NIS21 min czas czytania1278 znaków168 słów

NIS2 w spółce tech: czy obowiązki dotyczą także Was?

Dyrektywa NIS2 znacząco rozszerza krąg podmiotów objętych obowiązkami cyberbezpieczeństwa. Pytanie nie brzmi już „czy ktoś podlega", tylko „czy my podlegamy" — i wiele spółek SaaS odpowiada błędnie.

NIS2 zastąpiła pierwotną dyrektywę NIS i rozszerzyła zakres podmiotów oraz sektorów. W praktyce oznacza to, że obowiązki, które wcześniej dotyczyły głównie dużych operatorów infrastruktury krytycznej, mogą teraz objąć średniej wielkości spółkę technologiczną świadczącą usługi cyfrowe.

Czy w ogóle podlegacie?

To pierwsze i najważniejsze pytanie. Zakres zależy od sektora, w którym działacie, oraz od wielkości spółki. Część podmiotów jest objęta jako „kluczowe", część jako „ważne" — z różnym poziomem obowiązków i nadzoru.

Alert regulacyjny — NIS2 · UE · transpozycja w toku

Terminy transpozycji do prawa krajowego oraz progi wielkości należy weryfikować dla konkretnej spółki — interpretacje wciąż się dopracowują. Stan na maj 2026.

Co trzeba zrobić, jeśli podlegacie

Zmapować, czy i w jakiej kategorii spółka jest objęta dyrektywą
Wdrożyć adekwatne środki zarządzania ryzykiem cyberbezpieczeństwa
Ustanowić proces zgłaszania incydentów w wymaganych terminach
Zapewnić odpowiedzialność na poziomie zarządu
Przeszkolić zespół i udokumentować zgodność

Kluczowe słowo to „adekwatne". NIS2 nie wymaga od średniej spółki aparatu właściwego bankowi. Wymaga środków proporcjonalnych do ryzyka — i właśnie ta proporcjonalność jest miejscem, w którym najłatwiej przesadzić w którąkolwiek stronę.

Udostępnij:

NIS21 min czas czytania1278 znaków168 słów

NIS2 w spółce tech: czy obowiązki dotyczą także Was?

Czy w ogóle podlegacie?

Alert regulacyjny — NIS2 · UE · transpozycja w toku

Terminy transpozycji do prawa krajowego oraz progi wielkości należy weryfikować dla konkretnej spółki — interpretacje wciąż się dopracowują. Stan na maj 2026.

Co trzeba zrobić, jeśli podlegacie

Zmapować, czy i w jakiej kategorii spółka jest objęta dyrektywą
Wdrożyć adekwatne środki zarządzania ryzykiem cyberbezpieczeństwa
Ustanowić proces zgłaszania incydentów w wymaganych terminach
Zapewnić odpowiedzialność na poziomie zarządu
Przeszkolić zespół i udokumentować zgodność

Udostępnij:

Najnowsze artykuły

AI Act — pierwsze terminy już obowiązują.

AI Act wchodzi etapami, a część przepisów już obowiązuje. Jeśli budujecie lub wykorzystujecie systemy AI, warto sprawdzić, pod którą kategorię ryzyka podpada Wasz produkt.

Data publikacji: 30/05/2026

Znaki: 1006•Słowa: 137•Czas czytania: 1 min

Dyrektywa o jawności wynagrodzeń — co zrobić przed 2027.

Nowe obowiązki informacyjne i raportowe dotkną także spółki technologiczne. Im wcześniej uporządkujecie politykę wynagrodzeń, tym mniej bolesne będzie dostosowanie.

Data publikacji: 28/04/2026

Znaki: 1095•Słowa: 136•Czas czytania: 1 min

Term sheet po polsku: pięć zapisów, które decydują o kontroli.

Term sheet wygląda niewinnie — kilka stron, dużo skrótów. Ale to w nim zapada większość decyzji o tym, kto naprawdę kontroluje spółkę po rundzie.

Data publikacji: 09/04/2026

Znaki: 1357•Słowa: 195•Czas czytania: 1 min

ESOP w sp. z o.o.: opcje, warranty czy udziały?

Programy motywacyjne w polskiej sp. z o.o. da się zrobić na kilka sposobów. Każdy ma inne skutki podatkowe i inny wpływ na strukturę właścicielską.

Data publikacji: 22/03/2026

Znaki: 932•Słowa: 139•Czas czytania: 1 min

Kto ma prawa do kodu napisanego przez AI?

Generatywne narzędzia weszły do zespołów inżynierskich szybciej, niż prawo zdążyło to opisać. Pytanie o prawa do kodu i treści generowanych przez AI staje się częścią due diligence.

Data publikacji: 05/03/2026

Znaki: 1070•Słowa: 154•Czas czytania: 1 min

Kontrola inwestycji zagranicznych a runda z funduszem spoza UE.

Gdy do rundy wchodzi inwestor spoza UE, w grę może wejść kontrola inwestycji zagranicznych (FDI). Dobrze rozpoznana, nie zatrzyma rundy. Przeoczona — potrafi.

Data publikacji: 18/02/2026

Znaki: 999•Słowa: 136•Czas czytania: 1 min