Wdrożenie9 min czytania

Wdrożenie NIS 2 w Gdyni — porty, MSP, logistyka

Sektory Gdyni objęte KSC i NIS 2

Gdynia ma profil gospodarczy zdominowany przez sektory objęte ustawą o KSC i dyrektywą NIS 2: Port Gdynia (operator obiektu portowego — podmiot kluczowy z zał. nr 1, sektor transport wodny), klastry logistyczne i spedycyjne (DCT, BCT, Hutchison Ports, ICTSI), terminale promowe (Stena Line, Polferries), firmy stoczniowe (Crist, Remontowa Holding), sektor MŚP w obszarze IT i fintech, instytucje publiczne (Urząd Miasta Gdyni, MOPS, ARP Oddział Gdynia, Akademia Marynarki Wojennej), oraz szpitale (Szpital Morski im. PCK, Szpitale Pomorskie). Każdy z tych podmiotów ma odrębną ścieżkę wdrożenia wynikającą z klasyfikacji z art. 5 ustawy o KSC.

Sektor w GdyniZałącznik KSCTypowa klasyfikacja
Operatorzy portowi (DCT, BCT, ZMPG)Zał. 1 — transport wodnyPK (niezależnie od wielkości)
Armatorzy promowi (Stena, Polferries)Zał. 1 — transport wodnyPK lub PW (zależnie od progu wielkości)
Spedytorzy / logistyka morska (klasa NACE 52.22)Zał. 1 — transport wodnyPK / PW
Stocznie i Crist, RemontowaZał. 2 — produkcja pozostałego sprzętu transportowego (NACE C30)PW (jeśli średni/duży)
Akademia Marynarki WojennejZał. 1 — podmioty publicznePK (publ. instytucja edukacyjna)
Urząd Miasta Gdyni (~1800 etatów)Zał. 1 — podmioty publicznePK (≥50 FTE)
MŚP ICT / fintech w GdyniZał. 1 lub 2 (zależnie od sektora głównego)PW lub poza KSC (mikro/mali wyłączeni z większości sektorów)

Port Gdynia — podmiot kluczowy z mocy zał. 1

Port Gdynia jest w polskim systemie cyberbezpieczeństwa kazusem szczególnym. Zgodnie z zał. nr 1 do KSC (sektor transport wodny) podmiotem kluczowym jest „podmiot zarządzający portem morskim, o którym mowa w art. 3 ust. 1 pkt 2 ustawy z 4 września 2008 r. o ochronie żeglugi i portów morskich" — czyli Zarząd Morskiego Portu Gdynia SA. Dodatkowo: „podmiot zarządzający obiektem portowym, o którym mowa w art. 2 pkt 11 rozporządzenia (WE) 725/2004" — czyli operatorzy poszczególnych terminali (DCT, BCT, GOT, ICTSI, OT Logistics).

Port Gdynia jako podmiot kluczowy z zał. 1 podlega NIEZALEŻNIE OD WIELKOŚCI (art. 5 ust. 1 pkt 4 lit. g KSC — „podmiot, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 1 do ustawy z nazwy albo przez określenie jego rodzaju"). Oznacza to pełen reżim: SZBI z art. 8 ust. 1, audyt co 3 lata (art. 15), proaktywny nadzór ex ante (art. 53), szkolenie kierownika co rok (art. 8e), niekaralność personelu (art. 8f).
  • VTS (Służba Kontroli Ruchu Statków) — aparat dyrektora urzędu morskiego — podmiot kluczowy (zał. 1, część Narodowego Systemu SafeSeaNet).
  • Operatorzy terminali kontenerowych (DCT Gdańsk, BCT Gdynia) — PK jako podmioty zarządzające obiektem portowym.
  • Armatorzy w transporcie morskim pasażerów i towarów wg rozp. (WE) 725/2004 — PK (z wyłączeniem pojedynczych statków).
  • Spedytorzy klasy NACE 52.22 (działalność wspomagająca transport morski) — PK lub PW zależnie od wielkości.

MSP w Gdyni a obowiązek wdrożenia NIS 2

Małe i średnie przedsiębiorstwa stanowią większość firm z Gdyni (~85% wg statystyk pomorskich izb gospodarczych). Dla nich obowiązek wdrożenia NIS 2 / KSC zależy od dwóch zmiennych: sektora (zał. 1 lub 2) oraz progu wielkościowego z rozporządzenia 651/2014/UE. Szczegóły opisujemy w artykule „Kiedy MŚP podlega ustawie o KSC?\".

