Od 3 kwietnia 2026 roku w Polsce zaczną obowiązywać przepisy wdrażające unijną dyrektywę NIS2, która wprowadza fundamentalne zmiany w podejściu do cyberbezpieczeństwa dla 18 kluczowych sektorów gospodarki. Choć firmy przygotowują się na nowe, rygorystyczne wymogi, na horyzoncie pojawiają się już dyskusje o kolejnym etapie regulacji, nieformalnie określanym jako „NIS3”.
Dyrektywa NIS2 stanowi odpowiedź Unii Europejskiej na rosnącą skalę i złożoność zagrożeń cyfrowych. W porównaniu do swojej poprzedniczki (NIS1), nowe przepisy znacząco podnoszą wspólny poziom ambicji w zakresie cyberbezpieczeństwa. Osiągnięte ma to być poprzez szerszy zakres regulacji, jaśniejsze zasady oraz silniejsze narzędzia nadzoru. Celem jest stworzenie jednolitych ram prawnych, które zapewnią wysoką odporność w 18 sektorach krytycznych, od energetyki i transportu po usługi cyfrowe i produkcję.
Przedsiębiorstwa objęte dyrektywą będą musiały dostosować się do szeregu nowych obowiązków, które wymuszają zmianę podejścia do zarządzania ryzykiem. Nie wystarczy już samo posiadanie działu IT – konieczne będzie wdrożenie kompleksowych systemów i procedur.
Najważniejsze nowe obowiązki obejmują:
Najważniejsza zmiana, jaką przynosi NIS2, ma charakter filozoficzny. Cyberbezpieczeństwo przestaje być postrzegane jako zagadnienie czysto techniczne, a staje się kluczowym elementem strategii biznesowej i odporności operacyjnej.
Rozwój przemysłu 4.0, cyfryzacji produkcji, inteligentnych sieci energetycznych oraz systemów opartych na wymianie danych sprawił, że cyberbezpieczeństwo zaczyna bezpośrednio wpływać na funkcjonowanie całych sektorów gospodarki.
W nowym podejściu regulatorów ochrona danych, choć wciąż istotna, ustępuje miejsca zapewnieniu ciągłości produkcji, bezpieczeństwu infrastruktury krytycznej oraz budowaniu odporności państw na zagrożenia cyfrowe. To strategiczne przesunięcie akcentów odzwierciedla rosnącą zależność współczesnej gospodarki od stabilnie działających systemów cyfrowych.
Mimo że dyrektywa NIS2 jest dopiero wdrażana, Komisja Europejska traktuje ją jako fundament pod budowę znacznie szerszego systemu cyberodporności. Na rynku coraz częściej pojawia się określenie „NIS3”, które, choć nie jest jeszcze formalnym terminem, opisuje kierunek dalszych działań regulacyjnych. Dotyczą one przede wszystkim obszarów, które wymagają jeszcze większej uwagi.
Dyskusje skupiają się wokół przyszłych inicjatyw legislacyjnych dotyczących między innymi bezpieczeństwa łańcuchów dostaw ICT, ochrony infrastruktury przemysłowej, odporności systemów energetycznych oraz zabezpieczenia strategicznych gałęzi gospodarki. To właśnie w tym kierunku zmierza europejska polityka cyberbezpieczeństwa. Należy jednak podkreślić, że na chwilę obecną, zgodnie z dostępnymi informacjami, nie ma żadnych konkretnych danych na temat oczekiwań wobec dyrektywy NIS3 w 2026 roku. Jest to na razie wizja dalszego rozwoju, a nie sfinalizowany projekt.
Po NIS2 nadchodzi nowa era cyberbezpieczeństwa. Dlaczego rynek mówi już o „NIS3”?, e-magazyny.pl, 2026. https://e-magazyny.pl/eksperckim-okiem/po-nis2-nadchodzi-nowa-era-cyberbezpieczenstwa-dlaczego-rynek-mowi-juz-o-nis3/
Dyrektywa NIS2, Komisja Europejska, https://digital-strategy.ec.europa.eu/pl/policies/nis2-directive
Dyrektywa NIS2 i nowa ustawa o cyberbezpieczeństwie, Deloitte, https://www.deloitte.com/pl/pl/services/consulting/services/dyrektywa-NIS2-i-nowa-ustawa-o-cyberbezpieczenstwie.html
Nowelizacja ustawy NIS2 – na co zwrócić uwagę?, redintogreen.pl, https://redintogreen.pl/nowelizacja-ustawy-nis2-na-co-zwrocic-uwage/
Nowe ramy prawne w zakresie cyberbezpieczeństwa, Sadkowski i Wspólnicy, https://sadkowskiiwspolnicy.pl/nowe-ramy-prawne-w-zakresie-cyberbezpieczenstwa/
