Dyrektywa NIS 2 a infrastruktura komunikacyjna B2B. Czy Twoja firma jest gotowa?

TL;DR:

  • Dyrektywa NIS 2 (EU 2022/2555) obowiązuje w Polsce od 3 kwietnia 2026 r. na mocy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) i dotyczy ok. 10 000 firm z 18 sektorów krytycznych.
  • Łańcuch dostaw ICT: zgodnie z art. 21 §2 lit. d każda zewnętrzna platforma komunikacyjna (e-mail, SMS, push, API) jest dostawcą ICT i podlega obowiązkowemu audytowi.
  • Co sprawdza audytor u dostawcy: certyfikaty ISO 27001/SOC2, uwierzytelnianie e-mail (DKIM, DMARC, SPF), szyfrowanie danych, lokalizacja serwerów w EOG, procedury incydentowe (24h/72h), SLA ciągłości działania.
  • Kary: do 10 mln EUR lub 2% globalnego obrotu (podmioty kluczowe); do 7 mln EUR lub 1,4% (podmioty ważne); polska ustawa o KSC – do 100 mln zł i osobista odpowiedzialność zarządu.
  • Terminy: samoidentyfikacja i rejestracja – październik 2026 | pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji  – 2 kwietnia 2027.

Dyrektywa NIS 2 (Dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555) to unijne prawo o cyberbezpieczeństwie, które obowiązuje w Polsce od 3 kwietnia 2026 roku na mocy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).

Dotyczy firm z 18 sektorów krytycznych – od energetyki i finansów po logistykę i usługi cyfrowe – i nakłada na nie obowiązek zarządzania ryzykiem w całym łańcuchu dostaw ICT. Kanały komunikacyjne, takie jak e-mail, SMS czy push, są częścią tego łańcucha i podlegają ocenie podczas audytu.

W artykule znajdziesz odpowiedź na to, które firmy podlegają regulacji, co konkretnie wynika z art. 21 dla infrastruktury komunikacyjnej, jaką dokumentację zebrać od dostawcy przed pierwszym audytem, oraz jak MessageFlow spełnia te wymagania.

Czym jest dyrektywa NIS 2 – i dlaczego to nie tylko problem działu IT

Kiedy i kogo dotyczy?

Dyrektywa NIS 2 zastąpiła NIS 1 z 2016 roku i weszła w życie w całej Unii Europejskiej w styczniu 2023 roku. Polska implementuje ją przez nowelizację ustawy o KSC – UKSC, obowiązującą od 3 kwietnia 2026 r. Pełny tekst dyrektywy dostępny na EUR-Lex, a oficjalny poradnik dla polskich firm – na biznes.gov.pl.

Kluczowe terminy dla polskich firm:

  • 3 kwietnia 2026 – nowelizacja UKSC weszła w życie
  • październik 2026 – termin samoidentyfikacji i rejestracji jako podmiot kluczowy lub ważny
  • 2 kwietnia 2027 – pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)

Zanim jednak przejdziemy do tego, co regulacja wymaga, najpierw pytanie podstawowe: czy Twoja firma w ogóle podlega NIS2?

Czym jest dyrektywa NIS 2 – i dlaczego to nie tylko problem działu IT

Podmioty kluczowe i ważne – progi i sektory

Regulacja dzieli podmioty na dwie kategorie. Podmioty kluczowe to firmy z sektorów: energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna i sektor kosmiczny.

Podmioty ważne obejmują usługi pocztowe, produkcję, gospodarkę odpadami, żywność, chemię i usługi cyfrowe B2B. Próg wejścia to co najmniej 50 pracowników i roczny obrót lub suma bilansowa powyżej 10 mln EUR – choć w określonych przypadkach, takich jak zarządzanie infrastrukturą krytyczną, NIS2 stosuje się bez względu na wielkość firmy.

