Blog ITH ‒ Odkryj z nami świat nowoczesnych technologii

miejsce, gdzie dzielimy się wiedzą o innowacjach, trendach IT

ITH
YoutubeITH
Zobacz kanał ITH na Youtube
Kategorie

Dyrektywa NIS2 – kogo obejmuje, czego wymaga i kto za to odpowiada?

03.06.2026
Baza Wiedzy
Dyrektywa NIS2 – kogo obejmuje, czego wymaga i kto za to odpowiada?

Dyrektywa NIS2 (Network and Information Security Directive 2) to unijny akt prawny, który określa standardy w zakresie cyberbezpieczeństwa obowiązujące w całej Unii Europejskiej. Ustawa ta już obowiązuje jako twarde prawo we wszystkich państwach członkowskich. Nie jako rekomendacja. Nie jako branżowy standard dobrych praktyk. Jako egzekwowane wymagania – z karami sięgającymi 10 milionów euro i osobistą odpowiedzialnością prezesa za brak wdrożenia.

Co poszło nie tak z NIS1?

Pierwsza dyrektywa NIS z 2016 roku miała jeden strukturalny problem: państwa członkowskie implementowały ją według własnego uznania. W efekcie firma działająca w Polsce i Niemczech jednocześnie musiała poruszać się po dwóch różnych reżimach prawnych, które wywodziły się z tego samego dokumentu źródłowego, ale w szczegółach różniły się diametralnie.

Do tego doszedł rosnący katalog incydentów bezpieczeństwa komputerowego, który jasno pokazał, że NIS1 nie dotarła tam, gdzie zagrożenia faktycznie uderzają – do dostawców usług cyfrowych, operatorów chmury i łańcuchów dostaw IT. Ataki na SolarWinds, Colonial Pipeline czy szpitale całej Europy wydarzyły się w sektorach, które NIS1 traktowała marginalnie lub pomijała.

NIS2 wyciąga z tego wnioski: rozszerza listę sektorów objętych regulacją, ujednolica wymagania we wszystkich państwach członkowskich UE i po raz pierwszy wprost wskazuje zarząd jako stronę odpowiedzialną za stan bezpieczeństwa organizacji.

Kogo obejmuje dyrektywa NIS2? Podmioty kluczowe i ważne

NIS2 dzieli organizacje objęte regulacją na dwie kategorie: podmioty kluczowe i podmioty ważne (zwane też podmiotami istotnymi). To rozróżnienie nie definiuje tego, co musisz zrobić, obowiązki są w obu przypadkach bardzo zbliżone. Definiuje natomiast, jak intensywnie organy nadzorcze będą Cię kontrolować i jak wysokie kary grożą za naruszenia.

Podmioty kluczowe – sektory krytyczne dla państwa i społeczeństwa

Podmioty kluczowe działają w sektorach, których awaria oznacza realne zagrożenie dla funkcjonowania państwa lub życia obywateli:

  • Energetyka – operatorzy sieci elektroenergetycznych, ciepłowniczych, gazowych;
  • Transport – linie lotnicze, koleje, porty morskie i śródlądowe, operatorzy infrastruktury drogowej;
  • Sektor bankowy – instytucje kredytowe;
  • Infrastruktura rynków finansowych – giełdy, systemy rozliczeń;
  • Ochrona zdrowia – instytucje opieki zdrowotnej, laboratoria badawcze, producenci leków i wyrobów medycznych;
  • Gospodarka wodna – dostawcy wody pitnej i operatorzy oczyszczalni ścieków;
  • Infrastruktura cyfrowa – punkty wymiany ruchu internetowego (IXP), rejestry DNS, rejestry nazw domen TLD, dostawcy usług chmurowych, sieci dostarczania treści (CDN), centra danych;
  • Zarządzanie usługami ICT – dostawcy usług zarządzanych i zarządzanych usług bezpieczeństwa;
  • Przestrzeń kosmiczna – operatorzy naziemnej infrastruktury wspierającej usługi kosmiczne;
  • Administracja publiczna – organy administracji rządowej i samorządowej;
  • Bezpieczeństwo państwa – podmioty sektora obronności i bezpieczeństwa narodowego.
  • Przedsiębiorcy komunikacji elektronicznej – operatorzy sieci i usług łączności

