TransInfo
SpedycjaTransportLogistyka

AdobeStock

NIS2 wchodzi do transportu. Co nowe przepisy oznaczają dla przewoźników i firm logistycznych

Odsłuchaj artykuł

Ten artykuł przeczytasz w 9 minut
Artur Lysionok

Artur Lysionok

Redaktor trans.iNFO | 12.06.2026

Przez lata cyberbezpieczeństwo w branży transportowej pozostawało poza głównym nurtem zarządzania ryzykiem – traktowane jako zagadnienie właściwe sektorowi finansowemu lub energetyce. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, implementująca unijną dyrektywę NIS2, zmienia ten stan rzeczy w sposób trwały. Sektor transportu zyska dedykowany zespół reagowania na incydenty, właściwy organ nadzorczy oraz katalog nowych obowiązków compliance. Rządowe sprawozdanie z 2025 roku dokumentuje skalę wyzwania.

Za tym tekstem stoi człowiek - nie sztuczna inteligencja. To materiał przygotowany w całości przez redaktora, z wykorzystaniem jego wiedzy i doświadczenia.

Przypomnijmy – NIS2 to unijna dyrektywa, która ma na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Stanowi ona rozwinięcie pierwszej dyrektywy NIS i wprowadza szereg istotnych zmian w krajowych systemach cyberbezpieczeństwa, w tym w Polsce.

Przed analizą regulacji warto jeszcze rzucić okiem na dane, które stanowią ich podstawę merytoryczną. W polskim Krajowym Systemie Cyberbezpieczeństwa (KSC) na poziomie operacyjnym funkcjonują trzy kluczowe zespoły CSIRT (Computer Security Incident Response Team) poziomu krajowego. Każdy z nich ma ściśle określony obszar odpowiedzialności, co pozwala na kompleksową ochronę państwa przed zagrożeniami cyfrowymi.

W 2025 roku CSIRT-y obsłużyły prawie 273 tys. incydentów cyberbezpieczeństwa w Polsce – o 144,4 proc. więcej niż rok wcześniej. Samo CSIRT NASK (jednostka o największej skali operacyjnej w całym systemie), właściwe m.in. dla przedsiębiorstw i operatorów usług kluczowych, odnotowało wzrost o 152 proc., obsługując ponad 260 tys. zdarzeń.

Równie istotny jest wskaźnik skuteczności ataków: stosunek potwierdzonych incydentów do wszystkich zgłoszeń wzrósł z 17 proc. w 2024 roku do niemal 40 proc. w roku 2025. Ataki nie tylko są częstsze, ale przede wszystkim precyzyjniejsze i coraz częściej osiągają cel. Średnia dzienna liczba obsługiwanych incydentów przez CSIRT NASK wzrosła z 283 do 714.

Transport jako podmiot kluczowy

Nowelizacja UKSC, czyli polskiego narzędzia do wykonania unijnej dyrektywy NIS2, zastępuje dotychczasowy podział (operatorzy usług kluczowych i dostawcy usług cyfrowych) dwoma nowymi kategoriami: podmiotów kluczowych i podmiotów ważnych. Kategorie te różnią się zakresem obowiązków oraz reżimem nadzorczym. Takim sposobem, dzięki NIS2, sektor transportu został oficjalnie uznany za kluczowy dla funkcjonowania państwa. 

Sektor transportu – obejmujący transport drogowy, kolejowy, lotniczy i wodny – znalazł się w wykazie sektorów objętych nowymi przepisami. Organem właściwym ds. cyberbezpieczeństwa dla sektora transportu (z wyłączeniem transportu wodnego) oraz dla podsektora transportu wodnego i żeglugi śródlądowej jest Minister Infrastruktury.

Do jego kompetencji należy prowadzenie kontroli, egzekwowanie obowiązków i, w przypadku naruszeń, wszczynanie postępowań administracyjnych. Sprawozdanie Ministerstwa Cyfryzacji odnotowuje, że już w 2025 roku resort infrastruktury przeprowadził dwie planowe kontrole operatorów usług kluczowych z sektora transportu.

