Sektor Obronny Logo

Sektor Obronny

analizy, raporty, komentarze ekspertów

Polska spóźnia się z wdrożeniem dyrektyw NIS 2 i CER – jak zadbać o bezpieczeństwo infrastruktury wrażliwej już teraz?

Elektrownia wodna. fot. pixabay
Elektrownia wodna. fot. pixabay
Dyrektywa NIS 2, rozporządzenie DORA i dyrektywa CER tworzą nową, europejską architekturę bezpieczeństwa dla obiektów infrastruktury krytycznej oraz szerzej rozumianej infrastruktury wrażliwej. Polska jest spóźniona z implementacją przepisów dyrektywy NIS 2 – dotyczącej cyberbezpieczeństwa – już o ponad rok, a czas na przygotowania kończy się bardzo szybko. Bo nie chodzi tu o błahe i nieistotne dla praktyki opóźnienia legislacyjne – które mogą być wygodną wymówką dla zarządów spółek, by nie wdrażać zbędnych zachcianek polityków – ale o realne standardy i faktyczne procedury przygotowania się przedsiębiorców do ochrony przed cyberatakami i zagrożeniami fizycznymi, które już teraz wystawiają naszą odporność na próbę. Jak więc zadbać o bezpieczeństwo infrastruktury wrażliwej już teraz?

Bezpieczeństwo infrastruktury krytycznej – kontekst europejski

Bezpieczeństwo obiektów infrastruktury krytycznej przestało być domeną wyłącznie ochrony fizycznej albo działów IT. W dobie konwergencji świata technologii operacyjnych (OT) i technologii informatycznych (IT) to jeden, spójny problem odporności państwa i gospodarki: od zapór i kontroli dostępu, przez łańcuch dostaw, po ciągłość działania i komunikację kryzysową. Polskie definicje infrastruktury krytycznej – obejmujące między innymi energię, łączność, sieci teleinformatyczne, finanse, wodę, zdrowie, transport, logistykę czy ratownictwo i inne usługi publiczne – jasno pokazują, jak szeroki i współzależny jest to system. Każde zakłócenie w jednej gałęzi może szybko, kaskadowo, przenieść się na pozostałe.

Na tym tle wyrastają trzy filary regulacyjne, które w praktyce wyznaczają standardy ochrony obiektów infrastruktury wrażliwej:

 

Razem tworzą one triadę, która łączy obowiązki zarządcze, techniczne i organizacyjne z wymogami ciągłości działania oraz egzekwowalną odpowiedzialnością kierownictwa. NIS 2 kładzie nacisk na cyberbezpieczeństwo i zarządzanie ryzykiem w podmiotach kluczowych, DORA porządkuje odporność cyfrową sektora finansowego, a CER – uzupełnia je, nakładając wymogi dotyczące ochrony i odporności fizycznej podmiotów krytycznych (od energii i transportu po zdrowie i wodociągi).

 

Z jakiego rodzaju zagrożeniami mamy do czynienia, na co firmy muszą zaczekać, a co mogą zrobić nie czekając na nowe przepisy, i jakie przedsiębiorstwa muszą o to zadbać, by chronić swoje zasoby i obywateli – o tym wszystkim w portalu SektorObronny.pl rozmawiamy w wywiadzie z Tomaszem Orłowskim, ekspertem z zakresu cyberbezpieczeństwa w firmie FINSECURE.

 

Dyrektywa NIS 2 – opóźniona implementacja dotycząca cyberbezpieczeństwa w Polsce

Dyrektywa NIS 2 – przyjęta przez Unię Europejską w 2022 roku i obowiązująca od 16 stycznia 2023 roku – miała zostać implementowana do prawa krajowego do 17 października 2024 roku. To nie tylko akt o cyberbezpieczeństwie – bo to określała dyrektywa NIS 1 – to dyrektywa podnosząca poprzeczkę ładu bezpieczeństwa w sektorach kluczowych i ważnych (między innymi takimi, jak energetyka, infrastruktura wodno-kanalizacyjna, zdrowie, transport, administracja, dostawcy usług cyfrowych), z silnym akcentem na odpowiedzialność kadry zarządzającej, zarządzanie ryzykiem łańcucha dostaw i obowiązki raportowe.

