Przejdź do treści
HWW Hewelt Wojnowski Lindner i Wspólnicy
Energetyczne 19 maja 2026 ok. 6 min czytania

Dyrektywa NIS2 w energetyce, jakie obowiązki cyberbezpieczeństwa czekają firmy z sektora?

Agata Bączkowska Autor Agata Bączkowska Adwokat, Senior Associate
Dyrektywa NIS2 w energetyce, jakie obowiązki cyberbezpieczeństwa czekają firmy z sektora?

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, implementująca unijną dyrektywę NIS2. Dla firm z sektora energetycznego oznacza to nie tylko rozszerzenie katalogu podmiotów objętych regulacją, ale fundamentalne przesunięcie odpowiedzialności za cyberbezpieczeństwo, z poziomu działu IT na poziom zarządu. Kogo dotyczą nowe przepisy, jakie nakładają obowiązki i w jakich terminach należy je wdrożyć?

Energetyka w systemie KSC, co obowiązywało dotychczas

Sektor energetyczny nie trafia do krajowego systemu cyberbezpieczeństwa po raz pierwszy. Obowiązująca od 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), implementująca pierwszą dyrektywę NIS z 2016 r., od samego początku obejmowała energetykę jako sektor kluczowy.

Dotychczasowy model opierał się jednak na selektywnym mechanizmie kwalifikacji, uzyskanie statusu operatora usługi kluczowej wymagało wieloetapowej procedury administracyjnej, a usługa musiała przekraczać określone progi istotności skutku zakłócającego (np. dla dystrybucji energii elektrycznej, obsługa co najmniej 500 tys. odbiorców rocznie). W praktyce regulacja obejmowała wyłącznie podmioty o dużej skali, pozostawiając poza swoim zakresem wielu uczestników rynku, których rola z perspektywy cyberbezpieczeństwa rosła z roku na rok.

Nowy model kwalifikacji, kto podlega nowelizacji KSC

Nowelizacja UKSC zasadniczo zmienia logikę kwalifikacji. Dotychczasowa decyzja administracyjna ustępuje miejscu kwalifikacji z mocy prawa, opartej na tzw. regule wielkości (size-cap rule).

Podmiotem kluczowym staje się z mocy prawa przedsiębiorstwo przekraczające próg średniego przedsiębiorcy (co najmniej 250 pracowników lub obrót powyżej 50 mln EUR), prowadzące działalność wskazaną w Załączniku nr 1 do znowelizowanej ustawy. Podmiotem ważnym, podmiot spełniający kryteria średniego przedsiębiorcy (co najmniej 50 pracowników, obrót do 50 mln EUR).

Co istotne z perspektywy sektora energetycznego, Załącznik nr 1 znacząco rozszerza katalog objętych regulacją rodzajów działalności. W podsektorze energii elektrycznej, obok przedsiębiorstw posiadających koncesje na wytwarzanie, przesyłanie, dystrybucję lub obrót energią, dodano m.in. wyznaczonych operatorów rynku energii elektrycznej (NEMO), uczestników rynku świadczących usługi agregacji i odpowiedzi odbioru oraz przedsiębiorców zarządzających punktami ładowania pojazdów elektrycznych.

Regulacją objęto również podmioty z podsektora gazu prowadzące działalność w zakresie rafinacji i przetwarzania gazu ziemnego. Całkowicie nowe są dwa podsektory: energetyka jądrowa oraz wodór (przesyłanie, magazynowanie, wytwarzanie i dystrybucja).

Przepisy przejściowe zapewniają ciągłość regulacyjną, dotychczasowi operatorzy usług kluczowych z dniem wejścia w życie nowelizacji stali się z mocy prawa podmiotami kluczowymi.

Cztery filary nowych obowiązków

Nowelizacja porządkuje wymagania stawiane podmiotom kluczowym i ważnym w czterech podstawowych obszarach.

  1. Zarządzanie ryzykiem i SZBI

Każdy podmiot kluczowy i ważny jest zobowiązany wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) obejmujący m.in. szacowanie ryzyka, dobór proporcjonalnych środków technicznych i organizacyjnych, bezpieczeństwo łańcucha dostaw i systemów, kontrolę dostępu, kryptografię, ciągłość działania oraz edukację personelu.

  1. Odpowiedzialność kierownictwa

Nowelizacja wprost przenosi odpowiedzialność za cyberbezpieczeństwo na poziom zarządu. Kierownik podmiotu jest zobowiązany do podejmowania decyzji dotyczących wdrażania i nadzoru nad SZBI, zapewnienia środków finansowych oraz do corocznego uczestnictwa w szkoleniach z zakresu cyberbezpieczeństwa. Delegowanie zadań na dział IT nie zwalnia kierownika z odpowiedzialności.