Skala planowanego rozszerzenia systemu jest bezprecedensowa. Szacunki wskazują na konieczność włączenia do KSC ponad 60 tysięcy nowych podmiotów w całej Polsce – wielokrotnie więcej niż obejmuje obecna regulacja.

CSIRT Infrastruktura zespół dedykowany dla transportu

Jedną z kluczowych, choć dotychczas mało obecnych w debacie branżowej informacji zawartych w sprawozdaniu jest potwierdzenie budowy CSIRT Infrastruktura – sektorowego zespołu reagowania na incydenty cyberbezpieczeństwa, tworzonego w Ministerstwie Infrastruktury z przeznaczeniem dla sektorów transportu i zaopatrzenia w wodę.

Projekt jest finansowany z Krajowego Planu Odbudowy (inwestycja C3.1.1), a jego partnerem merytorycznym jest NASK – Naukowa i Akademicka Sieć Komputerowa. Planowany termin osiągnięcia gotowości operacyjnej to połowa 2026 roku.

Dla przedsiębiorstw z branży TSL oznacza to powstanie wyspecjalizowanego zaplecza instytucjonalnego: CSIRT Infrastruktura będzie przyjmował zgłoszenia o incydentach poważnych, wspierał podmioty w procesie reagowania i prowadził analizę zdarzeń sektorowych. 

To model analogiczny do funkcjonującego od lat CSIRT KNF w sektorze finansowym czy CSIRT CeZ w ochronie zdrowia. Branża transportowa przez długi czas pozostawała poza tym ekosystemem. Wraz z nowym CSIRT-em pojawi się jednak również nowy zestaw wymagań.

Czego konkretnie będą wymagać przepisy

Sprawozdanie identyfikuje trzy zasadnicze obszary wymagań, które obejmą podmioty kluczowe i ważne, a zatem także sektor transportu.

  1. Zarządzanie ryzykiem i obsługa incydentów. Firmy będą zobowiązane do wdrożenia sformalizowanych procedur zarządzania ryzykiem cyberbezpieczeństwa oraz do obsługi i raportowania incydentów w określonych ramach czasowych. W praktyce oznacza to konieczność posiadania aktualnej dokumentacji bezpieczeństwa, jednoznacznego przypisania odpowiedzialności w strukturze organizacyjnej i wdrożenia procesów, które w znacznej części firm TSL nie są dziś skodyfikowane.
  2. Bezpieczeństwo łańcucha dostaw ICT. To wymóg, który może okazać się najbardziej wymagający operacyjnie. Nowelizacja nakłada obowiązek weryfikacji dostawców sprzętu i oprogramowania w ramach tzw. ICT Supply Chain Risk Management. Podmioty będą musiały identyfikować i eliminować rozwiązania pochodzące od dostawców wysokiego ryzyka (HRV) w systemach krytycznych. Operator logistyczny korzystający z zewnętrznego dostawcy TMS, systemów telematyki flotowej czy oprogramowania WMS będzie zobowiązany do przeprowadzenia oceny bezpieczeństwa tego dostawcy. Uzasadnienie regulacyjne jest czytelne: w 2025 roku CSIRT GOV odnotował intensyfikację ataków ukierunkowanych na kontraktorów i zewnętrznych dostawców usług obsługujących podmioty infrastruktury krytycznej.
  3. Krajowy plan reagowania na incydenty na dużą skalę. Nowelizacja formalizuje plan określający kanały wymiany informacji i procedury na wypadek cyberincydentów przekraczających standardowe zdolności reagowania systemu. Podmioty kluczowe z sektora transportu będą musiały dysponować wiedzą o strukturze eskalacji: do kogo kierować zgłoszenia, w jakim terminie i w jakiej formie.

Sprawozdanie wskazuje, że przestępcy coraz częściej atakują nie tylko same firmy, ale ich serwisantów i dostawców IT. Włamanie do jednego dostawcy oprogramowania może dać hakerom dostęp do systemów setek firm transportowych jednocześnie. NIS2 ma temu zapobiec poprzez wymuszenie lepszych zabezpieczeń w całym łańcuchu logistycznym. 

