Czy NIS2 dotyczy małej firmy? Sprawdź progi

Czy NIS2 dotyczy małej firmy

Większości małych firm NIS2 — unijna dyrektywa o cyberbezpieczeństwie, czyli zbiór reguł, jak chronić firmowe systemy IT — nie dotyczy wprost. Obowiązki włącza dopiero próg 50 pracowników lub 10 mln EUR obrotu, i to tylko w wybranych sektorach. Typowa 30-osobowa hurtownia z Legnicy jest poniżej tej granicy.

Każde państwo wdraża tę dyrektywę własną ustawą. W Polsce robi to znowelizowana ustawa o KSC (Krajowy System Cyberbezpieczeństwa). To ona, a nie sama dyrektywa, nakłada na firmy konkretne obowiązki.

Najczęściej przychodzisz tu z jednego powodu. Większy klient przysłał Ci umowę z zapisem o „zgodności z NIS2" i nie wiesz, czy łamiesz prawo. Spokojnie — w większości przypadków to nie regulator, tylko Twój kontrahent.

Podmiot kluczowy a podmiot ważny

Ustawa dzieli objęte firmy na dwie kategorie: podmiot kluczowy i podmiot ważny. Różnią się wielkością firmy i rolą w sektorze. Im wyższa kategoria, tym ostrzejsze obowiązki i kontrole.

Podmiot kluczowy to duża firma w sektorze o najwyższym znaczeniu — od 250 pracowników lub 50 mln EUR obrotu. Podmiot ważny zaczyna się niżej, od 50 pracowników lub 10 mln EUR, w jednym z sektorów objętych ustawą.

Poniżej masz to zestawione punkt po punkcie. Sprawdź swoje liczby, zanim przejdziesz dalej.

Porównanie kategorii

• Próg pracowników — podmiot kluczowy: od 250. Podmiot ważny: od 50.
• Próg obrotu — podmiot kluczowy: od 50 mln EUR. Podmiot ważny: od 10 mln EUR.
• Przykładowe sektory — kluczowy: energia, transport, bankowość, woda, infrastruktura cyfrowa. Ważny: produkcja, gospodarka odpadami, chemikalia, żywność, usługi cyfrowe.
• Kluczowe obowiązki — kluczowy: pełne wdrożenie plus audyt co rok. Ważny: te same zasady bezpieczeństwa, kontrola rzadziej i po incydencie.

Mikrofirmy i małe firmy poniżej 50 pracowników i 10 mln EUR są co do zasady wyłączone. Wyjątek: jeśli jesteś jedynym dostawcą krytycznej usługi albo państwo wyznaczy Cię z urzędu. To rzadkie, ale warto wiedzieć, że taka furtka istnieje.

Łańcuch dostaw — tu Cię to dotyczy

Tu jest sedno. Nawet jeśli NIS2 nie obejmuje Cię wprost, obejmuje Twojego dużego klienta. A on ma obowiązek pilnować bezpieczeństwa w całym łańcuchu dostaw — czyli u swoich dostawców i podwykonawców, w tym u Ciebie.

W praktyce wygląda to tak: dostawca z Dolnego Śląska dostaje od dużego klienta ankietę bezpieczeństwa albo nowy aneks do umowy. Nie pismo od urzędu — zwykłą klauzulę w kontrakcie, którą trzeba podpisać, żeby dalej współpracować.

Taka umowa potrafi wymagać od Ciebie konkretnych rzeczy. Najczęściej pojawiają się te zapisy:

• polityka bezpieczeństwa informacji na piśmie,
• konkretne wymagania techniczne — kopie zapasowe, kontrola dostępu, aktualizacje,
• prawo klienta do audytu Twoich zabezpieczeń,
• obowiązek szybkiego zgłaszania incydentów,
• klauzule dotyczące Twoich własnych podwykonawców.

Konsekwencja jest prosta i mierzalna. Dostawcy, którzy nie potrafią spełnić tych wymogów, wypadają z przetargów i są pomijani przy zamówieniach. Dla małej firmy z Legnicy NIS2 to więc nie kara z urzędu, tylko ryzyko utraty dużego kontraktu.

Ustawa o KSC i terminy 2026

Polska wdraża NIS2 nowelizacją ustawy o KSC. Przepisy opublikowano 2 marca 2026, weszły w życie 3 kwietnia 2026. Od tego dnia rusza harmonogram, który rozkłada obowiązki na kolejne dwa lata.

Ważne, żeby nie panikować. Wejście ustawy w życie nie znaczy, że od następnego dnia ktoś wystawia kary. Pierwsze realne sankcje są przesunięte aż na 2028 rok, i dotyczą głównie dużych podmiotów.

Kluczowe daty

• 3 kwietnia 2026 — ustawa o KSC wchodzi w życie.
• 3 października 2026 — termin wpisu do wykazu podmiotów objętych ustawą.
• 3 kwietnia 2027 — termin wdrożenia obowiązków bezpieczeństwa.
• 3 kwietnia 2028 — pierwszy audyt podmiotów kluczowych; od tego momentu realnie grożą kary.