Podmioty ważne (istotne) – szerszy zakres, niższy poziom nadzoru

Podmioty ważne obejmują podmioty publiczne i prywatne z sektorów takich jak:

  • Usługi pocztowe i kurierskie
  • Gospodarka odpadami
  • Produkcja, wytwarzanie i dystrybucja substancji chemicznych
  • Dystrybucja żywności – fabryki produkujące żywność i hurtownicy
  • Produkcja – urządzenia medyczne, wyroby elektroniczne, maszyny, pojazdy silnikowe
  • Dostawcy usług cyfrowych – platformy handlowe online, wyszukiwarki, portale społecznościowe
  • Badania naukowe

Kryterium wielkości – duże i średnie przedsiębiorstwa

Co do zasady NIS2 stosuje się do dużych przedsiębiorstw (powyżej 250 pracowników lub obrót powyżej 50 mln EUR) i średnich przedsiębiorstw (50–250 pracowników lub obrót 10–50 mln EUR) działających w wymienionych sektorach.

Są jednak szczególne kryteria powodujące objęcie regulacją niezależnie od wielkości: gdy podmiot jest jedynym dostawcą danej usługi w państwie członkowskim, gdy jego awaria miałaby bezpośredni wpływ na bezpieczeństwo państwa lub porządek publiczny albo gdy należy do infrastruktury cyfrowej – tu NIS2 stosuje się bez progu zatrudnienia czy przychodu.

Co dyrektywa NIS2 w praktyce oznacza dla Twojej organizacji?

NIS2 nakłada trzy rodzaje obowiązków: wdrożenie środków zarządzania ryzykiem, zgłaszanie incydentów i odpowiedzialność zarządu. Każdy z nich przekłada się na konkretne działania.

Wymogi w zakresie zarządzania ryzykiem cyberbezpieczeństwa

Dyrektywa nie wymaga perfekcji – wymaga proporcjonalności i udokumentowanej staranności. Organizacja musi wykazać, że zidentyfikowała ryzyka, wdrożyła adekwatne środki i utrzymuje je na bieżąco. Obejmuje to:

1. Ocenę ryzyka i polityki bezpieczeństwa

Regularna ocena ryzyka dla sieci i systemów informatycznych – nie jako jednorazowe ćwiczenie przy wdrożeniu, ale jako żywy dokument aktualizowany przy każdej istotnej zmianie środowiska. Ocena musi obejmować ryzyka ze strony swoich dostawców i partnerów: kompromitacja zewnętrznego dostawcy usług IT to dziś jedna z najpopularniejszych dróg ataku.

2. Obsługę incydentów

Procedury reagowania na incydenty cyberbezpieczeństwa, wyznaczone role, zdefiniowane kanały komunikacji wewnętrznej i zewnętrznej. NIS2 precyzuje terminy zgłaszania poważnych incydentów do odpowiednich organów nadzorczych – wstępne powiadomienie musi nastąpić w ciągu 24 godzin od wykrycia.

3. Ciągłość działania

Plany ciągłości działania obejmują zarządzanie kopiami zapasowymi, procedury przywracania systemów po ataku oraz zarządzanie kryzysowe. Kluczowe pytanie: ile czasu zajmuje Twojej firmie odtworzenie krytycznych danych po incydencie ransomware? Jeśli nie wiesz – plan nie istnieje w praktyce, tylko na papierze.

4. Bezpieczeństwo łańcucha dostaw

Jeden z obszarów, który organizacje najczęściej zaniedbują. NIS2 wymaga, żebyś oceniał ryzyko wynikające z relacji z dostawcami i uwzględniał wymagania bezpieczeństwa już w procesie nabywania nowych usług i technologii. To oznacza m.in. klauzule bezpieczeństwa w umowach, prawo do audytu dostawców i procedury weryfikacji.

5. Bezpieczeństwo w procesie nabywania i utrzymania sieci

Zasady bezpiecznego projektowania stosowane w całym cyklu życia systemów – od zakupu sprzętu i oprogramowania, przez utrzymania sieci i administrację, aż po dekomisję. Nieaktualne oprogramowanie bez wsparcia producenta to de facto otwarta brama.

