub 2% globalnego obrotu).
Co istotne, dyrektywa ma charakter horyzontalny – nie dotyczy wyłącznie firm technologicznych. W wielu przypadkach obowiązki obejmują „zwykłe” spółki operacyjne, które dotąd nie postrzegały cyberbezpieczeństwa jako obszaru regulacyjnego.
Wdrożenie NIS 2 w Polsce
Dyrektywa NIS 2 formalnie obowiązuje w UE od 16 stycznia 2023 r., natomiast państwa członkowskie miały czas na jej implementację do 17 października 2024 r.
W Polsce nastąpiło to z opóźnieniem – poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie w kwietniu 2026 r..
Dla wielu przedsiębiorców oznacza to konieczność pilnej weryfikacji, czy ich działalność – ze względu na sektor, skalę lub model operacyjny – podlega nowym obowiązkom.
Rola kancelarii prawnej – wdrożenie i audyt obowiązków NIS 2
W praktyce NIS 2 nie jest „projektem IT”, lecz projektem prawnym i organizacyjnym. Kancelaria prawna może wspierać przedsiębiorców m.in. w zakresie:
- analizy, czy dana spółka kwalifikuje się jako podmiot kluczowy lub ważny,
- przygotowania procedur wewnętrznych i dokumentacji compliance,
- wsparcia zarządu w zakresie odpowiedzialności osobistej,
- koordynacji działań z zespołami IT i zewnętrznymi dostawcami,
- reprezentacji w kontaktach z organami nadzorczymi.
Dla wielu firm wdrożenie NIS 2 oznacza realne koszty organizacyjne i operacyjne, a nie jedynie formalność.
A może spółka zagraniczna?
W tym kontekście coraz częściej pojawia się pytanie, czy struktura międzynarodowa może mieć wpływ na zakres obowiązków wynikających z NIS 2.
Warto jasno podkreślić: NIS 2 nie daje się ominąć prostym przeniesieniem siedziby. Dyrektywa opiera się na kryteriach takich jak:
- miejsce prowadzenia działalności,
- świadczenie usług na terytorium UE,
- sektor i skala działalności, a nie wyłącznie na kraju rejestracji spółki.
Jednocześnie w niektórych modelach biznesowych – zwłaszcza przy działalności międzynarodowej, holdingowej lub usługowej – prawidłowe zaprojektowanie struktury grupy może wpływać na:
- identyfikację podmiotu objętego obowiązkami,
- podział odpowiedzialności w grupie kapitałowej,
- zakres lokalnych regulacji sektorowych.
Nie jest to kwestia ucieczki od prawa, lecz legalnej analizy jurysdykcyjnej i regulacyjnej, podobnie jak w obszarze podatków, CFC czy substance.
Dyrektywa NIS 2 – Podsumowanie
Dyrektywa NIS 2 to kolejny przykład unijnej regulacji, która istotnie zmienia realia prowadzenia biznesu – także dla firm, które dotąd nie postrzegały się jako regulowane.
Z jednej strony przedsiębiorcy muszą liczyć się z kosztownym wdrożeniem nowych obowiązków. Z drugiej – odpowiednio zaplanowana struktura prawna i międzynarodowa może pozwolić na lepsze zarządzanie ryzykiem regulacyjnym, oczywiście w granicach obowiązującego prawa.
Jak zwykle – diabeł tkwi w szczegółach.
Zapraszamy do kontaktu z naszą kancelarią.
Kamil Cymerman
adwokat
Zdjęcie: Philipp Katzenberger
***
Co z biznesem, jeśli USA się zamkną? Spółka w USA bocznym wejściem na amerykański rynek
W dzisiejszych czasach coraz ciężej o poczucie stabilności. Prezydentura Trump’a nazywana jest przez część komentatorów jako koniec pewnej epoki, którą nazwać można Pax Americana, kiedy to świat, od upadku ZSRR zwracał się jednobiegunowo do globalnego lidera, jakim były USA.
Co to oznacza dla biznesu?
Co by było gdyby… gdyby USA polityką ceł i dalszymi środkami wróciły do trendu izolacjonizmu? [Czytaj dalej…]
{ 0 komentarze… dodaj teraz swój }