Wpis do wykazu składa się elektronicznie, przez rządowy serwis wykaz-ksc.gov.pl, z podpisem elektronicznym. Dotyczy podmiotów objętych ustawą — jeśli jesteś poniżej progów, nie musisz się rejestrować.

Górne kary są wysokie, ale celują w dużych. Dla podmiotu kluczowego sięgają 10 mln EUR lub 2% rocznego przychodu. To nie jest stawka pod 30-osobową hurtownię z Lubina — i właśnie dlatego nie straszymy Cię tu milionami.

Co to znaczy w praktyce

Czy obejmuje Cię ustawa, czy tylko umowa z klientem — sama treść wymogów jest podobna. To zwykła cyberhigiena, czyli porządek w bezpieczeństwie IT, który dobry partner i tak prowadzi na co dzień.

W kontrakcie z dużym klientem zwykle chodzi o ten sam zestaw podstaw:

• regularne kopie zapasowe i sprawdzone odtwarzanie danych,
• kontrola dostępu — kto i do czego ma hasło,
• aktualizacje systemów i sprzętu,
• prosty plan na incydent: ostrzeżenie w 24 godziny, pełny raport w 72 godziny,
• podstawowy system zarządzania bezpieczeństwem informacji, czyli SZBI — spisane zasady, kto za co odpowiada.

Brzmi groźnie, a w większości firm to nie nowy projekt, tylko uporządkowanie tego, co już macie. Kopie zapasowe są tu pierwszym krokiem — opisaliśmy je osobno w poradniku kopia zapasowa dla firmy.

Powiedzmy wprost, gdzie jest nasza granica. Nie jesteśmy kancelarią — nie wydajemy opinii prawnych, czy formalnie podlegasz pod ustawę. Od tego jest prawnik. My ustawiamy i prowadzimy techniczne zabezpieczenia i pomagamy odpowiedzieć na ankietę bezpieczeństwa od klienta.

Po krótkiej rozmowie robimy przegląd zabezpieczeń Twojej firmy — co masz, czego brakuje i co warto poprawić w pierwszej kolejności. To część naszej obsługi IT dla firm, nie osobny, drogi audyt.

Częste błędy małych firm

Wokół NIS2 narosło sporo nieporozumień. Oto te, które najczęściej spotykamy u firm z Legnicy i okolic — i jak się do nich ustawić.

1. Panika, że „dotyczy każdej firmy". Nie dotyczy. Bez 50 pracowników i sektora z listy raczej jesteś poza ustawą — choć umowa z klientem to inna sprawa.
2. Mylenie dyrektywy z ustawą. NIS2 to przepis unijny. Konkretne obowiązki w Polsce daje ustawa o KSC. Klient w umowie zwykle pisze „NIS2", ale rozliczy Cię z zapisów ustawy.
3. Ignorowanie ankiety od klienta. To największy błąd. Brak odpowiedzi czyta się jak „nie spełniamy wymogów" — i kosztuje kontrakt, a nie karę z urzędu.
4. Czekanie na karę zamiast działania. Kary celują w dużych i ruszają od 2028. Twój realny termin wyznacza umowa z klientem, nie kalendarz ustawy.

Mini-przykład, który łatwo przyłożyć do siebie. Hurtownia części z Lubina, 28 osób, dostawca dużego producenta z Wrocławia. Ustawa jej nie obejmuje — ma za mało pracowników i za mały obrót.

Ale producent przysyła aneks z wymogami bezpieczeństwa i prawem do audytu. Hurtownia porządkuje kopie zapasowe, kontrolę dostępu i spisuje proste zasady. Podpisuje aneks, zostaje w łańcuchu dostaw — i nie traci największego klienta.

Od czego zacząć w Legnicy

Jeśli masz w ręku umowę albo ankietę z wymogami, nie zaczynaj od kupowania drogich narzędzi. Zacznij od uporządkowania tego, co już masz. Kolejność jest prosta.

1. Sprawdź swoje liczby — pracownicy i obrót — i ustal, czy ustawa Cię obejmuje, czy to tylko wymóg z umowy.
2. Zbierz dokumenty od klienta: umowę, aneks, ankietę bezpieczeństwa. To one mówią, co naprawdę musisz spełnić.
3. Zrób przegląd zabezpieczeń: kopie zapasowe, dostęp, aktualizacje, plan na incydent.
4. Spisz proste zasady bezpieczeństwa i wyznacz osobę odpowiedzialną.
5. Odpowiedz klientowi na ankietę — uczciwie, z tym co masz i co poprawiasz.

Jesteśmy w Legnicy przy ul. Zielonej 4. Obsługujemy firmy z Legnicy, Lubina, Polkowic i całego Dolnego Śląska. Jeśli utknąłeś na ankiecie bezpieczeństwa od klienta, zadzwoń — przejdziemy ją razem.

Pytania o samą kwalifikację prawną kierujemy do prawnika. My bierzemy na siebie część techniczną — zabezpieczenia i odpowiedź na wymagania z umowy. To nasza codzienna obsługa IT, a nie jednorazowy, kosztowny projekt.