Cyberbezpieczeństwo w Polsce 2025: NIS 2, CRA i DORA – co musisz wiedzieć

  • 2025-10-08

Rok 2025 to kluczowy czas transformacji ram prawnych dla cyberbezpieczeństwa w Europie i Polsce. W centrum uwagi znajdują się regulacje, które znacząco podnoszą standardy ochrony digitalizowanych usług i produktów – to dyrektywa NIS 2, Cyber Resilience Act (CRA) oraz Digital Operational Resilience Act (DORA). Wszystkie trzy wprowadzają nowe obowiązki, które mają zabezpieczyć zarówno infrastrukturę krytyczną, produkty cyfrowe, jak i sektor finansowy.

Dyrektywa NIS 2 – szeroka ochrona, wyższe wymagania

NIS 2 zastępuje pierwszą dyrektywę NIS z 2016 r., rozszerzając zakres regulacji na 18 sektorów, takich jak administracja publiczna, transport, zdrowie, finanse, a także dostawcy usług cyfrowych.

Nowe wymogi obejmują m.in. obowiązek prowadzenia analizy ryzyka, wdrażania procedur bezpieczeństwa i ciągłości działania, zgłaszania incydentów oraz klasyfikacji podmiotów jako kluczowych lub ważnych. Kary za naruszenia sięgają 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych.

DORA – odporność cyfrowa sektora finansowego

DORA (Digital Operational Resilience Act) to rozporządzenie UE, które weszło w życie 17 stycznia 2025 r. Ma ono na celu ujednolicenie zasad zarządzania ryzykiem ICT, raportowania incydentów, testów odporności cyfrowej oraz nadzoru nad dostawcami usług technologicznych w sektorze finansowym.

Obowiązki obejmują zarządzanie ryzykiem technologicznym, prowadzenie dokumentacji zabezpieczeń oraz regularne testy odporności. Naruszenia mogą skutkować karami do 2% rocznego obrotu.

CRA – nowe standardy dla produktów cyfrowych

Cyber Resilience Act (CRA) to rozporządzenie UE, które weszło w życie 12 listopada 2024 r. i wprowadza wymogi cyberbezpieczeństwa dla wszystkich „produktów z elementami cyfrowymi”. Dotyczy to zarówno sprzętu, jak i oprogramowania mającego połączenie z siecią.

Od 2026 r. obowiązuje wymóg zgłaszania poważnych incydentów w ciągu 24h, a pełne wdrożenie regulacji nastąpi do grudnia 2027 r. Producenci muszą zapewniać aktualizacje, prowadzić dokumentację oraz przeprowadzać oceny ryzyka już na etapie projektowania. Kary mogą wynosić do 15 mln EUR lub 2,5% obrotu.

Podsumowanie regulacji

RegulacjaKategorie objętychGłówne wymaganiaTermin wdrożeniaKonsekwencje
NIS 2Operatorzy usług kluczowych i ważnychZarządzanie ryzykiem, zgłaszanie incydentów, rejestracja2025 (implementacja w Polsce)Do 10 mln EUR / 2% obrotu
DORAInstytucje finansowe + dostawcy ICTOdporność operacyjna, testy, raportowanie incydentów17 stycznia 2025Do 2% obrotu
CRAProducenci produktów cyfrowychBezpieczeństwo od etapu projektu, aktualizacje, dokumentacjaOd września 2026 (incydenty), pełne od grudnia 2027Do 15 mln EUR / 2,5% obrotu

Wnioski i rekomendacje dla firm

1. Zweryfikuj, czy Twoja firma podlega regulacjom NIS 2, DORA lub CRA.
2. Wdroż audyt bezpieczeństwa i opracuj plan zgodności – szczególnie dla instytucji finansowych (DORA) oraz sektorów kluczowych (NIS 2).
3. Przygotuj się na nowe obowiązki w zakresie produktów cyfrowych (CRA) – od aktualizacji po dokumentację.
4. Wzmocnij procedury zarządzania ryzykiem i raportowania incydentów.
5. Zadbaj o szkolenia pracowników – aspekt ludzki ma kluczowe znaczenie.

Powiązane posty

IN.SE.CON 2025

  • admin
  • 2025-04-03
  • 3 min read

W dniach 2–3 kwietnia 2025 roku mieliśmy przyjemność uczestniczyć w Międzynarodowym Kongresie Cyberbezpieczeństwa IN.SE.CON 2025, który odbył się w Poznaniu.