6. Stosowanie uwierzytelniania wieloskładnikowego

NIS2 wymienia uwierzytelnianie wieloskładnikowe (MFA) wprost jako jeden z obowiązkowych środków zarządzania ryzykiem. Dotyczy to dostępu do systemów informatycznych, nie tylko aplikacji zewnętrznych. Wewnętrzne narzędzia i zdalny dostęp do infrastruktury wymagają tego samego podejścia.

7. Regularne szkolenia z cyberbezpieczeństwa

Wymagane są szkolenia zarówno dla pracowników, jak i dla kadry zarządzającej. Nie jednorazowe, nie przy wdrożeniu – regularne, odświeżane w miarę jak zmienia się krajobraz zagrożeń. Człowiek pozostaje głównym wektorem ataku: phishing, inżynieria społeczna i błędy konfiguracyjne odpowiadają za większość realnych incydentów.

Obowiązek zgłaszania incydentów

Organizacje objęte dyrektywą mają obowiązek raportować incydenty cyberbezpieczeństwa mające znaczący wpływ na ciągłość lub jakość świadczonych usług. Terminy są twarde:

  • 24 godziny – wstępne ostrzeżenie do właściwego CSIRT lub organu nadzorczego;
  • 72 godziny – pełne powiadomienie z wstępną oceną incydentu;
  • 1 miesiąc – sprawozdanie końcowe z analizą przyczyn i podjętymi działaniami naprawczymi.

Niezgłoszenie incydentu lub opóźnienie może być traktowane jako osobne naruszenie – niezależnie od tego, czy organizacja miała właściwe procedury w pozostałych obszarach.

Osobista odpowiedzialność zarządu – co to oznacza w praktyce?

To jest element NIS2, który zmienia rozmowy na poziomie zarządów. Dotychczas cyberbezpieczeństwo bywało delegowane w dół struktury, traktowane jako kwestia techniczna a nie strategiczna. NIS2 to likwiduje przez mechanizm prawny.

Dyrektywa wprost stanowi, że zarządy podmiotów objętych jej zakresem:

  • muszą zatwierdzać środki zarządzania ryzykiem w zakresie cyberbezpieczeństwa;
  • są odpowiedzialne za ich wdrożenie i skuteczność;
  • mogą ponosić osobistą odpowiedzialność za naruszenia prowadzące do poważnych incydentów.

Przepisy implementacyjne poszczególnych państw członkowskich UE mogą przewidywać możliwość tymczasowego zawieszenia prezesa lub członka zarządu w pełnieniu funkcji kierowniczych, jeżeli naruszenia były rażące lub powtarzające się.

W praktyce oznacza to, że prezes firmy objętej NIS2 powinien być w stanie odpowiedzieć na pytanie: „Jaki był wynik ostatniej oceny ryzyka i jakie działania naprawcze zostały podjęte?” Brak odpowiedzi to nie problem dyrektora IT, to problem prezesa.

Kary finansowe – liczby, które skłaniają do działania

Dyrektywa NIS2 ustanawia następujące pułapy kar pieniężnych:

  • Podmioty kluczowe – do 10 mln EUR lub 2% całkowitego rocznego obrotu (stosuje się wyższą kwotę)
  • Podmioty ważne – do 7 mln EUR lub 1,4% całkowitego rocznego obrotu

Istotna różnica w stosunku do poprzedniego reżimu: kary finansowe mogą być nakładane za brak wdrożenia egzekwowanych wymagań – niezależnie od tego, czy doszło do incydentu. Organ nadzorczy nie musi czekać na atak. Wystarczy kontrola, która wykaże brak odpowiednich procedur, polityk lub środków technicznych.

NIS2 a krajowy system cyberbezpieczeństwa w Polsce

Polska implementuje dyrektywę NIS2 przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Ustawa określa rolę poszczególnych instytucji w polskim ekosystemie ochrony cyfrowej:

  • CSIRT NASK, CSIRT GOV i CSIRT MON – trzy krajowe zespoły reagowania na incydenty bezpieczeństwa komputerowego, do których trafiają zgłoszenia z różnych sektorów;
  • Ministrowie właściwi dla poszczególnych sektorów – pełniący funkcję organów nadzorczych wobec podmiotów działających w ich obszarze;
  • Pełnomocnik Rządu ds. Cyberbezpieczeństwa – koordynujący politykę na poziomie krajowym.

