Dyrektywa NIS2 (Network and Information Security 2) to nowy akt prawny, który zastępuje wcześniejszą dyrektywę NIS1 z 2016 roku. Dyrektywa weszła w życie 16 stycznia 2023 r., a państwa członkowskie miały obowiązek wdrożyć ją do swojego prawa krajowego do 17 października 2024 r. Polska, podobnie jak Francja, Hiszpania, Holandia, Luksemburg, Bułgaria, do tej pory nie zakończyła prac. Aktualnie jednak krajowy proces legislacyjny jest na zaawansowanym poziomie.
Cel dyrektywy
Głównym zadaniem dyrektywy jest wzmocnienie ochrony przed zagrożeniami cyfrowymi w całej Unii Europejskiej. Wprowadza ona jednolite zasady cyberbezpieczeństwa w sektorach ważnych dla gospodarki i społeczeństwa, m.in. energetyki, transportu, zdrowia, infrastruktury cyfrowej, bankowości czy gospodarki morskiej. Regulacja nakłada na państwa członkowskie obowiązek przygotowania krajowych strategii cyberbezpieczeństwa, wzmacnia współpracę między krajami przy reagowaniu na poważne incydenty i daje organom nadzoru silniejsze narzędzia do kontroli i egzekwowania przepisów.
Jak wygląda wdrożenie Dyrektywy NIS2 w Polsce?
Implementacja dyrektywy NIS2 odbywa się u nas poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Dotychczasowe prace legislacyjne obejmowały dwa projekty ustawy. Jednak dopiero drugi złagodził najbardziej krytykowane rozwiązania, w tym m.in.:
- obowiązkowe stosowanie norm ISO, z którego zrezygnowano,
- terminy na przeprowadzenie pierwszego audytu, które wydłużono,
- wymogi dotyczące łańcucha dostaw do bezpośrednich dostawców.
Przyjęty przez rząd projekt noweli:
- rozszerza katalog podmiotów objętych obowiązkami,
- wprowadza nowe zespoły reagowania na incydenty (CSIRT sektorowe),
- wzmacnia uprawnienia organów nadzoru, takich jak minister cyfryzacji czy CSIRT GOV.
Podmioty objęte nowymi regulacjami będą musiały m.in. przeprowadzać analizy ryzyka, wdrażać środki bezpieczeństwa, szkolić pracowników i zgłaszać incydenty. Przewiduje się, że nowe przepisy wejdą w życie prawdopodobnie w połowie 2026 roku.
Branża morska – kto jest objęty?
Co ważne dla przedsiębiorców, regulacje NIS2 wprowadzają zróżnicowany model nadzoru. W jego ramach część organizacji będzie objęta szczególnie intensywnymi obowiązkami kontrolnymi. Dotyczy to tzw. podmiotów kluczowych, dla których ustawodawca przewidział dalej idący nadzór niż w przypadku pozostałych uczestników systemu. Jednak sektor transportu, w tym też morski, jest traktowany jako podmiot kluczowy ze względu na jego znaczącą rolę dla gospodarki i społeczeństwa. W praktyce regulacje NIS2 w pierwszej kolejności oddziałują na podmioty o większej skali działalności, które zapewniają ciągłość procesów transportowych i logistycznych. Są to głównie organizacje, które zatrudniają co najmniej kilkadziesiąt osób oraz osiągają istotne przychody roczne.
W branży morskiej dotyczy to przede wszystkim:
- armatorów transportu morskiego, śródlądowego i przybrzeżnego (pasażerskiego i towarowego),
- organów zarządzających portami,
- jednostek, które wykonują prace i operują sprzętem w portach,
- operatorów systemów ruchu statków.
Takie podmioty będą musiały wdrożyć pełne wymagania NIS2. Trzeba też podkreślić kryterium wielkości, choć nie zawsze ma ono charakter rozstrzygający. W określonych przypadkach o objęciu regulacją decyduje znaczenie danej działalności dla funkcjonowania państwa lub zapewnienia ciągłości usług.
Takie podejście zapewnia, że ochrona obejmuje całą krytyczną infrastrukturę morską, wrażliwą na cyberataki, które mogą sparaliżować handel i logistykę.
Obowiązki dla podmiotów morskich i znaczenie NIS2
Podmioty z branży morskiej będą musiały:
- regularnie oceniać ryzyka cybernetyczne dla systemów IT i OT (technologii operacyjnej, np. systemów sterowania w portach),
- wdrażać procedury reagowania na incydenty i zgłaszać poważne naruszenia,
- szkolić personel w zakresie zagrożeń cyfrowych,
- zapewnić bezpieczeństwo łańcucha dostaw (choć w polskim projekcie ograniczono to do bezpośrednich dostawców),
- współpracować z innymi podmiotami i organami w wymianie informacji o zagrożeniach.
