Jakie regulacje cyber wchodzą w 2025 r.?

Trzy główne: NIS2 (transpozycja w Polsce - nowelizacja ustawy o KSC), EU Cyber Resilience Act (UE 2024/2847 — produkty z elementami cyfrowymi, fazowane wdrożenie 2025–2027), EU Cybersecurity Act 2.0 (rozszerzenie schematów certyfikacji ENISA).

Czym jest EU Cyber Resilience Act (CRA)?

Rozporządzenie (UE) 2024/2847 z 23 października 2024 r. Wprowadza wymagania cyberbezpieczeństwa dla wszystkich produktów z elementami cyfrowymi (sprzęt wraz z oprogramowaniem). Stosowane fazowo: większość obowiązków od grudnia 2027 r., raportowanie incydentów od września 2026 r.

Nowe obowiązki od sierpnia 2025 — certyfikat cyberbezpieczeństwa dla organizacji

Q: Czy mała organizacja musi posiadać certyfikat cyberbezpieczeństwa?

Bezpośrednio: wyłącznie podmioty objęte NIS2 (kluczowe i ważne) oraz producenci produktów z elementami cyfrowymi. Pośrednio: każda organizacja będąca dostawcą takiego podmiotu — ze względu na konieczność udowodnienia własnych zabezpieczeń (zwykle poprzez ISO 27001).

Q: Jakie certyfikaty są obecnie uznawane?

ISO/IEC 27001 (system zarządzania bezpieczeństwem informacji), schematy ENISA (EUCC dla produktów ICT, EUCS dla usług chmurowych, EU5G dla 5G), TISAX (łańcuch dostaw w motoryzacji), Common Criteria EAL.

Q: Czy ISO 27001 wystarczy do zgodności z NIS2?

Nie bezpośrednio — NIS2 (art. 21) wymaga konkretnych środków technicznych i organizacyjnych. ISO 27001 stanowi najczęstszą udokumentowaną podstawę tych środków. Większość krajowych regulatorów (UKE, CSIRT NASK w Polsce) traktuje certyfikat ISO 27001 jako silny dowód zgodności.

W skrócie · 5wniosków

1Trzy regulacje od sierpnia 2025 — NIS2 (nowelizacja ustawy o KSC), EU Cyber Resilience Act (UE 2024/2847) i EU Cybersecurity Act 2.0 ze schematami ENISA.
2NIS2 — rozszerza zakres z ~7 tys. do ~50 tys. podmiotów w UE; w Polsce dodatkowo 1 500–2 500 organizacji względem starej ustawy o KSC.
3Cyber Resilience Act — wymagania dla wszystkich produktów z elementami cyfrowymi; raportowanie incydentów od września 2026 r., większość obowiązków od grudnia 2027 r.
4ISO 27001 — najczęściej akceptowany dowód zgodności; krajowi regulatorzy (CSIRT NASK, UKE) traktują certyfikat jako silny dowód spełnienia środków z art. 21 NIS2.
5Efekt domina dla MŚP — duże podmioty NIS2 wymagają od dostawców certyfikacji ISO 27001, więc firmy spoza zakresu i tak odpowiadają pośrednio przez wymagania klientów.

Sierpień 2025 roku otwiera nową fazę polskiego krajobrazu cyberbezpieczeństwa. Trzy regulacje zaczynają realnie wpływać na obowiązki organizacji — od polskich MŚP po międzynarodowe korporacje:

NIS2 (transpozycja w Polsce — nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa)
EU Cyber Resilience Act (CRA) — UE 2024/2847
EU Cybersecurity Act 2.0 — schematy certyfikacji ENISA

NIS2 w Polsce — kogo obejmuje

NIS2 (dyrektywa UE 2022/2555) rozszerza zakres podmiotów objętych regulacją cyberbezpieczeństwa z ~7 tys. do ~50 tys. organizacji w UE. W Polsce: szacunkowo 1 500–2 500 podmiotów dodatkowo objętych względem starej ustawy o KSC.

Sektory podmiotów kluczowych: energia, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda, infrastruktura cyfrowa, administracja publiczna, kosmos.

Sektory podmiotów ważnych: poczta i kurier, gospodarka odpadami, produkcja chemiczna, żywność, produkcja wyrobów medycznych/elektroniki/maszyn/pojazdów, dostawcy usług cyfrowych (B2B), badania.

