Kto jest objęty obowiązkami NIS2
Dyrektywa NIS2 (UE 2022/2555) wprowadza dwie kategorie podmiotów: kluczowe (essential entities) i ważne (important entities). Kluczowe obejmują m.in. operatorów energetycznych, operatorów infrastruktury cyfrowej, transport, bankowość, służbę zdrowia, wodociągi i administrację publiczną wysokiego szczebla. Ważne obejmują m.in. usługi pocztowe, produkcję żywności, gospodarkę odpadami, dostawców usług ICT średniej skali, produkcję chemiczną i sektor badawczy.
Polska transpozycja przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252) weszła w życie 3 kwietnia 2026. Termin rejestracji w wykazie podmiotów kluczowych i ważnych przypada na 3 października 2026. Wykaz prowadzi minister właściwy do spraw informatyzacji; podmioty rejestrują się samodzielnie, weryfikowane przez właściwy CSIRT (CSIRT GOV dla większości sektorów, CSIRT MON dla wojskowych, CSIRT NASK dla telekomunikacji).
Niemiecka transpozycja (NIS2-Umsetzungsgesetz z 5 grudnia 2025) rozszerzyła liczbę regulowanych podmiotów z około 4 500 do około 30 000. Podobny porządek wielkości jest oczekiwany w Polsce — szacunki ENISA wskazują kilkukrotny wzrost względem starej NIS. Jeżeli organizacja prowadzi obiekt infrastruktury krytycznej, dużą instalację energetyczną, port, lotnisko, centrum danych, terminal paliwowy lub jest dostawcą usług ICT średniej lub większej skali — z dużym prawdopodobieństwem podlega rejestracji.