Facebook-f Instagram Linkedin Youtube

Wdrożenie Wymagań zgodności NIS2 KSC

NIS2 - co to jest i dlaczego dotyczy Twojej firmy

Dyrektywa NIS2 (Network and Information Security 2) to unijna regulacja dotycząca cyberbezpieczeństwa, która zastępuje dyrektywę NIS z 2016 roku. W Polsce wdrażana jest przez ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC). Weszła w życie w październiku 2024 roku i obejmuje znacznie szerszy krąg podmiotów niż poprzednie przepisy.

Jeśli Twoja firma działa w sektorze energetycznym, transportowym, zdrowotnym, finansowym, telekomunikacyjnym, produkcji przemysłowej lub IT –  bardzo możliwe, że podlega obowiązkowi wdrożenia NIS2. Brak zgodności to ryzyko kar finansowych sięgających 10 mln euro lub 2% globalnego obrotu.

Termin implementacji NIS2 w Polsce: ustawa o KSC jest w trakcie nowelizacji. Firmy objęte przepisami muszą działać – nie czekać na ostateczną wersję przepisów.

Dyrektywa NIS2 - kogo dotyczy?

NIS2 dzieli podmioty na dwie kategorie: kluczowe i ważne. Przynależność do kategorii zależy od sektora działalności i wielkości firmy (przychód powyżej 10 mln euro lub zatrudnienie powyżej 50 osób).

  • Podmioty kluczowe wg NIS2 (zgodnie z załącznikiem I dyrektywy):
  • Energetyka (prąd, gaz, ropa, wodór, ciepłownictwo)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynków finansowych
  • Ochrona zdrowia i farmaceutyka
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa (DNS, CDN, data centers, dostawcy chmury)
  • Administracja publiczna
  • Sektor kosmiczny
  • Podmioty ważne wg NIS2 (zgodnie z załącznikiem II dyrektywy):
  • Produkcja przemysłowa (m.in. automotive, maszyny, sprzęt medyczny, chemikalia)
  • Usługi pocztowe i kurierskie
  • Zarządzanie odpadami
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Dostawcy usług cyfrowych (marketplace, wyszukiwarki, platformy społecznościowe)
  • Badania naukowe

Jak wygląda wdrożenie NIS2 - krok po kroku

Krok 1 – Analiza luk i weryfikacja obowiązku

Sprawdzamy, czy Twoja firma należy do podmiotów kluczowych lub ważnych w rozumieniu dyrektywy NIS2 i ustawy o KSC. Oceniamy aktualny stan systemów, procesów i dokumentacji. Wskazujemy konkretne obszary do poprawy – bez owijania w bawełnę.

Krok 2 – Ocena ryzyka i polityka bezpieczeństwa

Przeprowadzamy analizę ryzyka zgodnie z wymogami NIS2. Opracowujemy lub aktualizujemy politykę bezpieczeństwa informacji, procedury zarządzania incydentami, plany ciągłości działania. Każdy dokument tworzony jest pod Twoją organizację.

Krok 3 – Wdrożenie środków technicznych i organizacyjnych

Wdrażamy wymagane środki bezpieczeństwa: zarządzanie dostępem, szyfrowanie, segmentacja sieci, zarządzanie podatnościami, monitoring. Łączymy to z wymaganiami ISO/IEC 27001, jeśli Twoja firma już je stosuje lub planuje certyfikację.

Krok 4 – Szkolenia i świadomość pracowników

NIS2 wymaga, żeby kadra zarządzająca i kluczowi pracownicy byli przeszkoleni z zakresu cyberbezpieczeństwa. Prowadzimy szkolenia praktyczne – nie prezentacje z teorią, ale warsztaty oparte na realnych scenariuszach.

Krok 5 – Audyt wewnętrzny i gotowość do kontroli

Przed potencjalną kontrolą organu nadzoru przeprowadzamy audyt wewnętrzny. Identyfikujemy i usuwamy niezgodności, zanim zrobi to inspektor. Przygotowujemy dokumentację wymaganą przez KSC i regulatorów sektorowych.

Krok 6 – Wsparcie po wdrożeniu i ciągłe doskonalenie

Compliance to nie projekt z datą końcową – to proces. Pomagamy utrzymać zgodność, aktualizować procedury przy zmianach prawnych i reagować na incydenty zgodnie z wymogami NIS2 (obowiązek zgłoszenia incydentu do CSIRT w ciągu 24 godzin).

Gotowe wzory dokumentów

Wzor dokumentacji systemu zarządzania bezpieczeństwem informacji zgodny z dyrektywą NIS2!