Według danych Ministerstwa Cyfryzacji cytowanych przez Rzeczpospolitą w marcu 2026 roku, polskie przepisy obejmą około 10 000 firm. To liczba znacząca – a mimo to aż 36% ekspertów ds. cyberbezpieczeństwa przyznaje, że nie wie, czy ich organizacja w ogóle podlega regulacji (raport DAGMA Bezpieczeństwo IT i ESET „Cyberportret polskiego biznesu 2025″). 

Jeśli masz wątpliwości, czy Twoja firma podlega NIS 2 – lepiej sprawdzić to teraz niż dowiedzieć się podczas audytu.

Odpowiedzialność zarządu i kontekst rynkowy

NIS2 zmienia nie tylko procesy – zmienia też to, kto za nie odpowiada. Polska ustawa o KSC przewiduje kary do 100 mln zł oraz osobistą odpowiedzialność kierownictwa w przypadku zaniedbań – wskazuje EY Polska. Cyberbezpieczeństwo przestaje być wyłącznie zadaniem działu IT i staje się kwestią na poziomie całego zarządu.

Rynek to już wyczuł. Według raportu PMR Market Experts (luty 2026) polski rynek cyberbezpieczeństwa wzrósł o około 25% rok do roku, osiągając wartość 3,5 mld zł w 2025 r. Z raportu Xopero Software „Cyberbezpieczeństwo – Trendy 2026″ wynika, że 85% ekspertów przewiduje, iż tempo cyberataków wyprzedzi możliwości obronne firm w najbliższych latach – a zaledwie 29% firm deklaruje dziś wysoką cyberodporność. NIS2 jest jednym z kluczowych motorów tych inwestycji, ale sama regulacja nie zastąpi realnej gotowości.

Co NIS 2 mówi o infrastrukturze komunikacyjnej B2B?

Art. 21 dyrektywy NIS2 to rdzeń praktycznych obowiązków – określa minimalne wymagania techniczne i organizacyjne dla każdego objętego podmiotu. Spośród dziesięciu wymienionych tam obszarów sześć bezpośrednio dotyka zarządzania infrastrukturą komunikacyjną:

  1. Analiza ryzyka i polityki bezpieczeństwa systemów informatycznych – udokumentowana metodyka oceny zagrożeń dla wszystkich systemów ICT, w tym kanałów komunikacyjnych e-mail, SMS i API.
  2. Obsługa incydentów i raportowanie – procedury wykrywania, klasyfikacji i zgłaszania incydentów. Wymagane terminy: wstępny raport w ciągu 24 godzin, szczegółowy w ciągu 72 godzin od wykrycia.
  3. Ciągłość działania (BCP, DRP, backup) – plany utrzymania operacyjności w razie awarii, w tym w przypadku przerwy w dostępie do platform komunikacyjnych.
  4. Bezpieczeństwo łańcucha dostaw i dostawców – obowiązek oceny ryzyka każdego dostawcy usług ICT, z którym firma bezpośrednio współpracuje. Platforma komunikacyjna to dostawca ICT.
  5. Kryptografia i kontrola dostępu (MFA) – szyfrowanie danych w tranzycie i spoczynku, uwierzytelnianie wieloskładnikowe na wszystkich kontach z dostępem do systemów komunikacyjnych.
  6. Cyberhigiena i szkolenia – regularne szkolenia pracowników, zarządzanie podatnościami i podstawowe praktyki bezpieczeństwa cyfrowego.

Punkt czwarty ma dla firm korzystających z zewnętrznych platform komunikacyjnych szczególne znaczenie – i właśnie jemu poświęcamy resztę tej sekcji.

Co NIS 2 mówi o infrastrukturze komunikacyjnej B2B?

Kanały komunikacyjne jako część łańcucha dostaw ICT

Zgodnie z art. 21 §2 lit. d, objęte podmioty muszą zarządzać ryzykiem w całym łańcuchu dostaw usług ICT. Platforma e-mail, SMS, push czy API spełnia definicję dostawcy usług ICT – i jako taka podlega obowiązkowej weryfikacji przed każdym audytem. Innymi słowy: bezpieczeństwo Twojej komunikacji B2B to nie tylko kwestia Twojej infrastruktury, ale też infrastruktury dostawcy, którego używasz.

