NIS2 i LEI

Czym jest NIS i dlaczego NIS2 ma znaczenie

Dyrektywa o bezpieczeństwie sieci i informacji (NIS) była pierwszym prawem UE dotyczącym cyberbezpieczeństwa, przyjętym w 2016 roku. Wymagała od państw członkowskich utworzenia kompetentnych organów, ustanowienia krajowych CSIRT-ów i stosowania minimalnych standardów zarządzania ryzykiem.

Doświadczenie pokazało, że NIS1 była zbyt wąska. Wiele sektorów nie było objętych, a obowiązki różniły się znacznie.

Dlatego UE przyjęła Dyrektywę NIS2 (Dyrektywa (UE) 2022/2555) w dniu 14 grudnia 2022 roku. Została opublikowana w Dzienniku Urzędowym 27 grudnia 2022 roku i weszła w życie 16 stycznia 2023 roku. Wszystkie państwa członkowskie musiały ją transponować do prawa krajowego do 17 października 2024 roku, zastępując NIS1. Możesz przeczytać oficjalny tekst dyrektywy na EUR-Lex.

Kto musi spełniać wymogi NIS2

NIS2 dotyczy dwóch kategorii podmiotów:

• Podmioty kluczowe – energia, transport, opieka zdrowotna, infrastruktura cyfrowa, administracja publiczna.
• Podmioty ważne – usługi prawne, usługi pocztowe i kurierskie, dostawy żywności, platformy cyfrowe.

W praktyce większość firm w sektorach objętych NIS2, które zatrudniają ponad 50 pracowników lub mają obrót powyżej 10 milionów euro, podlega dyrektywie. Obejmuje to tysiące średnich firm w Europie. Zobacz więcej w kto potrzebuje kodu LEI.

Podstawowe obowiązki wynikające z NIS2

Dyrektywa nakłada surowe obowiązki:

• Zarządzanie ryzykiem – wdrażanie środków bezpieczeństwa proporcjonalnych do zagrożeń.
• Zgłaszanie incydentów – zgłaszanie istotnych incydentów w ciągu 24 godzin i złożenie pełnego raportu w ciągu 72 godzin.
• Bezpieczeństwo łańcucha dostaw – ocena cyberbezpieczeństwa dostawców i usługodawców.
• Odpowiedzialność zarządu – kierownictwo jest odpowiedzialne za zgodność.
• Sankcje – kary mogą być podobne do kar za naruszenie RODO.

Dla uporządkowanego przeglądu zobacz podsumowanie NIS2 przez ENISA.

Dlaczego wiele krajów wciąż jest opóźnionych

NIS2 to dyrektywa UE. Oznacza to, że określa cele, ale każde państwo członkowskie musi je transponować do własnych przepisów. Termin upłynął 17 października 2024 roku, ale wiele krajów go nie dotrzymało.

W dniu 28 listopada 2024 roku Komisja Europejska wysłała listy formalne do 23 państw członkowskich za niewywiązanie się z transpozycji Dyrektywy NIS2 w terminie określonym w prawie. W dniu 7 maja 2025 roku Komisja wydała uzasadnione opinie dla 19 państw członkowskich – w tym Estonii, Łotwy, Polski, Finlandii, Hiszpanii i innych – które nadal nie w pełni transponowały NIS2. To ostatni etap przed potencjalnym postępowaniem prawnym w Trybunale Sprawiedliwości Unii Europejskiej. Zobacz komunikat prasowy Komisji: „Komisja wzywa 19 państw członkowskich do pełnej transpozycji Dyrektywy NIS2”.

Oznacza to, że państwa członkowskie są pod dużą presją. Transpozycja odbywa się teraz w pełnym tempie. Dla firm przekaz jest jasny: zasady NIS2 wkrótce będą obowiązywać w każdym kraju UE, niezależnie od tego, czy prawo krajowe zostało już zaktualizowane, czy nie.

Rola kodu LEI

Identyfikator podmiotu prawnego (LEI) to 20-znakowy kod alfanumeryczny, który jednoznacznie identyfikuje podmioty prawne na całym świecie. Został stworzony po kryzysie finansowym w 2008 roku w celu poprawy przejrzystości na rynkach globalnych i jest obecnie szeroko stosowany przez regulatorów, banki i korporacje. Dowiedz się więcej na stronie Global Legal Entity Identifier Foundation (GLEIF).

W kontekście NIS2, LEI jest praktycznym narzędziem:

• Jasna tożsamość – raporty i komunikacja transgraniczna są spójne.
• Przejrzystość łańcucha dostaw – LEI pokazuje zarówno „kto jest kim”, jak i „kto kogo posiada”.
• Ślad audytowy – standardowy identyfikator zmniejsza błędy i poprawia raportowanie.

