NIS2 a grupy kapitałowe. Znaczenie niezależności sieci i systemów

NIS2 – kluczowe informacje

Dyrektywa NIS2 wprowadza istotne zmiany względem pierwszej wersji – jedną z kluczowych jest rozszerzenie katalogu podmiotów zobowiązanych do jej stosowania oraz zmiana zasad kwalifikacji. Co do zasady dyrektywa NIS2 ma znajdować zastosowanie – poza podmiotami publicznymi – do podmiotów prywatnych spełniających wymogi co najmniej średniego przedsiębiorstwa w rozumieniu art. 2 załącznika do zaleceń 2003/361/WE, które prowadzą działalność lub świadczą usługi na terytorium EU w jednym z 18 sektorów gospodarki. Dyrektywa wprowadza jednak szereg wyjątków od wspomnianej zasady. Jeden z nich zawarty jest w motywach NIS2. Motyw 16 NIS2, bo o nim mowa, daje możliwość, aby – przy spełnieniu warunku niezależności sieci i systemów informatycznych – odstąpić od doliczania danych wielkościowych przedsiębiorstw partnerskich i powiązanych (w rozumieniu zalecenia 2003/361/WE). Oznacza to, że w państwach, które zaimplementują ten motyw, spółka działająca w sektorach objętych NIS2 może pozostać poza zakresem stosowania dyrektywy, jeżeli wykaże się realną niezależnością (pod względem prawnym, technicznym i operacyjnym) wykorzystywanych przy świadczeniu usług sieci i systemów informatycznych.

Motyw ten ma stanowić przejaw proporcjonalnego podejścia prawodawcy unijnego i przeciwdziałać sztucznemu „wciąganiu” pod stosowanie NIS2 małych podmiotów tylko dlatego, że – upraszczając – należą do grupy kapitałowej.

W Polsce nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), mająca za zadanie implementację NIS2, została podpisana przez Prezydenta RP w dniu 19 lutego 2026 r. Jednymi z najistotniejszych zmian względem pierwotnych projektów są wydłużenie wyjściowego okresu dostosowawczego dla prywatnych podmiotów kluczowych lub ważnych z 6 do 12 miesięcy oraz wydłużenie terminu na samoidentyfikację i złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych z 3 do 6 miesięcy. Spółki, które mogą podlegać pod zakres zastosowania NIS2, powinny w pierwszej kolejności przeprowadzić kwalifikację i rejestrację, zaś w dalszej perspektywie zaimplementować w sposób szczegółowy środki zarządzania ryzykiem w cyberbezpieczeństwie (w tym wdrożyć system zarządzania bezpieczeństwem informacji).

Dlaczego motyw 16 ma znaczenie dla grup kapitałowych?

Dyrektywa NIS2 wprowadza kryterium wielkości jako mechanizm obiektywny. Co do zasady adresatami reżimu NIS2 są średnie i duże przedsiębiorstwa działające w sektorach i podsektorach wymienionych w załącznikach do dyrektywy. 

Dyrektywa NIS2 przewiduje trzy główne kryteria kwalifikacji. Zaliczają się do nich spełnione łącznie:

• prowadzenie działalności, o której mowa w załączniku nr 1 lub załączniku nr 2 (państwa członkowskie mogą rozszerzać zakres działalności podlegającej pod NIS2, z takiego uprawnienia skorzystała też Polska);
• spełnianie kryteriów wielkościowych, czyli kwalifikacja jako średnie przedsiębiorstwo lub przekraczanie pułapów dla średniego przedsiębiorstwa;
• świadczenie usług lub prowadzenie działalności w Unii.

Wielkość przedsiębiorstw powinna być liczona zgodnie z powszechnymi zasadami obowiązującymi w UE, czyli z zaleceniami 2003/361/WE. Zgodnie z zasadami obliczania danych wielkościowych podmiotu należy do nich wliczać dane konkretnej spółki, która przeprowadza kwalifikację, jak również dane finansowe i dotyczące zatrudnienia przedsiębiorstw powiązanych oraz partnerskich. W przypadku przedsiębiorstw powiązanych dolicza się pełne dane spółek, zaś w przypadku spółek partnerskich stosuje się doliczenie proporcjonalne – w zależności od udziału w kapitale czy prawach głosu.

Ustawodawca unijny przewidział jednak, że w niektórych przypadkach takie podejście może być nadmiarowe, z uwagi na istotną niezależność spółki, która funkcjonuje w ramach grupy kapitałowej. Zgodnie z treścią motywu 16 niezależność od przedsiębiorstw partnerskich lub powiązanych pod względem sieci i systemów informatycznych, z których korzysta przy świadczeniu usług, a także pod względem świadczonych przez siebie usług pozwala na odejście od kwalifikacji danego podmiotu jako podlegającego pod zakres NIS2, o ile spółka indywidualnie, tj. biorąc pod uwagę wyłącznie jej dane ilościowe, nie przekracza progów, które są niezbędne do kwalifikacji.