Główne obowiązki: środki zarządzania ryzykiem cyberbezpieczeństwa (art. 21), powiadamianie o incydentach (24h wstępne / 72h pełne / 1 mies. raport końcowy), zarządzanie ryzykami w łańcuchu dostaw, certyfikacja ICT (gdzie wymagana), szkolenia kierownictwa. Szczegóły zakresu podmiotowego oraz stanu transpozycji opisujemy w analizie NIS2 w Polsce i opóźnionej transpozycji dyrektywy.

EU Cyber Resilience Act — produkty z elementami cyfrowymi

CRA (rozporządzenie (UE) 2024/2847) stanowi przełom regulacyjny. Po raz pierwszy w historii UE wprowadza wymagania cyberbezpieczeństwa dla wszystkich produktów z elementami cyfrowymi — od oprogramowania, przez IoT, po sprzęt medyczny i przemysłowy.

Główne wymagania dla producentów:

Bezpieczeństwo wbudowane w projekt i domyślnie włączone
Brak znanych podatności w momencie wprowadzenia produktu do obrotu
Aktualizacje bezpieczeństwa przez cały przewidywany okres użytkowania produktu (zwykle 5 lat i więcej)
Powiadamianie o aktywnie wykorzystywanych podatnościach w ciągu 24 godzin
Ocena zgodności — różne poziomy dla różnych kategorii produktów (od deklaracji własnej po obowiązkową certyfikację przez stronę trzecią)

Stosowane fazowo: raportowanie incydentów od września 2026 roku, większość obowiązków od grudnia 2027 roku. Pełny rozkład terminów dla producentów oprogramowania porządkujemy w przewodniku Cyber Resilience Act i trzy terminy 2026.

ISO 27001 jako fundament zgodności

Żadna z wymienionych regulacji nie wymaga wprost konkretnej normy. Jednak ISO/IEC 27001 stanowi najczęściej akceptowany dowód zgodności z wymaganiami systemowego zarządzania bezpieczeństwem informacji. Norma jest udokumentowana, audytowana zewnętrznie oraz uznawana międzynarodowo.

Regulator (CSIRT NASK, UKE) podczas inspekcji NIS2 oczekuje dowodów wdrożenia środków z art. 21. Certyfikat ISO 27001 stanowi najprostszy oraz najbardziej wiarygodny dowód zgodności. Tam, gdzie regulacja wymaga ciągłości działania, fundamentem pozostaje ISO 22301 jako podstawa zgodności z NIS2.

Schematy ENISA — przyszłość certyfikacji

EU Cybersecurity Act (rozporządzenie (UE) 2019/881) i jego rozszerzenia tworzą europejskie ramy certyfikacji cyberbezpieczeństwa — system certyfikacji prowadzony przez ENISA (Europejska Agencja ds. Cyberbezpieczeństwa). Pierwsze schematy:

EUCC — produkty ICT (oparte na Common Criteria, ratyfikowane 2024)
EUCS — usługi chmurowe (w przygotowaniu)
EU5G — sieci 5G (w przygotowaniu)

W przyszłości CRA dla niektórych kategorii produktów wysokiego ryzyka będzie wymagał obowiązkowej certyfikacji EUCC.

Sprawdź szczegóły procesu: certyfikacja ISO 27001.

Najczęstsze pytania

Jakie regulacje cyberbezpieczeństwa wchodzą w 2025 r.? +

NIS2 (transpozycja w Polsce), EU Cyber Resilience Act (UE 2024/2847), EU Cybersecurity Act 2.0 (schematy ENISA).

Czy mała organizacja musi posiadać certyfikat cyberbezpieczeństwa? +

Bezpośrednio — wyłącznie podmioty NIS2 oraz producenci produktów cyfrowych. Pośrednio — każdy dostawca takiego podmiotu.

Jakie certyfikaty są obecnie uznawane? +

ISO/IEC 27001, schematy ENISA (EUCC, EUCS, EU5G), TISAX, Common Criteria EAL.

Czym jest EU Cyber Resilience Act? +

Rozporządzenie (UE) 2024/2847. Wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Większość obowiązków od grudnia 2027 roku.

Czy ISO 27001 wystarczy do zgodności z NIS2? +

ISO 27001 stanowi najczęstszą udokumentowaną podstawę dla wymagań art. 21 NIS2 — uznawaną przez krajowych regulatorów jako silny dowód zgodności.

Autor artykułu

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 12 sierpnia 2025