Facebook-f Instagram Linkedin Youtube

Wdrożenie Wymagań zgodności NIS2 KSC

NIS2 - co to jest i dlaczego dotyczy Twojej firmy

Dyrektywa NIS2 (Network and Information Security 2) to unijna regulacja dotycząca cyberbezpieczeństwa, która zastępuje dyrektywę NIS z 2016 roku. W Polsce wdrażana jest przez ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC). Weszła w życie w październiku 2024 roku i obejmuje znacznie szerszy krąg podmiotów niż poprzednie przepisy.

Jeśli Twoja firma działa w sektorze energetycznym, transportowym, zdrowotnym, finansowym, telekomunikacyjnym, produkcji przemysłowej lub IT –  bardzo możliwe, że podlega obowiązkowi wdrożenia NIS2. Brak zgodności to ryzyko kar finansowych sięgających 10 mln euro lub 2% globalnego obrotu.

Termin implementacji NIS2 w Polsce: ustawa o KSC jest w trakcie nowelizacji. Firmy objęte przepisami muszą działać – nie czekać na ostateczną wersję przepisów.

Dyrektywa NIS2 - kogo dotyczy?

NIS2 dzieli podmioty na dwie kategorie: kluczowe i ważne. Przynależność do kategorii zależy od sektora działalności i wielkości firmy (przychód powyżej 10 mln euro lub zatrudnienie powyżej 50 osób).

  • Podmioty kluczowe wg NIS2 (zgodnie z załącznikiem I dyrektywy):
  • Energetyka (prąd, gaz, ropa, wodór, ciepłownictwo)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynków finansowych
  • Ochrona zdrowia i farmaceutyka
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa (DNS, CDN, data centers, dostawcy chmury)
  • Administracja publiczna
  • Sektor kosmiczny
  • Podmioty ważne wg NIS2 (zgodnie z załącznikiem II dyrektywy):
  • Produkcja przemysłowa (m.in. automotive, maszyny, sprzęt medyczny, chemikalia)
  • Usługi pocztowe i kurierskie
  • Zarządzanie odpadami
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Dostawcy usług cyfrowych (marketplace, wyszukiwarki, platformy społecznościowe)
  • Badania naukowe

Jak wygląda wdrożenie NIS2 - krok po kroku

Krok 1 – Analiza luk i weryfikacja obowiązku

Sprawdzamy, czy Twoja firma należy do podmiotów kluczowych lub ważnych w rozumieniu dyrektywy NIS2 i ustawy o KSC. Oceniamy aktualny stan systemów, procesów i dokumentacji. Wskazujemy konkretne obszary do poprawy – bez owijania w bawełnę.

Krok 2 – Ocena ryzyka i polityka bezpieczeństwa

Przeprowadzamy analizę ryzyka zgodnie z wymogami NIS2. Opracowujemy lub aktualizujemy politykę bezpieczeństwa informacji, procedury zarządzania incydentami, plany ciągłości działania. Każdy dokument tworzony jest pod Twoją organizację.

Krok 3 – Wdrożenie środków technicznych i organizacyjnych

Wdrażamy wymagane środki bezpieczeństwa: zarządzanie dostępem, szyfrowanie, segmentacja sieci, zarządzanie podatnościami, monitoring. Łączymy to z wymaganiami ISO/IEC 27001, jeśli Twoja firma już je stosuje lub planuje certyfikację.

Krok 4 – Szkolenia i świadomość pracowników

NIS2 wymaga, żeby kadra zarządzająca i kluczowi pracownicy byli przeszkoleni z zakresu cyberbezpieczeństwa. Prowadzimy szkolenia praktyczne – nie prezentacje z teorią, ale warsztaty oparte na realnych scenariuszach.

Krok 5 – Audyt wewnętrzny i gotowość do kontroli

Przed potencjalną kontrolą organu nadzoru przeprowadzamy audyt wewnętrzny. Identyfikujemy i usuwamy niezgodności, zanim zrobi to inspektor. Przygotowujemy dokumentację wymaganą przez KSC i regulatorów sektorowych.