Dyspozycyjność motywu 16

Treść motywu 16 wskazuje, że państwa członkowskie nie są zobligowane do wprowadzenia regulacji umożliwiającej zastosowanie omawianego wyjątku. Analiza projektów oraz przyjętych ustaw implementujących przepisy NIS2 w państwach członkowskich pokazuje, że nie wszystkie kraje członkowskie zdecydowały się na wdrożenie tego motywu (np. Finlandia). Wobec tego w procesie kwalifikacji spółek z grupy kapitałowej operującej transgranicznie konieczne jest ustalenie statusu i zbadanie sposobu implementacji NIS2 w poszczególnych państwach członkowskich. Może się bowiem okazać, że pomimo braku indywidualnego spełnienia kryteriów wielkościowych i niezależności swoich systemów informatycznych dana spółka będzie zobowiązana doliczyć dane swoich przedsiębiorstw powiązanych oraz partnerskich, co w konsekwencji może skutkować jej kwalifikacją na gruncie NIS2.

Polska implementacja dyrektywy 2022/2555 – status ustawy o KSC, istotne poprawki komisji i przepisy przejściowe

Nowelizacja ustawy o KSC implementująca NIS2 została podpisana przez Prezydenta RP 19 lutego 2026 r. Jednocześnie Prezydent RP skierował wniosek o kontrolę następczą do Trybunału Konstytucyjnego o zbadanie zgodności z Konstytucją przepisów ustawy. Przepisy, które budzą wątpliwości głowy państwa dotyczą m.in. procedury wskazywania dostawców wysokiego ryzyka, objęcia przepisami ustawy dodatkowych sektorów gospodarki w stosunku do dyrektywy NIS2, a także surowe kary. W toku prac legislacyjnych pojawiło się wiele - ostatecznie zatwierdzonych - zmian względem pierwotnych wersji projektu Ustawa o KSC. Najistotniejsze z nich obejmują wydłużenie podstawowego okresu dostosowawczego z 6 do 12 miesięcy dla podmiotów kluczowych i ważnych, a także wydłużenie z 3 do 6 miesięcy terminu na samorejestrację, który ma być liczony od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Termin ten nie dotyczy jednak wszystkich podmiotów, ponieważ podmioty publiczne, dostawcy usług zaufania i przedsiębiorcy telekomunikacyjni będą wpisywani do wykazu z urzędu. Inne podmioty, które mogą podlegać pod zakres zastosowania NIS2, powinny w pierwszej kolejności przeprowadzić kwalifikację i rejestrację, zaś w dalszej perspektywie zaimplementować w sposób szczegółowy środki zarządzania ryzykiem w cyberbezpieczeństwie. Zmiany przyjęte przez Sejm obejmują także zmianę podejścia do sankcji, które będą mogły być nakładane za naruszenie przepisów KSC. W obecnej wersji nowelizowanej ustawy będzie to możliwe dopiero po upływie dwóch lat od wejścia w życie ustawy.

Wydłużenie terminu na dostosowanie do nowych wymogów oraz odroczenie egzekucji sankcji administracyjnych krótkoterminowo odciążą przedsiębiorstwa, które są objęte zakresem KSC. Jednocześnie należy podkreślić, że cyberzagrożenia, w tym cyberataki w stylu DDoS czy ransomware, stają się codziennością przedsiębiorstw z kluczowych sektorów gospodarki (np. sektora energetycznego). Poza oczywistymi ryzykami prawnymi wynikającymi z nieterminowego dostosowania do nowych przepisów ważniejsze wydają się ryzyka operacyjne czy finansowe i reputacyjne. Incydenty cyberbezpieczeństwa często skutkują utratą integralności i bezpieczeństwa danych, zaburzeniem ciągłości świadczonych usług, a w konsekwencji utratą zaufania klientów, kontrahentów czy partnerów biznesowych i wymiernymi stratami finansowymi.

Niezależność systemów informacyjnych w polskiej implementacji

Ustawa o KSC podpisana przez Prezydenta RP wdraża motyw 16 NIS2. Zgodnie z art. 5 ust. 6 i 7 nowelizowanej ustawy, jeżeli przyczyną spełniania wymogów do kwalifikacji jako podmiot kluczowy lub podmiot ważny jest doliczanie danych przedsiębiorstw powiązanych lub partnerskich, a system informacyjny danego podmiotu jest niezależny od sieci i systemów informacyjnych jego przedsiębiorstw powiązanych lub partnerskich lub nie świadczy on usług wspólnie z jego przedsiębiorstwami powiązanymi lub partnerskimi, to nie jest podmiotem kluczowym lub odpowiednio podmiotem ważnym.