Warto wiedzieć, że polska implementacja w kilku punktach idzie dalej niż minimalne wymagania dyrektywy – rozszerzając m.in. zakres podmiotów objętych regulacją. Oznacza to, że samo sprawdzenie tekstu dyrektywy NIS2 nie wystarczy; decydujące są przepisy krajowe.

Sektory objęte NIS2 – co to znaczy dla konkretnych branż?

Energetyka i infrastruktura krytyczna

Operatorzy w sektorze energetycznym – dostawcy energii elektrycznej, gazu, ropy, sieci dystrybucji i przesyłu – należą do podmiotów kluczowych o najwyższym priorytecie nadzorczym. Skutki ataku na sieć energetyczną wykraczają daleko poza samą organizację: dotykają szpitale, oczyszczalnie wody, systemy transportowe. To dlatego wymagania bezpieczeństwa w tym sektorze są formułowane tak rygorystycznie.

Instytucje opieki zdrowotnej

Sektor zdrowotny jest od kilku lat jednym z głównych celów ataków ransomware na świecie. Instytucje opieki zdrowotnej – szpitale, kliniki, laboratoria – mają specyficzny profil ryzyka: systemy często są stare, łączone z nowocześniejszymi platformami, a przestój systemów informatycznych ma bezpośrednie skutki kliniczne. NIS2 traktuje je jako podmioty kluczowe i wymaga od nich wdrożenia tych samych środków co od banków czy operatorów energetycznych.

Infrastruktura cyfrowa i dostawcy usług cyfrowych

Chmura obliczeniowa, CDN, usługi DNS, centra danych – naruszenie w tym obszarze ma zwielokrotniony zasięg: jeden zaatakowany dostawca usług cyfrowych oznacza setki lub tysiące organizacji, które straciły dostęp do swoich narzędzi jednocześnie. Stąd tu NIS2 stosuje się niezależnie od wielkości firmy – nie ma progu zatrudnienia dla podmiotów z tej kategorii.

Sektor finansowy i infrastruktura rynków finansowych

Banki i infrastruktura rynków finansowych od lat podlegają osobnym regulacjom bezpieczeństwa (m.in. DORA dla sektora finansowego). NIS2 harmonizuje te wymagania z ogólnounijnym standardem cyberbezpieczeństwa, tworząc spójny poziom ochrony na terytorium całej Unii Europejskiej.

Administracja publiczna

Podmioty publiczne: urzędy, ministerstwa, jednostki samorządowe stały się w ostatnich latach celami ataków o wyraźnym zabarwieniu geopolitycznym. Wycieki danych obywateli, paraliż rejestrów publicznych, dezinformacja przez przejęte kanały komunikacji – to realne scenariusze, którym NIS2 stara się zapobiec.

Przedsiębiorcy komunikacji elektronicznej

Operatorzy sieci telekomunikacyjnych i dostawcy usług internetowych tworzą infrastrukturę, przez którą przepływa cały ruch cyfrowy. Jako przedsiębiorcy komunikacji elektronicznej mają obowiązek nie tylko zabezpieczenia własnych systemów, ale też zapewnienia bezpiecznego i ciągłego dostępu do usług dla odbiorców usług.

Gospodarka wodna, przestrzeń kosmiczna, dystrybucja żywności

NIS2 obejmuje też sektory, których obecność na tej liście może zaskoczyć. Gospodarka wodna – dostawcy wody pitnej i operatorzy oczyszczalni ścieków – jest objęta dyrektywą, bo cyberatak na systemy sterowania może dosłownie zanieczyścić wodę pitną. Fabryki produkujące żywność i operatorzy zajmujący się dystrybucją żywności należą do podmiotów ważnych. Przestrzeń kosmiczna (operatorzy naziemnej infrastruktury satelitarnej) znalazła się w NIS2 po tym, jak kilka godzin przed inwazją na Ukrainę zaatakowano satelity komunikacyjne Viasat, pozbawiając dostępu do sieci tysiące użytkowników w Europie.

Środki techniczne i organizacyjne – co konkretnie wdrożyć?