Krok 6 – Wsparcie po wdrożeniu i ciągłe doskonalenie

Compliance to nie projekt z datą końcową – to proces. Pomagamy utrzymać zgodność, aktualizować procedury przy zmianach prawnych i reagować na incydenty zgodnie z wymogami NIS2 (obowiązek zgłoszenia incydentu do CSIRT w ciągu 24 godzin).

Gotowe wzory dokumentów

Wzor dokumentacji systemu zarządzania bezpieczeństwem informacji zgodny z dyrektywą NIS2!

Kliknij i zobacz więcej

Co zyskuje firma po wdrożeniu NIS2

  • Pełna zgodność z dyrektywą NIS2 i ustawą o KSC – brak ryzyka kar do 10 mln euro
  • Udokumentowana analiza ryzyka gotowa na kontrolę organu nadzoru
  • Lepsza pozycja przetargowa – wymóg zgodności z NIS2 pojawia się coraz częściej w warunkach zamówień publicznych i kontraktów B2B
  • Redukcja ryzyka incydentów – wdrożone środki techniczne realnie zmniejszają podatność na ataki
  • Skrócony czas reakcji na incydenty – gotowe procedury i przeszkolony zespół
  • Synergia z ISO/IEC 27001 – unikasz podwójnej pracy, jeśli posiadasz lub planujesz certyfikację ISMS
  • Jedna firma od A do Z – audyt, dokumentacja, szkolenia, wsparcie po wdrożeniu

Lista kontrolna spełnienia wymagań NIS2

Sprawdź czy jesteś zgodny z Dyrektywą!

  • Wymagania NIS2
  • Polityka analizy ryzyka
  • Polityka bezpieczeństwa systemów informatycznych
  • Obsługa incydentów
  • Ciągłość działania
  • Bezpieczeństwo łańcucha dostaw
  • Bezpieczeństwo utrzymania i rozwoju sieci i systemów informatycznych
  • Postępowanie z podatnościami
  • Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestępstwie
  • Podstawowe praktyki cyberhigieny (postępowanie z informacjami, czyste biurko, czysty ekran)
  • Kryptografia i szyfrowania
  • Bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami
  • Szkolenia z zakresu cyberbezpieczeństwa
  • Uwierzytelnianie wieloskładnikowe lub ciągłe zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu
  • Pokrycie z wymaganiem ISO/IEC 2700z:2022
  • 6.1, 8, A 5.7
  • A 7.1, A 7.2, A 7.3, A 7.4, A 7.5, A 7.10, A 7.11, A 7.12, A 7.13, A 7.14, A 8.1, A 8.19, A 8.9, A 8.17, A 8.13, A 8.14,
  • A 5.24, A 5.25, A 5.26, A 5.27, A 5.28,
  • A 5.29, A 5.30 + ISO 22301
  • A 5.19, A 5.20, A 5.21,A 5.22, A 5.23,
  • A 8.16, A 8.20, A 8.21, A 8.22, A 8.23, A 8.25, A 8.26, A 8.27, A 8.28, A 8.29, A 8.30, A 8.31, A 8.32, A 8.33, A 8.34,
  • A 8.17, A 8.8, A 8.12,
  • 9.2, 9.3, A5.35, A 5.36
  • A 7.6, A7.7, 7.8, A7.9
  • A 8.5, A 8.10, A 8.11, A8.16, A 8.24
  • A 5.9, 5.10, A 5.11, A 5.12, A 5.13, A 5.15, A 5.16, A 5.17, A 5.18, 7.2, 7.3, A 6.1, A 6.2, A 6.4, A 6.5, A 6.6, A 6.8, A 8.2, A 8.3, A 8.4, A 8.18
  • 7.2, A 6.3
  • A 5.14, A 6.7

Jak się z nami pracuje ?