Inaczej mówiąc, dla transportu drogowego NIS2 oznacza koniec dobrowolności w dbaniu o komputery. Cyberbezpieczeństwo staje się tak samo ważnym elementem prowadzenia firmy, jak przegląd techniczny ciężarówek czy czas pracy kierowców.

Największe ryzyko operacyjne

Sprawozdanie sygnalizuje istotne ryzyko systemowe, które ma bezpośrednie przełożenie na decyzje biznesowe. Gwałtowne rozszerzenie KSC o tysiące nowych podmiotów może prowadzić do przeciążenia organów nadzorczych. Co ważniejsze z perspektywy rynku, doprowadzi to do powstawania “fasadowych” struktur bezpieczeństwa: spełniających wymogi formalne bez rzeczywistej zdolności do reagowania na incydenty.  

To ryzyko adresowane do podmiotów, które mogłyby być skłonne do minimalizowania nakładów na wdrożenie, byle spełnić kryteria zgodności. Tymczasem struktury bezpieczeństwa nieposiadające realnych kompetencji operacyjnych nie stanowią ochrony przed atakiem, a jednocześnie generują ekspozycję na odpowiedzialność prawną w przypadku naruszenia.

Sprawozdanie resortu cyfryzacji jest precyzyjne: wiele podmiotów objętych nowelizacją, zwłaszcza tych o niższej dojrzałości cyfrowej, “będzie wymagało znacznego wsparcia technicznego, merytorycznego i finansowego”. Branża transportowa nie jest w tym zakresie wyjątkiem.

Deficyt kompetencji

Nawet podmioty zdecydowane na rzetelne wdrożenie nowych przepisów napotkają na ograniczenie strukturalne: niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Sprawozdanie klasyfikuje kryzys kadrowy i deficyt finansowania jako jedyne ryzyko w całej matrycy ocen z wynikiem krytycznym – 16 na 16 możliwych punktów. Sektor publiczny nie jest w stanie skutecznie konkurować z rynkiem prywatnym o ekspertów w tej dziedzinie.

Dla przedsiębiorstw transportowych przekłada się to na realne trudności z pozyskaniem zewnętrznego wsparcia przy wdrożeniu wymagań NIS2, i na rosnące koszty tego wsparcia. Sam regulator przyznaje wprost: Ministerstwo Infrastruktury, przy obecnych zasobach kadrowych, nie będzie w stanie realizować pełnego zakresu nowych zadań kontrolnych jako organ nadzorczy. Ministerstwo planuje rozbudowę zespołu w 2026 roku.

W tym kontekście wczesne uruchomienie procesu wdrożeniowego stanowi przewagę – zarówno pod względem dostępności kompetencji na rynku, jak i możliwości rozłożenia nakładów w czasie.

Co wdrożyć już teraz zasoby dostępne bez czekania na przepisy

Sprawozdanie wskazuje kilka narzędzi i platform operacyjnych dostępnych dla podmiotów z sektora TSL już dziś:

cyber.gov.pl – portal uruchomiony przez Ministerstwo Cyfryzacji i NASK w grudniu 2025 roku. Stanowi centralny punkt kontaktowy dla uczestników KSC: umożliwia zgłaszanie incydentów, zapewnia dostęp do ostrzeżeń i komunikatów Pełnomocnika, bazy wiedzy oraz wytycznych NIS2. Konsoliduje narzędzia dotychczas rozproszone w różnych zasobach instytucjonalnych.

moje.cert.pl z systemem Artemis – bezpłatne narzędzie do automatycznego skanowania podatności z powiadomieniami o wykrytych lukach. Umożliwia proaktywną identyfikację słabych punktów w infrastrukturze przed wystąpieniem incydentu.

System S46 – platforma wymiany informacji o zagrożeniach między podmiotami KSC. Ministerstwo Infrastruktury aktywnie promuje S46 wśród podmiotów transportowych, które po wejściu w życie nowelizacji uzyskają status podmiotów kluczowych lub ważnych. System jest rozbudowywany o moduł samorejestracji nowych uczestników.

