TL;DR:
- Dyrektywa NIS 2 (EU 2022/2555) obowiązuje w Polsce od 3 kwietnia 2026 r. na mocy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) i dotyczy ok. 10 000 firm z 18 sektorów krytycznych.
- Łańcuch dostaw ICT: zgodnie z art. 21 §2 lit. d każda zewnętrzna platforma komunikacyjna (e-mail, SMS, push, API) jest dostawcą ICT i podlega obowiązkowemu audytowi.
- Co sprawdza audytor u dostawcy: certyfikaty ISO 27001/SOC2, uwierzytelnianie e-mail (DKIM, DMARC, SPF), szyfrowanie danych, lokalizacja serwerów w EOG, procedury incydentowe (24h/72h), SLA ciągłości działania.
- Kary: do 10 mln EUR lub 2% globalnego obrotu (podmioty kluczowe); do 7 mln EUR lub 1,4% (podmioty ważne); polska ustawa o KSC – do 100 mln zł i osobista odpowiedzialność zarządu.
- Terminy: samoidentyfikacja i rejestracja – październik 2026 | pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji – 2 kwietnia 2027.
Dyrektywa NIS 2 (Dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555) to unijne prawo o cyberbezpieczeństwie, które obowiązuje w Polsce od 3 kwietnia 2026 roku na mocy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).
Dotyczy firm z 18 sektorów krytycznych – od energetyki i finansów po logistykę i usługi cyfrowe – i nakłada na nie obowiązek zarządzania ryzykiem w całym łańcuchu dostaw ICT. Kanały komunikacyjne, takie jak e-mail, SMS czy push, są częścią tego łańcucha i podlegają ocenie podczas audytu.
W artykule znajdziesz odpowiedź na to, które firmy podlegają regulacji, co konkretnie wynika z art. 21 dla infrastruktury komunikacyjnej, jaką dokumentację zebrać od dostawcy przed pierwszym audytem, oraz jak MessageFlow spełnia te wymagania.
Czym jest dyrektywa NIS 2 – i dlaczego to nie tylko problem działu IT
Kiedy i kogo dotyczy?
Dyrektywa NIS 2 zastąpiła NIS 1 z 2016 roku i weszła w życie w całej Unii Europejskiej w styczniu 2023 roku. Polska implementuje ją przez nowelizację ustawy o KSC – UKSC, obowiązującą od 3 kwietnia 2026 r. Pełny tekst dyrektywy dostępny na EUR-Lex, a oficjalny poradnik dla polskich firm – na biznes.gov.pl.
Kluczowe terminy dla polskich firm:
- 3 kwietnia 2026 – nowelizacja UKSC weszła w życie
- październik 2026 – termin samoidentyfikacji i rejestracji jako podmiot kluczowy lub ważny
- 2 kwietnia 2027 – pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)
Zanim jednak przejdziemy do tego, co regulacja wymaga, najpierw pytanie podstawowe: czy Twoja firma w ogóle podlega NIS2?

Podmioty kluczowe i ważne – progi i sektory
Regulacja dzieli podmioty na dwie kategorie. Podmioty kluczowe to firmy z sektorów: energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna i sektor kosmiczny.
Podmioty ważne obejmują usługi pocztowe, produkcję, gospodarkę odpadami, żywność, chemię i usługi cyfrowe B2B. Próg wejścia to co najmniej 50 pracowników i roczny obrót lub suma bilansowa powyżej 10 mln EUR – choć w określonych przypadkach, takich jak zarządzanie infrastrukturą krytyczną, NIS2 stosuje się bez względu na wielkość firmy.
Według danych Ministerstwa Cyfryzacji cytowanych przez Rzeczpospolitą w marcu 2026 roku, polskie przepisy obejmą około 10 000 firm. To liczba znacząca – a mimo to aż 36% ekspertów ds. cyberbezpieczeństwa przyznaje, że nie wie, czy ich organizacja w ogóle podlega regulacji (raport DAGMA Bezpieczeństwo IT i ESET „Cyberportret polskiego biznesu 2025″).
Jeśli masz wątpliwości, czy Twoja firma podlega NIS 2 – lepiej sprawdzić to teraz niż dowiedzieć się podczas audytu.