  1. Raportowanie incydentów

Ustawa wprowadza wieloetapowy schemat zgłaszania incydentów poważnych do właściwego CSIRT: wczesne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu miesiąca. W praktyce oznacza to konieczność zapewnienia całodobowego monitoringu, własnego lub zewnętrznego Security Operations Center (SOC).

  1. Bezpieczeństwo łańcucha dostaw

Podmioty objęte regulacją muszą uwzględniać ryzyka wynikające z relacji z dostawcami produktów i usług ICT. Dla sektora energetycznego wymóg ten ma szczególne znaczenie, dotyczy także dostawców systemów sterowania przemysłowego (SCADA/OT), których kompromitacja może bezpośrednio zagrozić ciągłości dostaw energii.

SANKCJE, NOWA SKALA RYZYKA REGULACYJNEGO

System sankcji wprowadzony nowelizacją stanowi jakościową zmianę w porównaniu z dotychczasowym modelem. Kary administracyjne dla podmiotów kluczowych mogą wynieść do 10 mln EUR lub 2% rocznego obrotu (stosuje się kwotę wyższą, minimum 20 000 zł), a dla podmiotów ważnych, do 7 mln EUR lub 1,4% obrotu (minimum 15 000 zł). W przypadku naruszeń zagrażających bezpieczeństwu państwa górna granica sięga 100 mln zł.

Częstym błędem jest przeoczenie wymiaru odpowiedzialności osobistej, kierownik podmiotu podlega karze do 300% miesięcznego wynagrodzenia, a ustawa przewiduje także możliwość tymczasowego zakazu pełnienia funkcji kierowniczych.

Warto odnotować, że kary pieniężne będą mogły być nakładane dopiero od 3 kwietnia 2028 r. Nie oznacza to jednak okresu „bezkarności”, obowiązek samoidentyfikacji, rejestracji oraz osobista odpowiedzialność zarządu obowiązują od dnia wejścia ustawy w życie.

Harmonogram wdrożenia, co zrobić i kiedy

Przepisy przejściowe przewidują stopniowe wchodzenie obowiązków w życie:

  1. Do 3 października 2026 r., samoidentyfikacja i rejestracja w Wykazie Krajowego Systemu Cyberbezpieczeństwa (od 7 maja 2026 r. dostępna jest aplikacja umożliwiająca wpis przez system S46).
  2. Do 3 kwietnia 2027 r., pełne wdrożenie SZBI oraz dostosowanie trybu raportowania incydentów.
  3. Do 3 kwietnia 2028 r., przeprowadzenie pierwszego obowiązkowego audytu bezpieczeństwa (dla podmiotów kluczowych audyt wymagany co najmniej raz na 3 lata).

Dla przedsiębiorcy z sektora energetycznego punktem wyjścia powinna być analiza luk między aktualnym stanem zabezpieczeń a wymaganiami ustawy, ze szczególnym uwzględnieniem bezpieczeństwa łańcucha dostaw ICT/OT oraz dokumentacji SZBI. Zarząd powinien formalnie zatwierdzić harmonogram wdrożenia i zapewnić odpowiedni budżet

Nowelizacja UKSC to dla sektora energetycznego zmiana o charakterze systemowym, cyberbezpieczeństwo przestaje być domeną wyłącznie techniczną i staje się elementem ładu korporacyjnego, za który zarząd odpowiada osobiście. Firmy energetyczne, które potraktują wdrożenie nowych wymogów jako projekt wyłącznie IT-owy, narażają się na dotkliwe sankcje finansowe i osobistą odpowiedzialność osób zarządzających. Biorąc pod uwagę ściśle określone terminy, działania wdrożeniowe warto rozpocząć niezwłocznie.

Najczęściej zadawane pytania

Czy nowe przepisy dotyczą wszystkich firm z branży energetycznej?

Regulacje obejmują zarówno duże przedsiębiorstwa, jak i te średniej wielkości, które prowadzą działalność w sektorze energetycznym. Podmioty kluczowe to firmy z ponad 250 pracownikami lub obrotem powyżej 50 mln euro, a ważne to te z co najmniej 50 pracownikami i obrotem do 50 mln euro. Do podmiotów objętych regulacją zaliczają się również operatorzy rynku energii, agregatorzy oraz firmy zarządzające stacjami ładowania pojazdów elektrycznych.

Czy kierownik firmy może delegować odpowiedzialność za cyberbezpieczeństwo na dział IT?