W uzasadnieniu do ww. nowelizacji wskazano, jak należy rozumieć niezależność w tym obszarze – o niezależności systemu informacyjnego można mówić w szczególności wtedy, gdy świadczenie usług przez dany podmiot nie wymaga uczestnictwa żadnej jednostki powiązanej ani partnerskiej. Przejawem takiej niezależności ma być również zastępowalność wykorzystywanych sieci i systemów, tj. możliwość wymiany rozwiązań stosowanych przez jeden podmiot na równoważne funkcjonalnie i technicznie rozwiązania innych dostawców, w czasie i przy kosztach akceptowalnych z perspektywy ocenianego podmiotu.

Przywołane wyjaśnienie dotyczące rozumienia niezależności systemów informacyjnych w dalszym ciągu pozostawia jednak wątpliwości praktyczne. Wskazują na to również liczne propozycje poprawek, które pojawiały się podczas prac komisji sejmowej do spraw cyfryzacji. Zaproponowano m.in. zawężenie zakresu rozumienia systemów informacyjnych tylko do tych wykorzystywanych bezpośrednio do świadczenia usług wspólnie z przedsiębiorstwami powiązanymi lub partnerskimi, a nie wszystkich systemów informacyjnych wykorzystywanych w grupie. Według autorów poprawki taka zmiana pozwoliłaby na wykluczenie z zakresu zainteresowania przepisów tych systemów, które nie są związane bezpośrednio z świadczeniem usług, ale pośrednio mogą być tak kwalifikowane (np. systemów CRM). Ostatecznie poprawka przepadła, co można uznać za potwierdzenie zamiaru projektodawców do objęcia przepisami także tych systemów, które jedynie pośrednio przyczyniają się do wspólnego świadczenia usług. Niezależnie od losów zgłoszonych w toku procesu legislacyjnego poprawek aktualne pozostają wątpliwości, które dotyczą m.in. pojęcia „wspólne świadczenie usług” czy też rozumienia sieci informacyjnych (w tym ich relacji do usług i działalności regulowanej przepisami dyrektywy NIS2).

W toku prac komisji przedstawiciel Ministerstwa Cyfryzacji zapowiedział jedynie, że Ministerstwo po uchwaleniu ustawy opracuje kompleksowy Q&A, który będzie wyjaśniał wątpliwości interpretacyjne i wspomoże przedsiębiorców we właściwym wdrożeniu przepisów.

Niezależność sieci i systemów informatycznych w innych państwach członkowskich

Motyw 16 został wdrożony m.in. w niemieckiej ustawie implementującej NIS2. Przyjęto tam, że niezależność systemów od spółek powiązanych i partnerskich należy badać, biorąc pod uwagę okoliczności prawne, ekonomiczne i faktyczne. W rozumieniu tych przepisów przedsiębiorstwo powinno z jednej strony mieć decydujący wpływ na charakter, a także funkcjonowanie systemów informatycznych i procesów, które są wykorzystywane do świadczenia usług przez dane przedsiębiorstwo. Dowodzić tego może chociażby nieskrępowana możliwość podejmowania istotnych decyzji

• zakupowych (np. zawarcie samodzielnej umowy na korzystanie z oprogramowania lub zachowanie decyzyjności odnośnie do przystąpienia do relacji grupowej i faktycznej niezależności w kwestii warunków i sposobów jej realizacji dla danego przedsiębiorstwa
• odnośnie do eksploatacji czy konfiguracji rzeczonych systemów (np. samodzielne określenie zapotrzebowania, funkcjonalności, parametrów pozafunkcjonalnych oprogramowania odpowiednich dla danej organizacji; zapewnienie utrzymania systemu i wpływu na jego ewentualny rozwój; utrzymywanie aplikacji na własnej infrastrukturze; faktyczna samodzielność w podejmowaniu decyzji także o zakończeniu korzystania z oprogramowania lub zmianie dostawcy ICT).

Z drugiej strony wydaje się, że – na gruncie niemieckich przepisów – nie możemy mówić o takiej niezależności w sytuacji, gdy jedna ze spółek w grupie kapitałowej świadczy dla pozostałych podmiotów w ramach grupy usługi IT, od których zależy faktyczne operacyjne funkcjonowanie systemów tych drugich (np. w sytuacji udostępnienia oprogramowania kluczowego dla ich działalności w sektorze regulowanym NIS2), lub w sytuacji pełnej integracji takich systemów poszczególnych spółek grupowych, której pozbawienie uniemożliwiałoby faktyczne operacyjne wykorzystanie danego systemu. W przywołanych okolicznościach trudno byłoby bowiem o wykazanie odpowiedniej decyzyjności w zakresie organizacyjnym czy odnośnie do całego cyklu życia danego systemu w organizacji.

Analogiczne podejście przyjął ustawodawca austriacki, który wdrożył motyw 16, wskazując, że dane spółek partnerskich lub powiązanych nie będą doliczane, jeśli w odniesieniu do sieci i systemów informacyjnych, z których podmiot korzysta przy świadczeniu swoich usług, a biorąc pod uwagę charakter, działanie i bezpieczeństwo swoich sieci i systemów informacyjnych, jest organizacyjnie, technicznie i operacyjnie niezależny od partnerów lub spółek powiązanych.