Kliknij i zobacz więcej

Co zyskuje firma po wdrożeniu NIS2

  • Pełna zgodność z dyrektywą NIS2 i ustawą o KSC – brak ryzyka kar do 10 mln euro
  • Udokumentowana analiza ryzyka gotowa na kontrolę organu nadzoru
  • Lepsza pozycja przetargowa – wymóg zgodności z NIS2 pojawia się coraz częściej w warunkach zamówień publicznych i kontraktów B2B
  • Redukcja ryzyka incydentów – wdrożone środki techniczne realnie zmniejszają podatność na ataki
  • Skrócony czas reakcji na incydenty – gotowe procedury i przeszkolony zespół
  • Synergia z ISO/IEC 27001 – unikasz podwójnej pracy, jeśli posiadasz lub planujesz certyfikację ISMS
  • Jedna firma od A do Z – audyt, dokumentacja, szkolenia, wsparcie po wdrożeniu

Lista kontrolna spełnienia wymagań NIS2

Sprawdź czy jesteś zgodny z Dyrektywą!

  • Wymagania NIS2
  • Polityka analizy ryzyka
  • Polityka bezpieczeństwa systemów informatycznych
  • Obsługa incydentów
  • Ciągłość działania
  • Bezpieczeństwo łańcucha dostaw
  • Bezpieczeństwo utrzymania i rozwoju sieci i systemów informatycznych
  • Postępowanie z podatnościami
  • Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestępstwie
  • Podstawowe praktyki cyberhigieny (postępowanie z informacjami, czyste biurko, czysty ekran)
  • Kryptografia i szyfrowania
  • Bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami
  • Szkolenia z zakresu cyberbezpieczeństwa
  • Uwierzytelnianie wieloskładnikowe lub ciągłe zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu
  • Pokrycie z wymaganiem ISO/IEC 2700z:2022
  • 6.1, 8, A 5.7
  • A 7.1, A 7.2, A 7.3, A 7.4, A 7.5, A 7.10, A 7.11, A 7.12, A 7.13, A 7.14, A 8.1, A 8.19, A 8.9, A 8.17, A 8.13, A 8.14,
  • A 5.24, A 5.25, A 5.26, A 5.27, A 5.28,
  • A 5.29, A 5.30 + ISO 22301
  • A 5.19, A 5.20, A 5.21,A 5.22, A 5.23,
  • A 8.16, A 8.20, A 8.21, A 8.22, A 8.23, A 8.25, A 8.26, A 8.27, A 8.28, A 8.29, A 8.30, A 8.31, A 8.32, A 8.33, A 8.34,
  • A 8.17, A 8.8, A 8.12,
  • 9.2, 9.3, A5.35, A 5.36
  • A 7.6, A7.7, 7.8, A7.9
  • A 8.5, A 8.10, A 8.11, A8.16, A 8.24
  • A 5.9, 5.10, A 5.11, A 5.12, A 5.13, A 5.15, A 5.16, A 5.17, A 5.18, 7.2, 7.3, A 6.1, A 6.2, A 6.4, A 6.5, A 6.6, A 6.8, A 8.2, A 8.3, A 8.4, A 8.18
  • 7.2, A 6.3
  • A 5.14, A 6.7

Jak się z nami pracuje ?

Rozmowa

Telefonicznie, mailowo lub podczas wideokonferencji doprecyzowujemy zakres zlecenia. Usralamy najważniejsze fakty. W ten sposób przygotowujemy się do drugiego kroku.

Oferta

Przygotowujemy propozycje działań, które naszym zdaniem należałoby podjąć. Mogą być zupełnie inne niż to, o co nasz zapytasz! Zawsze działamy z myślą o interesie klienta i tak też przygotowujemy ofertę - rekomendujemy i doradzamy, nie jesteśmy tylko biernymi wykonawcami.

Umowa

Praca pracą, ale papierologia musi być w porządku!

Harmonogram i plan działania

Naszym zdaniem klient musi być poinformowany, co kiedy i dlaczego dzieje się z jego firmą. Dlatgo współpracę zaczynamy od przygotowania harmonogramu, który dokładnie określi, czym będziemy się po kolei zajmować oraz planu, który to prezentuje.

Działamy!

Zaczynamy pracę, ale cały czas pozostajemy w kontakcie, by ustalić jej kierunek i dopasować się do Twojego biznesu i specyfiki branży.

Chcesz poznać więcej szczegółów?

Skontaktuj się z nami poprzez formularz lub zadzwoń i porozmawiajmy

+48 739 002 162