NIS2 wchodzi na produkcję. Nowe obowiązki związane z cyberbezpieczeństwem także dla przemysłu

Szymon Szurgacz

NIS2 w przemyśle. Cyberbezpieczeństwo to już nie tylko domena IT.

Od 3 kwietnia 2026 roku obowiązują nowe przepisy implementujące dyrektywę NIS2. Dla sektora produkcyjnego oznacza to przejście od dobrowolnych praktyk do surowych obowiązków regulacyjnych.

Kogo dotyczą zmiany? Nowe regulacje obejmują nie tylko infrastrukturę krytyczną, ale szeroki katalog tzw. podmiotów ważnych.

Jeśli Twoja firma:

• prowadzi działalność we wskazanych w przepisach sektorach (m.in. produkcja chemikaliów, żywności, wyrobów medycznych, elektroniki, maszyn czy pojazdów),
• spełnia co najmniej próg średniego przedsiębiorcy,

…to prawdopodobnie podlega pod nowe przepisy z mocy prawa.

Najważniejsze obowiązki i terminy:

• Samodzielna kwalifikacja: Nie czekaj na pismo z urzędu – obowiązek analizy statusu spoczywa na przedsiębiorcy.
• Wpis do wykazu: 6 miesięcy na złożenie wniosku od momentu spełnienia przesłanek.
• Wdrożenie systemu zarządzania: 12 miesięcy na dostosowanie procesów, w tym ochrony środowiska OT (automatyki przemysłowej) i łańcucha dostaw.
• Raportowanie incydentów: Bardzo krótkie terminy – pierwsze ostrzeżenie już w 24 godziny od wykrycia.
• Odpowiedzialność osobista zarządu to kluczowy element nowych przepisów.

Cyberbezpieczeństwo staje się zadaniem zarządczym. Za niedopełnienie obowiązków grożą nie tylko wysokie kary dla spółek (do 7 mln EUR lub 1,4% przychodu), ale także bezpośrednie kary finansowe dla kadry kierowniczej, sięgające do 300% ich wynagrodzenia.

W przemyśle cyberincydent to nie tylko niedziałający e-mail, to przede wszystkim ryzyko przestojów i zerwania ciągłości dostaw. Warto sprawdzić status swojej organizacji już teraz, by uniknąć ryzyka finansowego i operacyjnego.

Szersza analiza nowych obowiązków dostępna w artykule Szymon Szurgacz dla Rzeczpospolitej.