2026-07-06
Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze krytycznej obejmie wiele podmiotów z sektora energetycznego i ich podwykonawców. Część firm w Polsce wciąż nie jest świadoma nowych przepisów i naraża się na wysokie kary, jeśli w krótkim czasie nie wprowadzi odpowiednich procedur.
Celem Dyrektywy NIS2 z 2022 roku, która w Polsce została implementowana dopiero w tym roku poprzez zmianę ustawy o Krajowym Systemie Cyberbezpieczeństwa, jest podniesienie bezpieczeństwa cybernetycznego w spółkach o znaczeniu strategicznym. Najważniejsze obowiązki firm objętych ustawą to zarejestrowanie się w rządowej bazie, wdrożenie zarządzania cyberbezpieczeństwem, zgłaszanie incydentów w ciągu 24 godzin od ich wykrycia oraz zakaz współpracy z podmiotami, które trafią na listę dostawców wysokiego ryzyka. Zdaniem ekspertów Baker McKenzie, prawidłowo stosowane przepisy NIS2 powinny pomóc uniknąć zdarzeń podobnych do tego, jakie miało miejsce w grudniu ubiegłego roku, gdy wykryto w Polsce wrogą aktywność w systemach spółek OZE i jednej elektrociepłowni.
– Dyrektywa NIS2 jest ściśle związana z globalnymi i regionalnymi wyzwaniami w obszarze cyberbezpieczeństwa. W energetyce ogniskują się wchodzące obecnie w życie lub procedowane właśnie na poziomie unijnym i krajowym przepisy dotyczące ochrony systemów, sieci, urządzeń i danych, jak również podstawowej infrastruktury wytwórczej i przesyłowej. Prawie jednocześnie na horyzoncie pojawiają się też przepisy kolejnych aktów prawnych: NC CS, CER, CRA, EU Data Act. Dostosowanie do nowych przepisów to spore wyzwanie, a kary za niezgodność będą bardzo wysokie. Nowe przepisy wpływają też na inwestycje energetyczne w toku realizacji, w tym inwestycje z sektora jądrowego, OZE czy BESS – mówi Agnieszka Skorupińska, partnerka kierująca praktyką zrównoważonego rozwoju i transformacji energetycznej w warszawskim biurze Baker McKenzie. –
Branża energetyczna jest szczególnie eksponowana na zmiany zachodzące w prawie. Jednak znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje podmioty z wszystkich sektorów gospodarki uznanych za kluczowe lub ważne. Oprócz energetyki są to również transport lotniczy i kolejowy, infrastruktura cyfrowa, ochrona zdrowia, gospodarka odpadami i inne. Objęci są nią również poddostawcy przedsiębiorstw z tych branż.
– Z naszych obserwacji wynika, że niektóre, kluczowe podmioty w branży są świadome zmian w prawie i zadbały już o rozwiązania zapewniające bezpieczeństwo cybernetyczne albo intensywnie pracują nad spełnieniem wymogów NIS2 i polskiej ustawy. Tej świadomości nie ma natomiast wśród podmiotów mniejszych i ich poddostawców. Zapoznanie się z przepisami ustawy, rozstrzygnięcie czy podmiot podlega jej przepisom, rejestracja w systemie i audyt poddostawców to absolutne minimum, jakie powinna wykonać firma działająca w branży – dodaje Radosław Nożykowski, kierujący praktyką obronności oraz cyberbezpieczeństwa w Baker McKenzie w Warszawie.
Pierwszym krokiem, który powinny wykonać firmy to analiza, czy nowe obowiązki mają do nich zastosowanie, a zatem czy są tzw. podmiotem kluczowym albo ważnym. Następnie pojawia się konieczność zarejestrowania w publicznej bazie, czyli Systemie S46, do 3 października 2026 roku. Kolejnym krokiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji w firmach zgodnego z normami ISO 27001 lub równoważnego. Jeśli podmiot nie posiada dotychczas tego rodzaju systemu, powinien wziąć pod uwagę, że na wdrożenie go będzie miał zaledwie rok.
Kolejne istotne kwestie to precyzyjne obowiązki raportowania incydentów. Dla sektora OZE, a także BESS kluczowa natomiast jest lista dostawców wysokiego ryzyka, którą tworzył będzie minister cyfryzacji. Jeśli okaże się, że dany podmiot i jego produkty stwarzają zagrożenie dla bezpieczeństwa i w konsekwencji trafi on na listę dostawców wysokiego ryzyka, firmy w Polsce nie będą mogły podjąć z nimi współpracy. Natomiast przedsiębiorstwa posiadające już produkty od dostawcy, który trafił na listę, zostaną zobowiązane do wygaszenia tej współpracy, a także zmiany stosowanych rozwiązań.
Eksperci Baker McKenzie zwracają uwagę na surowość kar przewidzianych w nowych regulacjach. Mogą one dotyczyć zarówno firm, jak i członków zarządu i menedżerów odpowiedzialnych za bezpieczeństwo cyfrowe. Kary powiązane są z wysokością obrotu przedsiębiorstwa lub wynagrodzenia indywidualnego. W przypadku naruszenia przepisów powodujących poważne incydenty cyberbezpieczeństwa zagrażające obronności, zdrowiu publicznemu lub bezpieczeństwu publicznemu przewidziano maksymalną karę 100 mln złotych lub 2 proc. rocznego przychodu przedsiębiorstwa. Członkowie zarządu lub kierownicy jednostek, którzy dopuścili się rażącego zaniedbania w tym obszarze mogą zostać ukarani grzywną sięgającą 300 proc. ich rocznego wynagrodzenia.
WięcejSklep
Książka: Surfaktanty i ich zastosowanie w produktach kosmetycznych
95.00 zł
Książka: Atlas Mikrobiologii Kosmetyków
94.00 zł
Książka: Zagęstniki (modyfikatory reologii) w produktach kosmetycznych
78.00 zł
“Chemia i Biznes” nr 3/2026
30.00 zł
"Kosmetyki i Detergenty" nr 2/2026
30.00 zł
Emulsje i inne formy fizykochemiczne produktów kosmetycznych. Wprowadzenie do recepturowania
108.00 zł
WięcejNajnowsze
WięcejNajpopularniejsze
WięcejPolecane
WięcejSonda
Czy w Twojej firmie brakuje specjalistów z branży chemicznej (inżynierowie procesowi, chemicy, automatycy)?
WięcejW obiektywie
Druga edycja Międzynarodowej Konferencji Przemysłu Kosmetycznego potwierdziła potrzebę spotkań branży kosmetycznej
170 osób uczestniczyło w drugiej edycji Międzynarodowej Konferencji Przemysłu Kosmetycznego....
Jubileuszowa edycja Międzynarodowej Konferencji Przemysłu Detergentowego pełna nowości i inspiracji
175 osób uczestniczyło w 15. edycji Międzynarodowej Konferencji Przemysłu Detergentowego, która...
Plastpol w Kielcach miejscem prezentacji maszynowych nowości
15 tysięcy zwiedzających z Europy, Azji i Afryki, 660 wystawców z 36 krajów, setki pracujących...
Paryż stolicą przemysłu kosmetycznego
W Paris Expo Porte de Versailles odbyły się targi in-cosmetics Global 2026 – największe na świecie...