Zobacz także co to jest LEI dla pełnego wyjaśnienia.

Kroki dla firm teraz

1. Sprawdź swój status – czy jesteś sklasyfikowany jako podmiot kluczowy lub ważny?
2. Złóż wniosek o kod LEI – jeśli jeszcze go nie masz, zarejestruj się teraz. Możesz złożyć wniosek o LEI bezpośrednio w LEI System.
3. Zintegruj LEI z zarządzaniem – uwzględnij go w umowach, audytach łańcucha dostaw i raportach o incydentach.
4. Edukacja zarządu – kierownictwo jest odpowiedzialne zgodnie z NIS2.
5. Przygotuj przepływy raportowania – upewnij się, że możesz spełnić terminy 24h/72h.

Aby uzyskać szczegółowe informacje o kosztach, odwiedź naszą stronę z cenami LEI.

Szerszy kontekst

NIS2 nie jest opcjonalne. To już prawo UE. Nawet jeśli niektóre przepisy krajowe nie są jeszcze kompletne, egzekwowanie nadchodzi wszędzie.

A wpływ wykracza poza UE. Firmy w krajach takich jak Norwegia czy Meksyk, które obsługują klientów z UE, również odczują presję, aby spełnić te standardy.

Kod LEI to prosty, ale potężny sposób na budowanie zaufania i przejrzystości w tej nowej erze regulacji cyfrowych.

Przegląd kraj po kraju

LEI System świadczy usługi rejestracji LEI w ponad 170 jurysdykcjach na całym świecie, co czyni nas jednym z najbardziej globalnie połączonych agentów rejestracyjnych. Poniżej przedstawiamy wybrane rynki, na których już działamy z dedykowanymi lokalnymi stronami internetowymi. Ta lista nie jest wyczerpująca – nowe domeny krajowe są ciągle dodawane wraz z rozszerzaniem naszej międzynarodowej obecności. Poniższe przykłady pokazują, jak rozwija się wdrażanie NIS2 w tych krajach, co to oznacza dla firm i jak kod LEI wspiera zgodność.

🇪🇪 Estonia

Status. W dniu 7 maja 2025 roku Komisja Europejska wydała uzasadnioną opinię dla Estonii, ponieważ pełna transpozycja NIS2 nie została zgłoszona. Estonia już posiada Ustawę o cyberbezpieczeństwie (2018, zmienioną w 2022 roku), która jest teraz aktualizowana zgodnie z NIS2. Odpowiedzialne jest Ministerstwo Gospodarki i Komunikacji. Zobacz także stronę UE o strategii cyfrowej dotyczącą NIS2.
Co to oznacza. Akty wykonawcze określą wymagania dotyczące kontroli ryzyka, odpowiedzialności zarządu, oceny łańcucha dostaw i zgłaszania incydentów. Firmy powinny już teraz przygotować swoje procesy.
Rola LEI. LEI jest między innymi niezbędny do jednoznacznej identyfikacji w raportach incydentów i audytach łańcucha dostaw. Przyspiesza współpracę transgraniczną, unika pomyłek związanych z nazwami firm i wspiera ścieżki audytu.
Złożenie wniosku o LEI na stronie internetowej estońskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇱🇻 Łotwa

Status. Łotwa przyjęła nową Ustawę o cyberbezpieczeństwie, która weszła w życie 1 września 2024 roku. Firmy musiały zarejestrować swój status do 1 kwietnia 2025 roku i złożyć pierwszą samoocenę do 1 października 2025 roku. Kompetentnym organem jest CERT.LV.
Co to oznacza. Łotewskie firmy muszą wyznaczyć odpowiedzialnego urzędnika, przeprowadzać oceny ryzyka i przestrzegać obowiązków sprawozdawczych zgodnie z nowym prawem.
Rola LEI. LEI pomaga między innymi w jednoznacznej identyfikacji partnerów transgranicznych i poprawia przejrzystość na rynku bałtyckim.
Złożenie wniosku o LEI na stronie internetowej łotewskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇱🇹 Litwa

Status. Litwa zmieniła swoją Ustawę o cyberbezpieczeństwie 11 lipca 2024 roku, a przepisy weszły w życie 18 października 2024 roku. Regulacje wykonawcze zostały wprowadzone 11 listopada 2024 roku. Kompetentnym organem jest Narodowe Centrum Cyberbezpieczeństwa (NCSC).
Co to oznacza. Litewskie firmy muszą przestrzegać nowych obowiązków dotyczących zarządzania ryzykiem, kontroli łańcucha dostaw i zgłaszania incydentów.
Rola LEI. LEI jest między innymi ważny dla mapowania dostawców i audytów, zapewniając spójną identyfikację ponad granicami.
Złożenie wniosku o LEI na stronie internetowej litewskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇵🇱 Polska