Nie, nowelizacja przenosi odpowiedzialność bezpośrednio na poziom zarządu, co oznacza, że kierownik ponosi osobistą odpowiedzialność za wdrożenie systemu zarządzania bezpieczeństwem informacji. Delegowanie zadań na dział IT nie zwalnia kierownika z odpowiedzialności, a kierownik musi zapewnić środki finansowe i uczestniczyć w corocznych szkoleniach. W przypadku naruszeń grożą mu kary osobiste w wysokości do 300% miesięcznego wynagrodzenia.

W jakim terminie należy zgłosić poważny incydent cyberbezpieczeństwa?

Ustawa wprowadza wieloetapowy schemat raportowania, który wymaga przesłania wczesnego ostrzeżenia do właściwego CSIRT w ciągu 24 godzin od wykrycia incydentu. Pełne zgłoszenie należy dostarczyć w ciągu 72 godzin, a sprawozdanie końcowe musi być przygotowane w ciągu miesiąca. Realizacja tych terminów wymaga zapewnienia całodobowego monitoringu, który może być realizowany we własnym zakresie lub przez zewnętrzne centrum operacji bezpieczeństwa.

Jakie są terminy wdrożenia nowych obowiązków dla firm energetycznych?

Pierwszym krokiem jest samoidentyfikacja i rejestracja w Wykazie Krajowego Systemu Cyberbezpieczeństwa, co należy zrobić do 3 października 2026 roku. Pełne wdrożenie systemu zarządzania bezpieczeństwem informacji oraz dostosowanie procedur raportowania incydentów musi nastąpić do 3 kwietnia 2027 roku. Pierwszy obowiązkowy audyt bezpieczeństwa dla podmiotów kluczowych powinien być przeprowadzony do 3 kwietnia 2028 roku.

Jakie sankcje grożą za niewdrożenie wymogów dyrektywy NIS2?

Kary administracyjne dla podmiotów kluczowych mogą wynieść do 10 mln euro lub 2% rocznego obrotu, a dla podmiotów ważnych do 7 mln euro lub 1,4% obrotu. W sytuacjach zagrażających bezpieczeństwu państwa górna granica kary sięga 100 mln złotych. Kary pieniężne będą nakładane dopiero od 3 kwietnia 2028 roku, jednak obowiązki prawne i odpowiedzialność osobista zarządu obowiązują od dnia wejścia nowelizacji w życie.

Od czego zacząć

Masz sprawę z prawa energetycznego lub OZE?

Od tego pytania zaczyna się większość rozmów z prawnikiem. Konsultacja jest płatna, 600 zł netto. Płacisz za realną poradę: powiemy, czy masz problem prawny, co da się z nim zrobić i ile to mniej więcej kosztuje. Na nic dalej Cię to nie wiąże, a przepisy zostaw nam, od tego jesteśmy.

  1. 1
    Rozmowa

    Mówisz, co się dzieje, własnymi słowami.

  2. 2
    Co dalej

    Powiemy, jakie masz wyjścia i ile to kosztuje.

  3. 3
    Działamy

    Dajesz zielone światło i sprawa jest nasza.

Agata Bączkowska
Autor
Agata Bączkowska
Adwokat, Senior Associate
Prawo korporacyjne i gospodarcze · Fuzje i przejęcia (M&A) · Doradztwo ESG

Specjalizuje się w prawie handlowym i cywilnym. Doświadczenie zdobywała w warszawskich kancelariach zajmujących się w kompleksową obsługą spółek oraz kancelarii specjalizującej się w prawie pracy. Posiada szerokie doświadczenie w zakresie doradztwa korporacyjnego. Uczestniczyła w procesach fuzji i przejęć na każdym ich etapie, od badania prawnego poprzedzającego transakcję po wypełnienie wymogów regulacyjnych związanych z procesem transformacyjnym. Przygotowuje oraz opiniuje umowy zawierane przez klientów oraz…

Zobacz profil →
Miesięczny Legal Check

Nie przegap kolejnej analizy

Co miesiąc najważniejsze nowelizacje i ich praktyczne skutki dla biznesu, zebrane i zinterpretowane przez prawników HWW.

Powiązane publikacje

Energetyczne 18 czerwca 2026

Czerwcowy numer newslettera jest już dostępny

W czerwcowym wydaniu przeczytają Państwo m.in. o: W czerwcowym wydaniu przeczytają Państwo m.in. o: projektowanych zmianach w Prawie energetycznym, które zobowiążą sprzedawców energii, gazu i ciepła …

KH
Kancelaria HWW
1 min czytania

Umów konsultację

Umów konsultację z prawnikiem naszej kancelarii.

Umów konsultację