Co konkretnie sprawdza audytor NIS2 u dostawcy komunikacji (zgodnie z wytycznymi ENISA – w Polsce organem nadzoru jest CSIRT NASK):

  • Certyfikaty – czy dostawca posiada ISO 27001 i/lub SOC2?
  • Polityki incydentowe – czy dostawca jest w stanie poinformować Cię o incydencie w ciągu 24/72 godzin, co pozwoli Ci wypełnić własne obowiązki raportowe?
  • Szyfrowanie – czy dane są szyfrowane zarówno w tranzycie, jak i spoczynku?
  • Uwierzytelnianie nadawców e-mail – czy platforma obsługuje DKIM, DMARC i SPF?
  • MFA i zarządzanie dostępem do kont API – czy dostęp do interfejsów programistycznych jest zabezpieczony uwierzytelnianiem wieloskładnikowym?
  • Lokalizacja serwerów – czy dane są przetwarzane wyłącznie na serwerach w EOG, zgodnie z wymogami RODO?
  • Redundancja i SLA ciągłości działania – jakie konkretne gwarancje dostępności usługi oferuje dostawca?
  • Możliwość audytu – czy dostawca może wypełnić kwestionariusz bezpieczeństwa lub wesprzeć Twój audyt?
Co audytor NIS2 sprawdza u dostawcy komunikacji?

NIS2 idzie jednak dalej niż tylko weryfikacja łańcucha dostaw. Art. 21 §2 lit. j wymaga wprost polityk i procedur dotyczących stosowania kryptografii i szyfrowania. Poradnik Przedsiębiorcy (kwiecień 2026) wskazuje, że tradycyjna telefonia i nieszyfrowane komunikatory nie spełniają tych wymagań. Wybór platformy komunikacyjnej przestaje być decyzją wyłącznie operacyjną – staje się decyzją strategiczną.

Ważne: NIS2 nie wskazuje wprost, że DMARC jest obowiązkowy. Artykuł 21 nakłada wymóg zarządzania ryzykiem komunikacji. Standardy takie jak DKIM, DMARC i SPF są przez ekspertów wskazywane jako spełniające wymagania z art. 21 – w kwestii szczegółowych wymogów dla Twojej organizacji skonsultuj się z prawnikiem.

Jak NIS 2 wpływa na komunikację B2B – 3 scenariusze dla polskich firm

Scenariusz 1 – Firma z sektora finansowego (podmiot kluczowy)

Bank lub instytucja płatnicza podlega NIS2 bezpośrednio. Platforma komunikacyjna, przez którą wysyłane są kody OTP, powiadomienia transakcyjne czy alerty bezpieczeństwa, musi przed audytem dostarczyć pełną dokumentację: certyfikaty ISO 27001/SOC2, procedury BCP/DRP, politykę incydentową i potwierdzenie przetwarzania danych w EOG.

Brak któregokolwiek z tych dokumentów to realne ryzyko kary – dla podmiotów kluczowych do 10 mln EUR lub 2% globalnego obrotu.

Dodatkowy kontekst dla sektora finansowego: NIS2 działa tu równolegle z rozporządzeniem DORA (Digital Operational Resilience Act), obowiązującym od stycznia 2025 roku. Podwójna presja regulacyjna oznacza, że weryfikacja dostawców ICT – w tym platform komunikacyjnych – stała się dla banków kwestią nie opcjonalną, ale obowiązkową na dwóch frontach jednocześnie.