Status. Polska nie dotrzymała terminu październik 2024. W dniu 7 maja 2025 roku Komisja wydała uzasadnioną opinię. Projekt ustawy jest w przygotowaniu i oczekiwany w 2026 roku. Kompetentnym organem będzie Ministerstwo Cyfryzacji.
Co to oznacza. Polskie firmy wkrótce będą musiały wykazać zgodność poprzez rejestrację, zarządzanie ryzykiem i kontrole łańcucha dostaw.
Rola LEI. LEI pomaga między innymi w standaryzacji kontroli dostawców i upraszcza raportowanie w systemach UE.
Złożenie wniosku o LEI na stronie internetowej polskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇩🇰 Dania

Status. Dania otrzymała uzasadnioną opinię 7 maja 2025 roku za niewywiązanie się z pełnej transpozycji. Opublikowano projekty ustaw sektorowych. Odpowiedzialny jest Duński Urząd Biznesowy.
Co to oznacza. Firmy powinny już teraz wdrażać systemy zarządzania ryzykiem, zgłaszania incydentów i odpowiedzialności zarządu, ponieważ te wymagania wkrótce staną się obowiązkowe.
Rola LEI. LEI zwiększa między innymi przejrzystość łańcucha dostaw i ułatwia zgodność z wymogami partnerów z UE.
Złożenie wniosku o LEI na stronie internetowej duńskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇸🇮 Słowenia

Status. Słowenia otrzymała uzasadnioną opinię 7 maja 2025 roku. Dostosowania zostaną uwzględnione w Ustawie o bezpieczeństwie informacji. Kompetentnym organem jest Administracja Bezpieczeństwa Informacji.
Co to oznacza. Przygotowywane są szczegółowe procedury dotyczące powiadomień o incydentach i zarządzania ryzykiem.
Rola LEI. LEI zapewnia między innymi przejrzystość w raportach i ocenach partnerów.
Złożenie wniosku o LEI na stronie internetowej słoweńskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇮🇹 Włochy

Status. Włochy zakończyły transpozycję NIS2. Kompetentnym organem jest ACN (Krajowa Agencja Cyberbezpieczeństwa).
Co to oznacza. Włoskie firmy muszą przestrzegać jasno określonych wymagań dotyczących zarządzania ryzykiem, odpowiedzialności zarządu i zgłaszania incydentów.
Rola LEI. LEI pomaga między innymi w ujednoliceniu raportowania w organizacjach międzynarodowych i zmniejsza błędy w wymianie transgranicznej.
Złożenie wniosku o LEI na stronie internetowej włoskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇪🇸 Hiszpania

Status. Hiszpania otrzymała uzasadnioną opinię 7 maja 2025 roku. Transpozycja jest w toku. Odpowiedzialne jest Ministerstwo Spraw Gospodarczych i Transformacji Cyfrowej.
Co to oznacza. Hiszpańskie firmy muszą przygotować się na zaktualizowane procedury raportowania i bardziej rygorystyczne oceny łańcucha dostaw.
Rola LEI. LEI upraszcza między innymi identyfikację dostawców transgranicznych i poprawia dokładność raportowania.
Złożenie wniosku o LEI na stronie internetowej hiszpańskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇫🇮 Finlandia

Status. Finlandia otrzymała uzasadnioną opinię 7 maja 2025 roku. Trwają prace nad regulacjami technicznymi. Odpowiedzialne jest Narodowe Centrum Cyberbezpieczeństwa.
Co to oznacza. Firmy muszą przygotować się na 24-godzinne i 72-godzinne terminy raportowania oraz kontrole bezpieczeństwa łańcucha dostaw.
Rola LEI. LEI wspiera między innymi należytą staranność wobec dostawców i zapewnia spójną identyfikację w raportach.
Złożenie wniosku o LEI na stronie internetowej fińskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇸🇪 Szwecja

Status. Szwecja otrzymała uzasadnioną opinię 7 maja 2025 roku. Trwają prace nad nowym prawem dotyczącym cyberbezpieczeństwa. Szwedzka Agencja ds. Sytuacji Kryzysowych (MSB) będzie odpowiednim organem.
Co to oznacza. Firmy powinny spodziewać się szybkiego egzekwowania prawa po jego przyjęciu i już teraz zacząć dostosowywać swoje procesy.
Rola LEI. LEI zmniejsza między innymi błędy w identyfikacji dostawców i wzmacnia ścieżki audytu.
Złożenie wniosku o LEI na stronie internetowej szwedzkiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇨🇿 Czechy