NIS2 określa kategorie środków zarządzania ryzykiem, które organizacje muszą wdrożyć. Słowo „proporcjonalne” w połączeniu ze „środkami technicznymi” ma tu znaczenie: dyrektywa nie wymaga tego samego od małej kliniki co od centrum danych obsługującego połowę polskiego e-commerce.

Bezpieczeństwo infrastruktury IT:

  • Zarządzanie podatnościami i regularne aktualizacje oprogramowania;
  • Segmentacja sieci i kontrola dostępu;
  • Szyfrowanie danych w spoczynku i w tranzycie;
  • Uwierzytelnianie wieloskładnikowe na wszystkich systemach z dostępem uprzywilejowanym.

Monitoring i wykrywanie zagrożeń:

  • Systemy SIEM (Security Information and Event Management);
  • Ciągłe monitorowanie sieci i systemów informatycznych pod kątem anomalii;
  • Zdefiniowane procedury reagowania na incydenty.

Kopie zapasowe i odtwarzanie:

  • Regularne, testowane kopie zapasowe danych;
  • Plany disaster recovery ze zmierzonymi celami RTO i RPO;
  • Procedury odtworzenia krytycznych systemów w określonym czasie.

Środki organizacyjne i prawne

Oprócz technologii, NIS2 wymaga zbudowania ram organizacyjnych:

  • Pisemne polityki bezpieczeństwa informacji i zarządzania ryzykiem;
  • Procedury zarządzania incydentami z wyznaczonymi rolami i kanałami eskalacji;
  • Regularne szkolenia dla pracowników wszystkich szczebli, włącznie z zarządem;
  • Mechanizmy wymiany informacji o zagrożeniach z odpowiednimi organami i sektorowymi partnerami;
  • Klauzule i oceny bezpieczeństwa w procesie nabywania nowych technologii i usług.

Jak przeprowadzić ocenę zgodności z NIS2?

Krok 1: Ustal, czy NIS2 Cię dotyczy i w jakiej roli

Sprawdź sektor i wielkość organizacji. Pamiętaj o wyjątkach od progu wielkości – infrastruktura cyfrowa, jedyni dostawcy usług w danym państwie, podmioty o szczególnym znaczeniu dla bezpieczeństwa publicznego. Jeśli masz wątpliwości, założenie, że dyrektywa Cię nie dotyczy, jest bardziej ryzykowne niż nadmierna ostrożność.

Krok 2: Przeprowadź ocenę ryzyka

Zidentyfikuj aktywa, zagrożenia i podatności w sieci i systemach informatycznych. Uwzględnij ryzyka związane z dostawcami zewnętrznymi – każda firma, która ma dostęp do Twoich systemów, jest potencjalnym wektorem ataku. Ocena ryzyka to dokument, który będziesz musiał przedstawić organowi nadzorczemu na żądanie.

Krok 3: Zidentyfikuj luki

Porównaj wyniki oceny ryzyka z listą wymagań bezpieczeństwa NIS2. Które obszary są niezabezpieczone? Gdzie brakuje dokumentacji? Gdzie procedury istnieją tylko w teorii? Wyniki tego ćwiczenia pokażą, jak daleko jesteś od zgodności i co wymaga natychmiastowej uwagi.

Krok 4: Wdróż plan remediacji z zaangażowaniem zarządu

Na podstawie analizy luk określ priorytety i harmonogram. Niezbędne jest wdrożenie nowych procesów, ale też zaangażowanie zarządu – nie jako figurantów zatwierdzających dokumenty, ale jako właścicieli obszaru, którzy rozumieją stan bezpieczeństwa organizacji i mogą za niego odpowiadać.

Krok 5: Utrzymuj i weryfikuj

Zgodność z NIS2 to stan, który trzeba aktywnie utrzymywać. Regularne przeglądy polityk bezpieczeństwa, testy procedur awaryjnych, aktualizacja oceny ryzyka po każdej znaczącej zmianie środowiska IT – to wszystko należy do standardowego cyklu operacyjnego organizacji objętej dyrektywą.

Ocena zgodności i audyty – jak wygląda nadzór?

Organy nadzorcze w poszczególnych państwach członkowskich mają szerokie uprawnienia kontrolne wobec podmiotów objętych NIS2. W przypadku podmiotów kluczowych są to przede wszystkim:

  • Audyty bezpieczeństwa przeprowadzane z urzędu lub przez akredytowanych audytorów;
  • Inspekcje na miejscu i zdalne;
  • Żądania dokumentacji i dowodów wdrożenia;
  • Skanowanie podatności infrastruktury.