Scenariusz 2 – Firma logistyczna lub produkcyjna (podmiot ważny)

Firma logistyczna lub producent może nie podlegać NIS2 bezpośrednio – ale jej klienci z sektora finansowego, zdrowotnego czy energetycznego niemal na pewno tak. Ponieważ podmioty kluczowe muszą weryfikować cały łańcuch dostaw, wymagania NIS2 spłyną drogą kontraktową – przez klauzule bezpieczeństwa w umowach. Innymi słowy: rynek wymusi compliance, zanim zrobi to regulator. 

W praktyce: kwestionariusze bezpieczeństwa, audyty dostawców i wymagania certyfikacyjne przyjdą od klientów jeszcze przed formalnym obowiązkiem. Firmy z gotową dokumentacją zyskują przewagę przetargową – szczególnie w przetargach dla podmiotów regulowanych.

Scenariusz 3 – Platforma SaaS lub dostawca usług cyfrowych

Platforma SaaS oferująca usługi B2B może sama być podmiotem kluczowym lub ważnym – zarządzanie usługami ICT dla biznesu to jeden z sektorów wymienionych w dyrektywie.

E-mail transakcyjny przez API jest tu krytyczną usługą operacyjną, od powiadomień o płatnościach, przez alerty systemowe, po komunikaty onboardingowe. Przerwa w ich dostarczaniu to nie tylko ryzyko naruszenia SLA – to potencjalna odpowiedzialność regulacyjna.

Platforma komunikacyjna, która nie spełnia wymagań NIS2, staje się w tej sytuacji źródłem ryzyka dla całego łańcucha dostaw.

Jak NIS 2 wpływa na komunikację B2B?

Checklista NIS 2 dla infrastruktury komunikacyjnej – co sprawdzić przed audytem

Poniższa tabela zestawia wymagania wewnętrzne Twojej organizacji z pytaniami, które powinieneś zadać dostawcy platformy komunikacyjnej (w chwili publikacji; skonsultuj aktualne wymagania z prawnikiem). Użyj jej jako punktu wyjścia do rozmowy – i jako argumentu wewnętrznego, jeśli compliance jeszcze nie jest priorytetem w Twojej firmie.

Co Twoja firma powinna wdrożyć wewnętrznieCzego wymagać od dostawcy komunikacji B2B
☐ Polityka zarządzania ryzykiem ICT (udokumentowana)☐ Certyfikaty ISO 27001 / SOC2
☐ Procedura raportowania incydentów (24h/72h)☐ Lokalizacja danych wyłącznie na serwerach w EOG
☐ MFA na wszystkich kontach z dostępem do systemów komunikacyjnych☐ Raport z ostatniego audytu bezpieczeństwa lub pentestu
☐ Rejestr dostawców ICT z oceną ryzyka☐ Procedury reagowania na incydenty po stronie dostawcy
☐ Klauzule bezpieczeństwa w umowach z dostawcami (NIS2/UKSC-aligned)☐ Dokumentacja DKIM/DMARC/SPF (dla kanału e-mail)
☐ BCP/DRP z uwzględnieniem przerwy w wysyłce komunikatów☐ Polityka SLA dla ciągłości dostarczania
☐ Możliwość audytu / wypełniania kwestionariuszy security

Według raportu PMR Market Experts na zlecenie EXEA Data Center (luty 2026) 91% firm planuje wydatki na bezpieczeństwo IT w związku z NIS2, a 81% zadeklarowało zwiększenie budżetów w ciągu najbliższych dwóch lat – mimo że 58% obawia się wzrostu kosztów operacyjnych. To zrozumiałe. Komisja Europejska szacuje, że organizacje nowo objęte regulacją zwiększą wydatki na cyberbezpieczeństwo o maksymalnie 22% w pierwszych latach wdrożenia. Dla firm, które już podlegały NIS1, wzrost ten wyniesie około 12%. 