Odpowiedzialność zarządu i kontekst rynkowy
NIS2 zmienia nie tylko procesy – zmienia też to, kto za nie odpowiada. Polska ustawa o KSC przewiduje kary do 100 mln zł oraz osobistą odpowiedzialność kierownictwa w przypadku zaniedbań – wskazuje EY Polska. Cyberbezpieczeństwo przestaje być wyłącznie zadaniem działu IT i staje się kwestią na poziomie całego zarządu.
Rynek to już wyczuł. Według raportu PMR Market Experts (luty 2026) polski rynek cyberbezpieczeństwa wzrósł o około 25% rok do roku, osiągając wartość 3,5 mld zł w 2025 r. Z raportu Xopero Software „Cyberbezpieczeństwo – Trendy 2026″ wynika, że 85% ekspertów przewiduje, iż tempo cyberataków wyprzedzi możliwości obronne firm w najbliższych latach – a zaledwie 29% firm deklaruje dziś wysoką cyberodporność. NIS2 jest jednym z kluczowych motorów tych inwestycji, ale sama regulacja nie zastąpi realnej gotowości.
Co NIS 2 mówi o infrastrukturze komunikacyjnej B2B?
Art. 21 dyrektywy NIS2 to rdzeń praktycznych obowiązków – określa minimalne wymagania techniczne i organizacyjne dla każdego objętego podmiotu. Spośród dziesięciu wymienionych tam obszarów sześć bezpośrednio dotyka zarządzania infrastrukturą komunikacyjną:
- Analiza ryzyka i polityki bezpieczeństwa systemów informatycznych – udokumentowana metodyka oceny zagrożeń dla wszystkich systemów ICT, w tym kanałów komunikacyjnych e-mail, SMS i API.
- Obsługa incydentów i raportowanie – procedury wykrywania, klasyfikacji i zgłaszania incydentów. Wymagane terminy: wstępny raport w ciągu 24 godzin, szczegółowy w ciągu 72 godzin od wykrycia.
- Ciągłość działania (BCP, DRP, backup) – plany utrzymania operacyjności w razie awarii, w tym w przypadku przerwy w dostępie do platform komunikacyjnych.
- Bezpieczeństwo łańcucha dostaw i dostawców – obowiązek oceny ryzyka każdego dostawcy usług ICT, z którym firma bezpośrednio współpracuje. Platforma komunikacyjna to dostawca ICT.
- Kryptografia i kontrola dostępu (MFA) – szyfrowanie danych w tranzycie i spoczynku, uwierzytelnianie wieloskładnikowe na wszystkich kontach z dostępem do systemów komunikacyjnych.
- Cyberhigiena i szkolenia – regularne szkolenia pracowników, zarządzanie podatnościami i podstawowe praktyki bezpieczeństwa cyfrowego.
Punkt czwarty ma dla firm korzystających z zewnętrznych platform komunikacyjnych szczególne znaczenie – i właśnie jemu poświęcamy resztę tej sekcji.

Kanały komunikacyjne jako część łańcucha dostaw ICT
Zgodnie z art. 21 §2 lit. d, objęte podmioty muszą zarządzać ryzykiem w całym łańcuchu dostaw usług ICT. Platforma e-mail, SMS, push czy API spełnia definicję dostawcy usług ICT – i jako taka podlega obowiązkowej weryfikacji przed każdym audytem. Innymi słowy: bezpieczeństwo Twojej komunikacji B2B to nie tylko kwestia Twojej infrastruktury, ale też infrastruktury dostawcy, którego używasz.
Co konkretnie sprawdza audytor NIS2 u dostawcy komunikacji (zgodnie z wytycznymi ENISA – w Polsce organem nadzoru jest CSIRT NASK):
- Certyfikaty – czy dostawca posiada ISO 27001 i/lub SOC2?
- Polityki incydentowe – czy dostawca jest w stanie poinformować Cię o incydencie w ciągu 24/72 godzin, co pozwoli Ci wypełnić własne obowiązki raportowe?
- Szyfrowanie – czy dane są szyfrowane zarówno w tranzycie, jak i spoczynku?
- Uwierzytelnianie nadawców e-mail – czy platforma obsługuje DKIM, DMARC i SPF?
- MFA i zarządzanie dostępem do kont API – czy dostęp do interfejsów programistycznych jest zabezpieczony uwierzytelnianiem wieloskładnikowym?