Podmioty ważne podlegają nadzorowi reaktywnemu – organy angażują się po incydencie lub skardze, nie z inicjatywy własnej. To nie oznacza jednak, że mogą działać bez planów i procedur: jeśli dojdzie do kontroli, muszą wykazać taką samą staranność jak podmioty kluczowe. Różnica polega na tym, kiedy ta weryfikacja nastąpi – nie na tym, czy nastąpi.

Jak wygląda wdrożenie NIS2 z ITH?

Dostosowanie organizacji do wymagań NIS2 nie powinno oznaczać współpracy z wieloma dostawcami, samodzielnego tworzenia dokumentacji i koordynowania kilku niezależnych projektów. W ITH realizujemy wdrożenie NIS2 w modelu end-to-end – od oceny zgodności po stały monitoring bezpieczeństwa.

Etap 1. Audyt zgodności

Proces rozpoczynamy od szczegółowej analizy organizacji pod kątem wymagań NIS2, normy ISO 27001 oraz ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

W ramach audytu:

  • oceniamy aktualny poziom zgodności;
  • identyfikujemy luki i niezgodności;
  • analizujemy procesy, dokumentację i zabezpieczenia techniczne;
  • przygotowujemy raport wraz z rekomendacjami działań.

Efektem jest szczegółowy raport wraz z listą priorytetów wdrożeniowych.

Etap 2. Dokumentacja i zgodność

NIS2 wymaga nie tylko odpowiednich zabezpieczeń technicznych, ale również udokumentowanych procesów zarządzania cyberbezpieczeństwem.

Pomagamy przygotować między innymi:

  • polityki bezpieczeństwa informacji;
  • procedury obsługi incydentów;
  • procedury zgłaszania incydentów do właściwych organów;
  • dokumentację zarządzania ryzykiem;
  • zasady ciągłości działania i odtwarzania po awarii;
  • wymagania bezpieczeństwa dla dostawców i partnerów.

Dzięki temu organizacja może wykazać zgodność nie tylko podczas audytu, ale również w przypadku rzeczywistego incydentu.

Etap 3. Szkolenia i przygotowanie organizacji

NIS2 nakłada obowiązki nie tylko na dział IT, ale również na zarząd oraz pracowników.

Dlatego kolejnym etapem są szkolenia obejmujące:

  • kadrę zarządzającą;
  • pracowników organizacji;
  • osoby odpowiedzialne za bezpieczeństwo i obsługę incydentów.

Po zakończeniu procesu organizacja posiada materiały szkoleniowe oraz potwierdzenia realizacji szkoleń wymagane podczas audytów i kontroli.

Etap 4. Zamknięcie wdrożenia i SOC 24/7

Ostatni etap obejmuje weryfikację wykonanych działań oraz uruchomienie mechanizmów stałego nadzoru nad bezpieczeństwem.

W ramach tego etapu:

  • przeprowadzamy audyt zamykający;
  • potwierdzamy wdrożenie dokumentacji i procedur;
  • przygotowujemy organizację do kontroli nadzorczej;
  • uruchamiamy usługę Security Operations Center (SOC) działającą 24/7/365.

Dzięki temu zgodność z NIS2 nie kończy się na dokumentach, ale jest wspierana przez ciągły monitoring i reagowanie na incydenty.

ITH – jeden partner odpowiedzialny za całe wdrożenie

ITH łączy kompetencje audytowe, prawne, organizacyjne i techniczne. Zamiast współpracy z kilkoma podmiotami organizacja otrzymuje jednego partnera odpowiedzialnego za cały proces dostosowania do NIS2 – od pierwszego audytu po stałe utrzymanie bezpieczeństwa.

Chcesz sprawdzić, jak wygląda wdrożenie NIS2 w Twojej organizacji?

Skontaktuj się z ekspertami ITH i otrzymaj wstępną ocenę zgodności oraz plan działań dostosowany do specyfiki Twojej firmy.