Pierwszą dyrektywę – NIS 1 – czyli dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 roku w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii – przyjęto w 2016 roku. Państwa członkowskie miały obowiązek transpozycji dyrektywy do prawa krajowego do 9 maja 2018 roku. Polska wdrożyła NIS 1 poprzez ustawę z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (UKSC), która weszła w życie 28 sierpnia 2018 roku.

Jeżeli jednak chodzi o implementację dyrektywy NIS 2, Polska – podobnie jak wiele państw UE – znacząco przekroczyła termin transpozycji tej dyrektywy i do dziś prowadzi prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Ostatni, siódmy już projekt, datowany na 12 sierpnia 2025 roku, został opublikowany 20 sierpnia 2025 roku i nadal znajduje się na etapie uzgodnień oraz konsultacji. Oznacza to, że w momencie, kiedy przepisy zostaną ostatecznie uchwalone, organizacje objęte nowymi obowiązkami będą miały bardzo ograniczony czas na ich pełne wdrożenie.

Dyrektywa NIS 2 zakłada między innymi:

  • rozszerzenie katalogu podmiotów kluczowych i ważnych,
  • zwiększenie odpowiedzialności kierownictwa,
  • obowiązkowe audyty bezpieczeństwa,
  • szybsze i bardziej precyzyjne raportowanie incydentów.

 

Dlatego – zdaniem ekspertów z zakresu bezpieczeństwa – nie ma sensu czekać na finalny kształt ustawy. Już teraz można – i warto – rozpocząć działania przygotowawcze:

  • przeprowadzić wstępne audyty bezpieczeństwa IT/OT,
  • opracować i przetestować procedury reagowania na incydenty,
  • wprowadzić zmiany organizacyjne w obszarze zarządzania ryzykiem i łańcuchem dostaw,
  • wdrożyć mechanizmy ciągłego monitorowania i weryfikacji skuteczności zabezpieczeń.

 

Co więcej, Unia Europejska przypomina o opóźnieniach – 7 maja 2025 roku Komisja Europejska wystosowała do 19 państw członkowskich, w tym Polski, uzasadnioną opinię (reasoned opinion) w związku z nieprzekazaniem pełnych aktów transpozycyjnych NIS 2. To formalny etap procedury naruszeniowej, który może prowadzić do skierowania sprawy do Trybunału Sprawiedliwości Unii Europejskiej i sankcji finansowych.

– Takie proaktywne podejście pozwoli nie tylko spokojnie dostosować się do nadchodzących regulacji, lecz przede wszystkim realnie zwiększy odporność firm i instytucji na rosnącą falę cyberataków, która nie poczeka na legislacyjne „zielone światło” – uważa Tomasz Orłowski, ekspert z zakresu cyberbezpieczeństwa w firmie FINSECURE, nasz dzisiejszy rozmówca.

Rozporządzenie DORA – dopełnienie cyberochrony w sektorze finansowym

Równolegle sektor finansowy już żyje rozporządzeniem DORA – unijnym aktem prawnym o operacyjnej odporności cyfrowej, które weszło w życie 16 stycznia 2023 roku, a w pełni zaczęło być stosowane od 17 stycznia 2025 roku. DORA porządkuje i ujednolica wymogi wobec banków, ubezpieczycieli, TFI, fintechów i kluczowych dostawców ICT: od zarządzania ryzykiem i testów (w tym TLPT), przez raportowanie incydentów, po zasady dla umów z dostawcami technologii.

I choć rozporządzenie DORA jest aktem prawa unijnego i – co do zasady – obowiązuje bezpośrednio w państwach członkowskich bez konieczności pełnej transpozycji, to w tym przypadku polski ustawodawca w sierpniu 2025 roku przyjął tak zwaną ustawę wdrożeniową, horyzontalną, nowelizując ustawę z 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Ustawa ta weszła w życie 7 sierpnia 2025 roku.

Ustawa wdrożeniową doprecyzowuje między innymi mechanizmy stosowania DORA i kompetencje nadzorcze. To przykład, jak regulacja związana z cyberbezpieczeństwem przenika wprost do praktyk operacyjnych i kontraktowych krytycznych podmiotów rynku.

Dyrektywa CER – dopełnienie fizycznej odporności także opóźnione

Również w przypadku dyrektywy CER – państwa członkowskie miały obowiązek jej implementacji do krajowego porządku prawnego do 17 października 2024 r. Polska nie zgłosiła jeszcze pełnych środków transpozycji do Komisji Europejskiej co oznacza, że dyrektywa nie została formalnie zaimplementowana w Polsce do tej pory.