Rekomendacje techniczne Pełnomocnika – w 2025 roku Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał 3 oficjalne rekomendacje techniczne (dotyczące m.in. oprogramowania Roundcube i produktów Cisco) oraz 7 komunikatów ostrzegawczych. Systematyczne monitorowanie tych publikacji na gov.pl stanowi element minimalnej dyscypliny operacyjnej w obszarze bezpieczeństwa.

Audyt dostawców ICT – przed formalnym wejściem w życie przepisów warto przeprowadzić inwentaryzację zewnętrznych dostawców systemów IT, oprogramowania i sprzętu. To fundament późniejszego wdrożenia wymagań w zakresie bezpieczeństwa łańcucha dostaw i, jak wskazuje raport, jeden z najpilniejszych kroków wobec rosnącej liczby ataków realizowanych przez wektor dostawców zewnętrznych.

Kiedy i co wchodzi w życie

Sprawozdanie potwierdza, że w 2025 roku projekt nowelizacji UKSC został przyjęty przez Rząd, a w 2026 r. został uchwalony przez Parlament i podpisany przez Prezydenta. Pełne wdrożenie przepisów i operacjonalizacja systemu zaplanowane są na 2026 rok.

CSIRT Infrastruktura ma osiągnąć gotowość operacyjną w połowie 2026 roku. Na nowe CSIRT-y sektorowe nałożono 18-miesięczny termin na osiągnięcie pełnej zdolności operacyjnej od wejścia w życie przepisów. W analogicznym horyzoncie czasowym nowe podmioty kluczowe i ważne będą zobowiązane do dostosowania swoich procedur do wymagań ustawy.

Dla przedsiębiorstw z branży TSL oznacza to, że bieżący moment – przed uruchomieniem pełnego reżimu kontrolnego – jest optymalnym oknem na przeprowadzenie analizy luk i zaplanowanie procesu wdrożeniowego. Za rok presja regulacyjna i rynkowa będzie znacząco wyższa.

Tagi:
Stałe zlecenia i płatności do 25 dni. GPW Logistics szuka przewoźników

Stałe zlecenia i płatności do 25 dni. GPW Logistics szuka przewoźników

Artykuł sponsorowany

Artykuł sponsorowany 8.06.2026

Wprowadzimy Twoją firmę transportową do Niemiec

Wprowadzimy Twoją firmę transportową do Niemiec

Artykuł sponsorowany

Artykuł sponsorowany 10.06.2026

MAUFFREY POLSKA – kontrakty długoterminowe dla przewoźników Premium

MAUFFREY POLSKA – kontrakty długoterminowe dla przewoźników Premium

Artykuł sponsorowany

Artykuł sponsorowany 1.06.2026

Zobacz również

Nowe przepisy SENT obowiązują już od miesiąca. Gdzie przewoźnik ponosi największe ryzyko?
Nowe przepisy SENT obowiązują już od miesiąca. Gdzie przewoźnik ponosi największe ryzyko?
Rynek magazynowy przyspiesza przed sezonem. Rośnie popyt na pracowników
Rynek magazynowy przyspiesza przed sezonem. Rośnie popyt na pracowników
Czas pracy kierowców w 2026 r. – nowe obowiązki i kontrole. Bezpłatny webinar E100 Academy.
Czas pracy kierowców w 2026 r. – nowe obowiązki i kontrole. Bezpłatny webinar E100 Academy.
Polska logistyka szuka nowego modelu wzrostu. “Przyszłość należy do ekosystemów biznesowych”
Polska logistyka szuka nowego modelu wzrostu. “Przyszłość należy do ekosystemów biznesowych”
Firmy transportowe stawiają na ostrożność. Nastroje najgorsze od 2020 r.
Firmy transportowe stawiają na ostrożność. Nastroje najgorsze od 2020 r.
Nowe unijne przepisy już obowiązują. Dwie ważne zmiany dla przewoźników od czerwca
Nowe unijne przepisy już obowiązują. Dwie ważne zmiany dla przewoźników od czerwca