Żeby ta inwestycja miała sens, weryfikacja dostawcy musi być konkretna. Kilka wskazówek, na co zwrócić uwagę:

  • Certyfikat ISO 27001 – sprawdź datę ważności i zakres. Certyfikat powinien obejmować dokładnie te usługi, z których korzystasz, nie tylko część działalności dostawcy.
  • Lokalizacja danych – dostawca powinien podać konkretne kraje lub regiony EOG, nie ogólne zapewnienia w stylu „dane są bezpieczne”.
  • Procedura incydentowa – zapytaj, w jakim czasie dostawca poinformuje Cię o incydencie. Masz 24 godziny na wstępny raport do organu nadzoru.
  • DPA – Umowa Powierzenia Przetwarzania Danych powinna być podpisana przed audytem.
  • SLA – niski poziom dostarczalności lub brak gwarancji dostępności to sygnał ostrzegawczy. Ciągłość działania to jeden z filarów art. 21.

MessageFlow a NIS 2: co zapewnia nasza infrastruktura komunikacyjna

Kiedy Twój audytor zapyta o dostawcę platformy komunikacyjnej, potrzebujesz dokumentacji – nie zapewnień. MessageFlow jest certyfikowanym dostawcą ICT gotowym na wymagania art. 21 §2 lit. d:

  • ISO 27001 i SOC2 – regularne audyty bezpieczeństwa przeprowadzane przez niezależne podmioty certyfikujące zgodnie z uznanymi standardami międzynarodowymi.
  • Szyfrowanie end-to-end – dane szyfrowane w tranzycie i spoczynku; przetwarzane wyłącznie na serwerach zlokalizowanych w Europejskim Obszarze Gospodarczym.
  • DKIM, DMARC, SPF oraz autorska tarcza antyphishingowa 360° – standardy uwierzytelniania e-mail spełniające wymagania zarządzania ryzykiem komunikacji z art. 21 NIS2.
  • 2FA i autoryzacja IP – uwierzytelnianie dwuetapowe oraz ograniczenia dostępu do kont API według adresów IP.
  • BCP/DRP/BIA regularnie testowane – plany ciągłości działania i odtwarzania po awarii weryfikowane cyklicznie.
  • ~99% dostarczalność i SLA ciągłości działania – gwarantowana dostępność krytycznych kanałów komunikacyjnych dla Twoich operacji.
  • RODO compliance + DPA – Umowa Powierzenia Przetwarzania Danych dostępna dla każdego klienta, spójna z wymogami GDPR i UKSC.
  • Trust Center – pełna dokumentacja bezpieczeństwa dostępna na docs.messageflow.com dla zespołów compliance i CISO.
MessageFlow a NIS 2 - co gwarantuje nasza infrastruktura komunikacyjna

Podsumowanie: co musisz zrobić teraz

Większość firm odkrywa luki w zgodności z NIS2 dopiero wtedy, gdy audytor już siedzi naprzeciwko. To nie jest dobry moment na szukanie dokumentacji od dostawców.

Trzy kroki, które powinieneś podjąć już teraz:

  1. Zidentyfikuj status swojego podmiotu – sprawdź, czy Twoja firma kwalifikuje się jako kluczowa lub ważna zgodnie z kryterium sektorowym i progiem wielkości. Termin samoidentyfikacji i rejestracji: październik 2026.
  2. Przeprowadź inwentaryzację dostawców ICT – uwzględnij w niej wszystkie platformy komunikacyjne (e-mail, SMS, push, API). To one będą weryfikowane jako część łańcucha dostaw w myśl art. 21 §2 lit. d.
  3. Wymagaj dokumentacji bezpieczeństwa od dostawców – certyfikaty ISO 27001/SOC2, polityki incydentowe, potwierdzenie lokalizacji danych w EOG, dokumentacja DKIM/DMARC/SPF. Pełne wdrożenie SZBI do 2 kwietnia 2027.

Firmy, które zaczną wcześniej, wejdą w audyt z gotową dokumentacją. Te, które zaczekają – z problemem.

💡 Jeśli Twój zespół compliance lub CISO potrzebuje dokumentacji do audytu – dostarczymy ją. Sprawdź stronę bezpieczeństwa MessageFlow.