Nowością jest wyraźne podkreślenie odpowiedzialności kadry kierowniczej za nadzór nad realizacją obowiązków z zakresu cyberbezpieczeństwa. Oznacza to, że kwestie te przestają być wyłącznie problemem działów IT, a stają się elementem odpowiedzialności zarządczej.
Wdrożenie NIS2 jest na pewno wyzwaniem, jeśli chodzi o koszty, bo wiąże się z inwestycjami w technologie, audyty i szkolenia. Daje jednak liczne korzyści i wzmocnienie odporności na incydenty, które w dłuższej perspektywie będzie minimalizować straty finansowe i ryzyko utraty ważnych danych. Wzmacnia też współpracę międzynarodową i ulepsza wymianę informacji o zagrożeniach.
Również z perspektywy wizerunkowej regulacje mogą wpływać na konkurencyjność i szanse rozwoju. Firmy, które spełniają wysokie standardy cyberbezpieczeństwa zyskują zaufanie partnerów globalnych, a modernizacja systemów IT/OT może przynieść efektywność operacyjną (np. w offshore wind czy logistyce).
Znaczenie ISPS Code
Międzynarodowy Kodeks ISPS powstał jako odpowiedź na globalne zagrożenia bezpieczeństwa, które ujawniły się na początku XXI wieku i doprowadził do wzmocnienia ochrony infrastruktury portowej i żeglugowej. Regulacje ISPS koncentrują się przede wszystkim na systemowym podejściu do ochrony portów i statków, obejmując zarówno analizę zagrożeń, jak i organizację procedur ochronnych oraz przygotowanie personelu do reagowania na incydenty. Dyrektywa NIS2 rozszerza to podejście o obszar cyberbezpieczeństwa, kładąc nacisk na odporność systemów informacyjnych i technologicznych na coraz bardziej zaawansowane zagrożenia cyfrowe.
Zintegrowanie wymagań NIS2 z istniejącymi mechanizmami ISPS pozwala portom i operatorom morskim budować spójny system zarządzania bezpieczeństwem, w którym ryzyka fizyczne i cyfrowe są analizowane łącznie, a reakcja na incydenty jest skoordynowana.
Dla polskich portów to okazja do modernizacji systemów ochrony. Połączenie nowych procedur z dyrektywy z już istniejącymi planami bezpieczeństwa opartymi na ISPS Code pomoże uniknąć powtarzania tych samych działań i stworzyć jeden, spójny system zarządzania ryzykiem – zarówno cyfrowym, jak i fizycznym.
Aktualny stan w sektorze morskim
Według stanu na grudzień 2025 r. polskie prawo krajowe implementujące NIS2 nie weszło jeszcze w życie, a prace legislacyjne są w końcowej fazie. Oznacza to, że podmioty z branży morskiej nie mają jeszcze formalnych obowiązków wynikających z nowej ustawy.
Jednak wielu operatorów portów i armatorów już dobrowolnie przygotowuje się do ich wdrożenia, w tym modernizuje infrastrukturę IT, integruje procedury NIS2 z istniejącymi planami bezpieczeństwa ISPS i inwestuje w szkolenia.
Branża morska stoi przed ważnymi zmianami, ale pełne obowiązki zaczną obowiązywać dopiero po uchwaleniu i wejściu w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – najprawdopodobniej w pierwszej połowie 2026 r.
Dyrektywa NIS2 to ważny krok w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej. Dla portów morskich i podmiotów sektora morskiego oznacza nie tylko nowe obowiązki regulacyjne, ale przede wszystkim szansę na zwiększenie odporności operacyjnej i konkurencyjności.
aplikant radcowski
Specjalista szeroko pojętego tematu nabywania i eksploatacji jachtów. Obsługuje również przedsiębiorców polskich i zagranicznych, głównie z branży przemysłu jachtowego. Czytaj więcej
Potrzebujesz
wsparcia
w tym temacie?
Skorzystaj z naszego doświadczenia.
Skontaktuj się z nami.
Pozostałe publikacje
Sąd orzekł zakaz prowadzenia pojazdów mechanicznych? Sprawdź, co wolno Ci na wodzie.
Publikacje / 7 stycznia 2026 / Jachting
Prawo offshore wind – zarys zmian legislacyjnych na koniec 2025
Publikacje / 4 grudnia 2025 / Offshore Wind
Cyberbezpieczeństwo na jachcie – zagrożenia i wytyczne
Publikacje / 27 listopada 2025 / Jachting
Zgłaszanie Roszczeń w gospodarce morskiej według Czerwonej Księgi FIDIC
Publikacje / 20 listopada 2025 / Gospodarka morska