Wielkość firmy w GdyniSektor zał. 1 (kluczowy)Sektor zał. 2 (ważny)Poza zał. 1 i 2
Mikro (1–9 osób, obroty <2 mln EUR)Wyłączeni (poza wyjątkami art. 5 ust. 1 pkt 4 — DNS, TLD itp.)WyłączeniPoza KSC
Mały (10–49 osób, <10 mln EUR)Wyłączeni (poza wyjątkami)WyłączeniPoza KSC
Średni (50–249 osób, <50 mln EUR)Podmiot ważny (PW)Podmiot ważny (PW)Poza KSC
Duży (≥250 osób lub ≥50 mln EUR)Podmiot kluczowy (PK)Podmiot ważny (PW)Poza KSC
Wyjątek dla telekomunikacji (art. 5 ust. 1 pkt 2 i ust. 2 pkt 4 KSC): przedsiębiorcy komunikacji elektronicznej średni/duzi są kluczowi, mikro/mali — ważni. Niezależnie od progu obowiązuje minimum SZBI z art. 8 ust. 1.

Plan wdrożenia krok po kroku

Plan wdrożenia NIS 2 dla podmiotu z Gdyni — minimum 12 miesięcy od spełnienia przesłanek (art. 16 pkt 1 KSC). Realnie 14–18 miesięcy uwzględniając budowę dokumentacji, szkolenia i testy.

  1. Miesiąc 0–1: Samoidentyfikacja statusu — analiza sektora wg zał. 1 i 2 KSC + progi wielkościowe + wykluczenia. Określenie głównego CSIRT (zwykle CSIRT NASK dla podmiotów cywilnych z Gdyni; CSIRT MON dla podległych MON).
  2. Miesiąc 1–2: Wpis do wykazu w systemie S46 (art. 7c ust. 1 KSC) — termin 6 miesięcy od spełnienia przesłanek; dla istniejących 3.04.2026 — termin 3.10.2026.
  3. Miesiąc 2–4: Inwentaryzacja aktywów i systemów informacyjnych objętych usługą kluczową/ważną. Pierwsza analiza ryzyka (art. 8 ust. 1 pkt 1).
  4. Miesiąc 4–7: Wdrożenie 14 obszarów SZBI z art. 8 ust. 1 pkt 2 lit. a–n — polityki, łańcuch dostaw, BCP, monitoring ciągły, MFA, kryptografia, szkolenia, kontrola dostępu.
  5. Miesiąc 5–7: Dokumentacja normatywna i operacyjna (art. 10 KSC). Plan ciągłości działania z testami.
  6. Miesiąc 6–8: Procedury reagowania na incydenty (art. 11 KSC) — wczesne ostrzeżenie 24h, zgłoszenie 72h, sprawozdanie końcowe 1 miesiąc.
  7. Miesiąc 8–9: Szkolenia personelu i obowiązkowe szkolenie kierownika (art. 8e KSC) — raz w roku kalendarzowym, udokumentowane.
  8. Miesiąc 9–12: Testy planów ciągłości, ćwiczenia incydentowe, audyt wewnętrzny pre-audit.
  9. Miesiąc 22–24 (dla PK): Pierwszy audyt obowiązkowy z art. 15 ust. 1 KSC — co najmniej raz na 3 lata. Dla PK istniejących 3.04.2026 — termin do 3.04.2028.

Terminy wdrożeniowe 2026–2028

Terminy są nieprzesuwalne. Niezgłoszenie do wykazu w 6 miesięcy podlega karze pieniężnej (art. 73 ust. 1 pkt 1 + ust. 1a). Niewdrożenie SZBI w 12 miesięcy — kara z art. 73 ust. 1 pkt 3 (do 10 mln EUR lub 2% przychodów dla PK; do 7 mln EUR lub 1,4% dla PW). Sprawdź pełny harmonogram terminów wdrożenia KSC 2026–2028.
TerminObowiązekPodstawa prawna
3 kwietnia 2026 r.Wejście w życie nowelizacji KSC transponującej NIS 2Dz.U. 2026 poz. 252
3 października 2026 r.Rejestracja w wykazie S46 (PK i PW istniejące w dniu wejścia w życie)Art. 7c ust. 1 KSC + art. 33 ust. 1
3 kwietnia 2027 r.Pełne wdrożenie SZBI z art. 8 ust. 1 dla istniejących PK i PW (12 mies. od wejścia w życie)Art. 16 pkt 1 + art. 33 ust. 1
3 kwietnia 2028 r.Pierwszy obowiązkowy audyt bezpieczeństwa dla PK istniejących (24 mies.)Art. 16 pkt 2 + art. 33 ust. 2
IdealData Sp. z o.o. (siedziba: Chwaszczyno k. Gdańska) świadczy usługi wdrożeniowe NIS 2 dla podmiotów z sektorów: transport wodny i portowy, logistyka morska, MŚP, administracja publiczna. Oferujemy obsługę firm i jednostek z Gdyni. Czas dojazdu z siedziby do Gdyni: ok. 25 minut. Pierwsza konsultacja bezpłatna — pomożemy w klasyfikacji PK/PW i ustaleniu harmonogramu wdrożenia.
FAQ5 pytań