- Lokalizacja serwerów – czy dane są przetwarzane wyłącznie na serwerach w EOG, zgodnie z wymogami RODO?
- Redundancja i SLA ciągłości działania – jakie konkretne gwarancje dostępności usługi oferuje dostawca?
- Możliwość audytu – czy dostawca może wypełnić kwestionariusz bezpieczeństwa lub wesprzeć Twój audyt?

NIS2 idzie jednak dalej niż tylko weryfikacja łańcucha dostaw. Art. 21 §2 lit. j wymaga wprost polityk i procedur dotyczących stosowania kryptografii i szyfrowania. Poradnik Przedsiębiorcy (kwiecień 2026) wskazuje, że tradycyjna telefonia i nieszyfrowane komunikatory nie spełniają tych wymagań. Wybór platformy komunikacyjnej przestaje być decyzją wyłącznie operacyjną – staje się decyzją strategiczną.
Ważne: NIS2 nie wskazuje wprost, że DMARC jest obowiązkowy. Artykuł 21 nakłada wymóg zarządzania ryzykiem komunikacji. Standardy takie jak DKIM, DMARC i SPF są przez ekspertów wskazywane jako spełniające wymagania z art. 21 – w kwestii szczegółowych wymogów dla Twojej organizacji skonsultuj się z prawnikiem.
Jak NIS 2 wpływa na komunikację B2B – 3 scenariusze dla polskich firm
Scenariusz 1 – Firma z sektora finansowego (podmiot kluczowy)
Bank lub instytucja płatnicza podlega NIS2 bezpośrednio. Platforma komunikacyjna, przez którą wysyłane są kody OTP, powiadomienia transakcyjne czy alerty bezpieczeństwa, musi przed audytem dostarczyć pełną dokumentację: certyfikaty ISO 27001/SOC2, procedury BCP/DRP, politykę incydentową i potwierdzenie przetwarzania danych w EOG.
Brak któregokolwiek z tych dokumentów to realne ryzyko kary – dla podmiotów kluczowych do 10 mln EUR lub 2% globalnego obrotu.
Dodatkowy kontekst dla sektora finansowego: NIS2 działa tu równolegle z rozporządzeniem DORA (Digital Operational Resilience Act), obowiązującym od stycznia 2025 roku. Podwójna presja regulacyjna oznacza, że weryfikacja dostawców ICT – w tym platform komunikacyjnych – stała się dla banków kwestią nie opcjonalną, ale obowiązkową na dwóch frontach jednocześnie.
Scenariusz 2 – Firma logistyczna lub produkcyjna (podmiot ważny)
Firma logistyczna lub producent może nie podlegać NIS2 bezpośrednio – ale jej klienci z sektora finansowego, zdrowotnego czy energetycznego niemal na pewno tak. Ponieważ podmioty kluczowe muszą weryfikować cały łańcuch dostaw, wymagania NIS2 spłyną drogą kontraktową – przez klauzule bezpieczeństwa w umowach. Innymi słowy: rynek wymusi compliance, zanim zrobi to regulator.
W praktyce: kwestionariusze bezpieczeństwa, audyty dostawców i wymagania certyfikacyjne przyjdą od klientów jeszcze przed formalnym obowiązkiem. Firmy z gotową dokumentacją zyskują przewagę przetargową – szczególnie w przetargach dla podmiotów regulowanych.
Scenariusz 3 – Platforma SaaS lub dostawca usług cyfrowych
Platforma SaaS oferująca usługi B2B może sama być podmiotem kluczowym lub ważnym – zarządzanie usługami ICT dla biznesu to jeden z sektorów wymienionych w dyrektywie.
E-mail transakcyjny przez API jest tu krytyczną usługą operacyjną, od powiadomień o płatnościach, przez alerty systemowe, po komunikaty onboardingowe. Przerwa w ich dostarczaniu to nie tylko ryzyko naruszenia SLA – to potencjalna odpowiedzialność regulacyjna.
Platforma komunikacyjna, która nie spełnia wymagań NIS2, staje się w tej sytuacji źródłem ryzyka dla całego łańcucha dostaw.