Komisja Europejska podjęła także w tym przypadku działania presji –w pakiecie decyzji z 2 grudnia 2024 roku otworzyła procedury naruszeniowe (infringement proceedings) wobec 24 państw członkowskich za brak lub niekomunikowanie środków transpozycji dyrektywy CER.

Lista tych państw obejmuje takie kraje, jak: Austria, Belgia, Bułgaria, Chorwacja, Cypr, Czechy, Dania, Finlandia, Francja, Grecja, Hiszpania, Holandia, Litwa, Łotwa, Luksemburg, Malta, Niemcy, Polska, Portugalia, Rumunia, Słowacja, Słowenia, Szwecja, Węgry.

Jak podkreślają dokumenty rządowe, projekt ustawy CER jest formalnie gotowy od stycznia 2025 roku. Znajduje się jednak cały czas na etapie konsultacji i uzgodnień międzyresortowych, ponieważ – jak deklaruje rząd – prace nad ustawami wdrażającymi CER i NIS 2 są prowadzone w sposób skoordynowany, by uniknąć rozbieżności i zapewnić spójność. W uzasadnieniu projektu zmian w ustawie o zarządzaniu kryzysowym mówi się, że harmonizacja regulacji jest niezbędna, by oba te akty działały komplementarnie.

Dyrektywa CER koncentruje się na odporności fizycznej i organizacyjnej operatorów infrastruktury krytycznej. Wymusza przygotowanie planów bezpieczeństwa, lepszą wymianę informacji z administracją oraz zarządzanie ryzykiem w obliczu zagrożeń fizycznych – od sabotażu, przez terroryzm, po skutki zmian klimatycznych.

Praktyczne znaczenie prawnej triady dla bezpieczeństwa infrastruktury wrażliwej

Patrząc z perspektywy obiektów infrastruktury wrażliwej czy krytycznej, takich jak elektrownie, oczyszczalnie, węzły telekomunikacyjne, szpitale czy huby logistyczne – kluczowy jest nie tylko compliance – czyli działania zapewniające zgodność funkcjonowania firmy, instytucji lub organizacji z obowiązującymi przepisami prawa, regulacjami branżowymi, standardami oraz wewnętrznymi politykami i procedurami – który zapisany jest na papierze.

Niezbędna jest realna, zintegrowana ochrona – wspólne scenariusze OT/IT, segmentacja i monitoring, kontrola dostępu, patrolowanie i monitorowanie, redundancja mediów i łączności, ćwiczenia sztabowe oraz gotowość do szybkiej eskalacji i przywracania działania.

NIS 2 i DORA nakładają obowiązki, które wymuszają takie podejście (od ładu bezpieczeństwa po zarządzanie dostawcami i ciągłe weryfikowanie skuteczności procedur), a CER dopełnia je w obszarze odporności fizycznej, zarządzania kryzysowego i koordynacji międzyresortowej – tam, gdzie potrzebne są decyzje administracyjne, plany operacyjne i współpraca z Rządowym Centrum Bezpieczeństwa oraz odpowiednimi służbami.

Opóźnienia w legislacji nie zwalniają z obowiązku przygotowania się. Przedsiębiorstwa i instytucje powinny traktować te regulacje jako okazję do budowania realnej odporności – nie tylko do „odhaczenia” kolejnych paragrafów. To od tego, jak podejdziemy do wdrażania NIS 2, DORA i CER, zależy bezpieczeństwo nie tylko systemów i danych, ale także ciągłość dostaw energii, wody, łączności czy ochrony zdrowia – a więc fundamentów codziennego życia ludzi w Polsce.

Klaudiusz Kaleta

redaktor naczelny SektorObronny.pl
Data publikacji:
wrzesień 2025
bezpieczeństwo fizyczne | bezpieczeństwo infrastruktury | CER | cyberbezpieczeństwo | DORA | infrastruktura krytyczna | infrastruktura wrażliwa | NIS 2
Udostepnij:

Cyberbezpieczeństwo

Nie znaleziono żadnych wyników

Nie znaleziono szukanej strony. Proszę spróbować innej definicji wyszukiwania lub zlokalizować wpis przy użyciu nawigacji powyżej.

Sektor Obronny
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.