Poznaj usługę wdrożenia NIS2 w ITH

Najczęstsze pytania o NIS2

  • Czy NIS2 dotyczy mojej firmy, jeśli działam tylko w Polsce?

Tak, o ile działasz w jednym z objętych sektorów i spełniasz kryterium wielkości lub szczególne kryteria. NIS2 jest dyrektywą unijną, ale obowiązuje przez krajowe przepisy implementacyjne. W Polsce to ustawa o krajowym systemie cyberbezpieczeństwa. Sama kwestia zasięgu terytorialnego działalności nie decyduje o objęciu regulacją.

  • Czy NIS2 dotyczy moich dostawców?

Jako podmiot objęty NIS2 odpowiadasz za bezpieczeństwo swojego łańcucha dostaw. Musisz oceniać ryzyko wynikające z relacji ze swoimi dostawcami, uwzględniać wymagania bezpieczeństwa już na etapie procesu nabywania i mieć mechanizmy weryfikacji. Twoi dostawcy usług cyfrowych lub zarządzanych usług IT mogą sami podlegać NIS2 i przy wyborze partnera warto to sprawdzić.

  • Jak długo trwa wdrożenie NIS2?

To zależy od stanu wyjściowego. Organizacje z dojrzałymi procesami bezpieczeństwa potrzebują głównie dokumentacji i dostosowania procedur – kilka tygodni do kilku miesięcy. Firmy zaczynające od zera muszą liczyć się z horyzontem 6–18 miesięcy na pełne wdrożenie. Dlatego nie warto odkładać wdrożenia NIS2 na później.

Podsumowanie

Dyrektywa NIS2 nie jest kolejnym dokumentem do odłożenia na później. Egzekwowane wymagania, osobista odpowiedzialność zarządu i kary pieniężne sięgające 10 milionów euro tworzą środowisko, w którym brak działania jest wyborem kosztowniejszym niż wdrożenie.

Dobra wiadomość jest taka, że dyrektywa nie wymaga doskonałości – wymaga proporcjonalnej i udokumentowanej staranności. Organizacja, która potrafi pokazać przeprowadzoną ocenę ryzyka, wdrożone środki zarządzania ryzykiem, procedury zgłaszania incydentów i regularne szkolenia, jest w zupełnie innej pozycji niż ta, która nie podjęła żadnych działań.

Pierwszym krokiem jest sprawdzenie, czy i w jakiej roli NIS2 dotyczy Twojej organizacji. Kolejnym – ocena ryzyka i analiza luk. Oba te kroki można wykonać z zewnętrznym wsparciem, bez angażowania pełnego zespołu na wiele miesięcy.

Chcesz sprawdzić, czy NIS2 dotyczy Twojej firmy?

Nasi eksperci pomogą ocenić stan wyjściowy i zaplanować następne kroki.

Bez ogólnych prezentacji: konkretna analiza Twojej infrastruktury i listy wymagań, które trzeba spełnić.

Wypełnij ankietę
Kategorie
Kru.pl

Wyróżniony artykuł

30.12.2023
Ciekawostki

ITH pod Lupą Forbesa: Inwestycje w IT widziane oczami Dyrektora Finansowego

ITH pod Lupą Forbesa: Inwestycje w IT widziane oczami Dyrektora Finansowego

Zobacz nasze case study

19.01.2024
Case-Study

Szyfrowana sieć transmisji danych dla TUZ

Szyfrowana sieć transmisji danych dla TUZ

Ostatni komunikat prasowy

29.05.2026
Informacje prasowe

TEDi x ITH: stabilna łączność i zarządzana sieć dla ekspansji sieci handlowej w Polsce

TEDi x ITH: stabilna łączność i zarządzana sieć dla ekspansji sieci handlowej w Polsce
Chciałbyś porozmawiać o Twoim projekcie?

Każdego roku pracujemy nad dziesiątkami projektów z obszaru IT ‒ infrastruktury, systemów i bezpieczeństwa. Sam pasjonuję się łączeniem potrzeb biznesu z możliwościami systemów IT.

Proponuję Ci, krótką 15-minutową i niezobowiązującą rozmowę podczas której ja albo któryś z członków mojego zespołu sprawdzi potrzeby Twojej firmy jak również obszary w których moglibyśmy Ci pomóc.

Niko Blazy blog
Wyślij zapytanie