Checklista NIS 2 dla infrastruktury komunikacyjnej – co sprawdzić przed audytem
Poniższa tabela zestawia wymagania wewnętrzne Twojej organizacji z pytaniami, które powinieneś zadać dostawcy platformy komunikacyjnej (w chwili publikacji; skonsultuj aktualne wymagania z prawnikiem). Użyj jej jako punktu wyjścia do rozmowy – i jako argumentu wewnętrznego, jeśli compliance jeszcze nie jest priorytetem w Twojej firmie.
| Co Twoja firma powinna wdrożyć wewnętrznie | Czego wymagać od dostawcy komunikacji B2B |
|---|---|
| ☐ Polityka zarządzania ryzykiem ICT (udokumentowana) | ☐ Certyfikaty ISO 27001 / SOC2 |
| ☐ Procedura raportowania incydentów (24h/72h) | ☐ Lokalizacja danych wyłącznie na serwerach w EOG |
| ☐ MFA na wszystkich kontach z dostępem do systemów komunikacyjnych | ☐ Raport z ostatniego audytu bezpieczeństwa lub pentestu |
| ☐ Rejestr dostawców ICT z oceną ryzyka | ☐ Procedury reagowania na incydenty po stronie dostawcy |
| ☐ Klauzule bezpieczeństwa w umowach z dostawcami (NIS2/UKSC-aligned) | ☐ Dokumentacja DKIM/DMARC/SPF (dla kanału e-mail) |
| ☐ BCP/DRP z uwzględnieniem przerwy w wysyłce komunikatów | ☐ Polityka SLA dla ciągłości dostarczania |
| ☐ Możliwość audytu / wypełniania kwestionariuszy security |
Według raportu PMR Market Experts na zlecenie EXEA Data Center (luty 2026) 91% firm planuje wydatki na bezpieczeństwo IT w związku z NIS2, a 81% zadeklarowało zwiększenie budżetów w ciągu najbliższych dwóch lat – mimo że 58% obawia się wzrostu kosztów operacyjnych. To zrozumiałe. Komisja Europejska szacuje, że organizacje nowo objęte regulacją zwiększą wydatki na cyberbezpieczeństwo o maksymalnie 22% w pierwszych latach wdrożenia. Dla firm, które już podlegały NIS1, wzrost ten wyniesie około 12%.
Żeby ta inwestycja miała sens, weryfikacja dostawcy musi być konkretna. Kilka wskazówek, na co zwrócić uwagę:
- Certyfikat ISO 27001 – sprawdź datę ważności i zakres. Certyfikat powinien obejmować dokładnie te usługi, z których korzystasz, nie tylko część działalności dostawcy.
- Lokalizacja danych – dostawca powinien podać konkretne kraje lub regiony EOG, nie ogólne zapewnienia w stylu „dane są bezpieczne”.
- Procedura incydentowa – zapytaj, w jakim czasie dostawca poinformuje Cię o incydencie. Masz 24 godziny na wstępny raport do organu nadzoru.
- DPA – Umowa Powierzenia Przetwarzania Danych powinna być podpisana przed audytem.
- SLA – niski poziom dostarczalności lub brak gwarancji dostępności to sygnał ostrzegawczy. Ciągłość działania to jeden z filarów art. 21.
MessageFlow a NIS 2: co zapewnia nasza infrastruktura komunikacyjna
Kiedy Twój audytor zapyta o dostawcę platformy komunikacyjnej, potrzebujesz dokumentacji – nie zapewnień. MessageFlow jest certyfikowanym dostawcą ICT gotowym na wymagania art. 21 §2 lit. d:
- ISO 27001 i SOC2 – regularne audyty bezpieczeństwa przeprowadzane przez niezależne podmioty certyfikujące zgodnie z uznanymi standardami międzynarodowymi.
- Szyfrowanie end-to-end – dane szyfrowane w tranzycie i spoczynku; przetwarzane wyłącznie na serwerach zlokalizowanych w Europejskim Obszarze Gospodarczym.
- DKIM, DMARC, SPF oraz autorska tarcza antyphishingowa 360° – standardy uwierzytelniania e-mail spełniające wymagania zarządzania ryzykiem komunikacji z art. 21 NIS2.
- 2FA i autoryzacja IP – uwierzytelnianie dwuetapowe oraz ograniczenia dostępu do kont API według adresów IP.
- BCP/DRP/BIA regularnie testowane – plany ciągłości działania i odtwarzania po awarii weryfikowane cyklicznie.