Status. Czechy otrzymały uzasadnioną opinię 7 maja 2025 roku. Odpowiednim organem jest NÚKIB (Narodowa Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Informacji).
Co to oznacza. Listy istotnych i ważnych podmiotów oraz procedury zgłaszania incydentów są finalizowane.
Rola LEI. LEI pomaga między innymi uniknąć pomyłek związanych z nazwami firm i wspiera współpracę ponad granicami.
Złożenie wniosku o LEI na stronie internetowej czeskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇧🇪 Belgia

Status. Belgia zakończyła transpozycję NIS2. Odpowiednim organem jest Centrum ds. Cyberbezpieczeństwa Belgia (CCB).
Co to oznacza. Belgijskie firmy muszą przestrzegać ram nadzorczych i spełniać obowiązki związane z raportowaniem incydentów.
Rola LEI. LEI przyspiesza między innymi audyty i zapewnia precyzję w raportowaniu.
Złożenie wniosku o LEI na stronie internetowej belgijskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇳🇱 Niderlandy

Status. Niderlandy otrzymały uzasadnioną opinię 7 maja 2025 roku. Odpowiednim organem jest Narodowe Centrum Cyberbezpieczeństwa (NCSC).
Co to oznacza. Holenderskie firmy wkrótce będą musiały spełniać szczegółowe obowiązki nadzorcze i zgodności.
Rola LEI. LEI usprawnia między innymi procesy KYC/KYB w międzynarodowych łańcuchach dostaw.
Złożenie wniosku o LEI na stronie internetowej holenderskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇵🇹 Portugalia

Status. Portugalia otrzymała uzasadnioną opinię 7 maja 2025 roku. Transpozycja jest nadal niekompletna. Odpowiednim organem jest Narodowe Centrum Cyberbezpieczeństwa (CNCS).
Co to oznacza. Portugalskie firmy powinny przygotować się na wymagania sektorowe i bardziej rygorystyczne raportowanie incydentów.
Rola LEI. LEI może być między innymi wykorzystywany w umowach i audytach dostawców w celu wzmocnienia odpowiedzialności.
Złożenie wniosku o LEI na stronie internetowej portugalskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇫🇷 Francja

Status. Francja otrzymała uzasadnioną opinię 7 maja 2025 roku. Transpozycja jest częściowo niekompletna. Odpowiednim organem jest ANSSI (Narodowa Agencja ds. Cyberbezpieczeństwa).
Co to oznacza. Francuskie firmy oczekują na akty wykonawcze specyficzne dla sektora, które określą kroki zgodności.
Rola LEI. LEI wspiera między innymi wiarygodność w umowach transgranicznych i raportowaniu regulacyjnym.
Złożenie wniosku o LEI na stronie internetowej francuskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇳🇴 Norwegia (poza UE)

Status. Norwegia nie jest członkiem UE, ale często przyjmuje przepisy UE poprzez EOG. NIS1 jest już wdrożony, a trwają przygotowania do dostosowania do NIS2. Odpowiedzialny jest Narodowy Urząd Bezpieczeństwa (NSM).
Co to oznacza. Norweskie firmy współpracujące z partnerami z UE powinny proaktywnie dostosować się do standardów NIS2, aby pozostać zgodnymi i konkurencyjnymi.
Rola LEI. LEI zmniejsza między innymi koszty procesów KYC/KYB i ułatwia współpracę z partnerami z UE.
Złożenie wniosku o LEI na stronie internetowej norweskiego systemu LEI jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.

🇲🇽 Meksyk (poza UE)

Status. Meksyk obecnie nie posiada jednolitego krajowego prawa dotyczącego cyberbezpieczeństwa. W 2025 roku trwają dyskusje na temat stworzenia ram dla cyberbezpieczeństwa. Niedawno zaktualizowano Federalną Ustawę o Ochronie Danych.
Co to oznacza. Firmy powiązane z partnerami z UE powinny dobrowolnie dostosować się do standardów UE, aby utrzymać zaufanie w transgranicznych łańcuchach dostaw.
Rola LEI. LEI wzmacnia między innymi zaufanie w operacjach międzynarodowych, szczególnie w finansach i logistyce.
Złożenie wniosku o LEI na stronie internetowej meksykańskiego systemu LEI. jest bardzo proste. Zobacz także szczegółowy przegląd naszych przystępnych cenowo usług LEI.