Najczęstsze pytania

Czy Port Gdynia musi wdrożyć NIS 2?
Tak. Zarząd Morskiego Portu Gdynia SA jest podmiotem kluczowym z mocy zał. 1 do KSC (sektor transport wodny, podsektor — podmiot zarządzający portem morskim) — niezależnie od wielkości. Również operatorzy terminali portowych w Gdyni (BCT Gdynia, GOT, ICTSI) jako „podmioty zarządzające obiektem portowym" są PK. Obowiązki: pełny SZBI z art. 8 ust. 1 KSC, audyt co 3 lata (art. 15), proaktywny nadzór, szkolenie kierownika co rok (art. 8e), niekaralność personelu (art. 8f). Pierwszy audyt dla portów istniejących 3.04.2026 — do 3 kwietnia 2028 r.
Czy średnia firma spedycyjna z Gdyni (60 osób) jest podmiotem ważnym?
Tak — jeśli spełnia wymogi dla średniego przedsiębiorcy (50–249 FTE LUB obrót ≥10 mln EUR + ≤50 mln EUR LUB suma bilansowa ≥10 mln EUR + ≤43 mln EUR — wg rozp. 651/2014/UE) i prowadzi działalność wspomagającą transport morski (NACE 52.22 — sektor transport wodny z zał. 1 KSC), to jest podmiotem ważnym (art. 5 ust. 2 pkt 1). Obowiązek pełnego SZBI z art. 8 ust. 1 (nie uproszczonego z zał. 4 — to dla podmiotów publicznych), rejestracji w wykazie do 3.10.2026 i wdrożenia SZBI do 3.04.2027. Audyt — tylko na żądanie organu w trybie art. 15 ust. 1b.
Czy mały zakład produkcji jachtów (15 osób) z Gdyni podlega KSC?
Co do zasady nie. Sektor produkcji (zał. 2, NACE C30 — produkcja pozostałego sprzętu transportowego) obejmuje podmioty ważne tylko dla średnich i dużych przedsiębiorców (art. 5 ust. 2 pkt 2 KSC). Mali (10–49 osób, <10 mln EUR) są wyłączeni. Wyjątek: organ właściwy ds. cyberbezpieczeństwa może uznać mikro/małego przedsiębiorcę za PK lub PW decyzją z art. 7l KSC, jeśli prowadzi działalność krytyczną (np. jako jedyny świadczy usługę). Dla zwykłej małej szkutni — KSC nie ma zastosowania.
Do którego CSIRT zgłasza incydenty firma z Gdyni?
Większość podmiotów cywilnych z Gdyni (firmy ICT, spedytorzy, JST, szpitale, uniwersytety) zgłasza incydenty do CSIRT NASK (art. 26 ust. 6 KSC). Akademia Marynarki Wojennej i przedsiębiorcy realizujący zadania dla Sił Zbrojnych (art. 648 ustawy o obronie Ojczyzny) — do CSIRT MON (art. 26 ust. 5). Banki, instytucje finansowe i podmioty z infrastruktury krytycznej z jednolitego wykazu (art. 5b ust. 7 pkt 1 ustawy o zarządzaniu kryzysowym) — do CSIRT GOV (art. 26 ust. 7). Dodatkowo każdy podmiot ma CSIRT sektorowy ustanowiony przez właściwego ministra.
Czy port w Gdyni musi stosować rozporządzenie wykonawcze (UE) 2024/2690 jak dostawcy ICT?
Nie — rozp. 2024/2690 dotyczy konkretnych typów dostawców (DNS, TLD, chmura, centrum przetwarzania danych, CDN, usługi zarządzane, MSSP, platformy handlowe, wyszukiwarki, sieci społecznościowe — wg art. 8b ust. 1 KSC). Port morski nie znajduje się na tej liście. Port stosuje za to ogólne wymagania SZBI z art. 8 ust. 1 KSC oraz akty wykonawcze KE wydane na podstawie art. 21 ust. 5 dyrektywy 2022/2555 dla danego rodzaju podmiotu. W przypadku Portu Gdynia obejmującego również zarządzanie krytyczną infrastrukturą — dodatkowe wymogi z ustawy o zarządzaniu kryzysowym (jednolity wykaz infrastruktury krytycznej).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.