- ~99% dostarczalność i SLA ciągłości działania – gwarantowana dostępność krytycznych kanałów komunikacyjnych dla Twoich operacji.
- RODO compliance + DPA – Umowa Powierzenia Przetwarzania Danych dostępna dla każdego klienta, spójna z wymogami GDPR i UKSC.
- Trust Center – pełna dokumentacja bezpieczeństwa dostępna na docs.messageflow.com dla zespołów compliance i CISO.

Podsumowanie: co musisz zrobić teraz
Większość firm odkrywa luki w zgodności z NIS2 dopiero wtedy, gdy audytor już siedzi naprzeciwko. To nie jest dobry moment na szukanie dokumentacji od dostawców.
Trzy kroki, które powinieneś podjąć już teraz:
- Zidentyfikuj status swojego podmiotu – sprawdź, czy Twoja firma kwalifikuje się jako kluczowa lub ważna zgodnie z kryterium sektorowym i progiem wielkości. Termin samoidentyfikacji i rejestracji: październik 2026.
- Przeprowadź inwentaryzację dostawców ICT – uwzględnij w niej wszystkie platformy komunikacyjne (e-mail, SMS, push, API). To one będą weryfikowane jako część łańcucha dostaw w myśl art. 21 §2 lit. d.
- Wymagaj dokumentacji bezpieczeństwa od dostawców – certyfikaty ISO 27001/SOC2, polityki incydentowe, potwierdzenie lokalizacji danych w EOG, dokumentacja DKIM/DMARC/SPF. Pełne wdrożenie SZBI do 2 kwietnia 2027.
Firmy, które zaczną wcześniej, wejdą w audyt z gotową dokumentacją. Te, które zaczekają – z problemem.
💡 Jeśli Twój zespół compliance lub CISO potrzebuje dokumentacji do audytu – dostarczymy ją. Sprawdź stronę bezpieczeństwa MessageFlow.
Artykuł ma charakter informacyjny i nie stanowi porady prawnej. Treść zgodna ze stanem wiedzy w chwili publikacji. W sprawach dotyczących aktualnego statusu legislacyjnego i indywidualnych obowiązków skonsultuj się z prawnikiem.
FAQ – dyrektywa NIS 2 a komunikacja B2B
Dyrektywa NIS 2 (EU 2022/2555) to unijne prawo o cyberbezpieczeństwie, zastępujące NIS1 z 2016 r. Nakłada obowiązki zarządzania ryzykiem, raportowania incydentów i ochrony łańcucha dostaw na organizacje z 18 sektorów krytycznych. W Polsce weszła w życie poprzez nowelizację ustawy o KSC, obowiązującą od 3 kwietnia 2026 r.
W Polsce NIS2 obejmuje ok. 10 000 firm klasyfikowanych jako podmioty kluczowe lub ważne. Dotyczy przede wszystkim średnich i dużych przedsiębiorstw (≥50 pracowników, ≥10 mln EUR obrotu) z 18 sektorów, m.in. energetyki, finansów, transportu, zdrowia, infrastruktury cyfrowej i usług ICT B2B.
Dla podmiotów kluczowych kara może wynieść do 10 mln EUR lub 2% globalnego obrotu (zależnie co wyższe). Dla podmiotów ważnych – do 7 mln EUR lub 1,4% obrotu. Polska ustawa o KSC przewiduje dodatkowo kary do 100 mln zł oraz odpowiedzialność osobistą zarządu.
Tak – pośrednio. Podmioty kluczowe i ważne muszą oceniać ryzyko związane ze wszystkimi dostawcami ICT (art. 21 §2 lit. d), w tym platformami komunikacyjnymi. Oznacza to obowiązek weryfikacji certyfikatów bezpieczeństwa, procedur incydentowych i standardów szyfrowania u dostawców e-mail, SMS i push.
Art. 21 NIS2 wymaga: stosowania MFA i silnej kontroli dostępu, szyfrowania danych w tranzycie i spoczynku, wdrożenia standardów uwierzytelniania e-mail (DKIM, DMARC, SPF), zapewnienia ciągłości działania (BCP) oraz procedur raportowania incydentów w ciągu 24/72 godzin.
Nowelizacja UKSC obowiązuje od 3 kwietnia 2026 r. Firmy mają czas na samoidentyfikację i rejestrację do października 2026, a pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) musi nastąpić do 2 kwietnia 2027.