Artykuł ma charakter informacyjny i nie stanowi porady prawnej. Treść zgodna ze stanem wiedzy w chwili publikacji. W sprawach dotyczących aktualnego statusu legislacyjnego i indywidualnych obowiązków skonsultuj się z prawnikiem.

FAQ – dyrektywa NIS 2 a komunikacja B2B

Dyrektywa NIS 2 (EU 2022/2555) to unijne prawo o cyberbezpieczeństwie, zastępujące NIS1 z 2016 r. Nakłada obowiązki zarządzania ryzykiem, raportowania incydentów i ochrony łańcucha dostaw na organizacje z 18 sektorów krytycznych. W Polsce weszła w życie poprzez nowelizację ustawy o KSC, obowiązującą od 3 kwietnia 2026 r. 

W Polsce NIS2 obejmuje ok. 10 000 firm klasyfikowanych jako podmioty kluczowe lub ważne. Dotyczy przede wszystkim średnich i dużych przedsiębiorstw (≥50 pracowników, ≥10 mln EUR obrotu) z 18 sektorów, m.in. energetyki, finansów, transportu, zdrowia, infrastruktury cyfrowej i usług ICT B2B.

Dla podmiotów kluczowych kara może wynieść do 10 mln EUR lub 2% globalnego obrotu (zależnie co wyższe). Dla podmiotów ważnych – do 7 mln EUR lub 1,4% obrotu. Polska ustawa o KSC przewiduje dodatkowo kary do 100 mln zł oraz odpowiedzialność osobistą zarządu.

Tak – pośrednio. Podmioty kluczowe i ważne muszą oceniać ryzyko związane ze wszystkimi dostawcami ICT (art. 21 §2 lit. d), w tym platformami komunikacyjnymi. Oznacza to obowiązek weryfikacji certyfikatów bezpieczeństwa, procedur incydentowych i standardów szyfrowania u dostawców e-mail, SMS i push.

Art. 21 NIS2 wymaga: stosowania MFA i silnej kontroli dostępu, szyfrowania danych w tranzycie i spoczynku, wdrożenia standardów uwierzytelniania e-mail (DKIM, DMARC, SPF), zapewnienia ciągłości działania (BCP) oraz procedur raportowania incydentów w ciągu 24/72 godzin.

Nowelizacja UKSC obowiązuje od 3 kwietnia 2026 r. Firmy mają czas na samoidentyfikację i rejestrację do października 2026, a pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) musi nastąpić do 2 kwietnia 2027.

Marika Kachelska

LinkedIn Profile Marketing Operations Manager

Marika ma ponad 10 lat doświadczenia w marketingu i obecnie odpowiada za operacje marketingowe w Vercom S.A., obsługując dwie marki CPaaS – EmailLabs i MessageFlow.

Jej background obejmuje SEO copywriting, content strategy, prowadzenie projektów po stronie agencyjnej oraz marketing B2B. Dziś łączy perspektywę strategiczną z egzekucją: koordynuje projekty, zarządza kampaniami od briefu po rozliczenie i buduje procesy, które utrzymują spójność działań marketingu ze sprzedażą, produktem i customer success.

Zobacz więcej wpisów autora

Pozostańmy w kontakcie!

Zapisz się na nasz newsletter, aby otrzymywać aktualności produktowe, eksperckie artykuły blogowe oraz inne treści z obszaru komunikacji biznesowej prosto do swojej skrzynki.

"(wymagane)" oznacza pola wymagane

Acceptance(wymagane)

Zobowiązujemy się chronić Twoją prywatność. MessageFlow wykorzystuje podane informacje wyłącznie do kontaktowania się z użytkownikami w sprawie odpowiednich treści, produktów i usług. Użytkownik może w dowolnym momencie zrezygnować z subskrypcji tych wiadomości. Więcej informacji można znaleźć w naszej Polityce prywatności.

RSS