Rozmowa

Telefonicznie, mailowo lub podczas wideokonferencji doprecyzowujemy zakres zlecenia. Usralamy najważniejsze fakty. W ten sposób przygotowujemy się do drugiego kroku.

Oferta

Przygotowujemy propozycje działań, które naszym zdaniem należałoby podjąć. Mogą być zupełnie inne niż to, o co nasz zapytasz! Zawsze działamy z myślą o interesie klienta i tak też przygotowujemy ofertę - rekomendujemy i doradzamy, nie jesteśmy tylko biernymi wykonawcami.

Umowa

Praca pracą, ale papierologia musi być w porządku!

Harmonogram i plan działania

Naszym zdaniem klient musi być poinformowany, co kiedy i dlaczego dzieje się z jego firmą. Dlatgo współpracę zaczynamy od przygotowania harmonogramu, który dokładnie określi, czym będziemy się po kolei zajmować oraz planu, który to prezentuje.

Działamy!

Zaczynamy pracę, ale cały czas pozostajemy w kontakcie, by ustalić jej kierunek i dopasować się do Twojego biznesu i specyfiki branży.

Chcesz poznać więcej szczegółów?

Skontaktuj się z nami poprzez formularz lub zadzwoń i porozmawiajmy

+48 739 002 450

Najczęściej zadawane pytania - FAQ

NIS2 dotyczy firm działających w sektorach wymienionych w załącznikach I i II dyrektywy (energetyka, transport, zdrowie, finanse, IT, produkcja przemysłowa, żywność, odpady i inne), które zatrudniają powyżej 50 osób lub mają przychód powyżej 10 mln euro. Mikroprzedsiębiorstwa są co do zasady wyłączone – ale jeśli jesteś dostawcą dla podmiotu kluczowego, możesz być objęty wymaganiami w ramach bezpieczeństwa łańcucha dostaw. Jeśli nie jesteś pewien – nasz audyt wstępny odpowie na to pytanie w ciągu kilku dni.

Przy dobrej organizacji i zaangażowaniu klienta – od 2 do 6 miesięcy. Firmy z certyfikatem ISO/IEC 27001 często zamykają projekt w 2–3 miesiące, bo fundamenty (analiza ryzyka, polityka bezpieczeństwa, procedury incydentów) są już zbudowane. Firmy startujące od zera – 4–6 miesięcy. Nie obiecujemy wdrożenia w 2 tygodnie – uczciwy compliance zajmuje tyle, ile musi.

ISO/IEC 27001 to dobrowolna norma międzynarodowa certyfikowana przez jednostki akredytowane. NIS2 to wymóg prawny Unii Europejskiej z sankcjami za brak zgodności. Wiele wymagań NIS2 pokrywa się z ISO 27001 (analiza ryzyka, zarządzanie incydentami, ciągłość działania, bezpieczeństwo łańcucha dostaw), więc posiadanie certyfikatu ISO 27001 znacząco ułatwia i przyspiesza wdrożenie NIS2. Nie zastępuje go jednak w 100% – NIS2 ma dodatkowe wymagania, np. obowiązek zgłaszania incydentów do CSIRT w 24 godziny i odpowiedzialność osobista zarządu.

Dla podmiotów kluczowych: kary administracyjne do 10 mln euro lub 2% globalnego rocznego obrotu (w zależności od tego, która kwota jest wyższa). Dla podmiotów ważnych: do 7 mln euro lub 1,4% obrotu. Oprócz kar finansowych NIS2 przewiduje odpowiedzialność osobistą osób zarządzających – członkowie zarządu mogą zostać pociągnięci do odpowiedzialności za brak wdrożenia wymaganych środków cyberbezpieczeństwa.

NIS2 dotyczy co do zasady firm powyżej 50 pracowników lub przychodu powyżej 10 mln euro, działających w określonych sektorach. Mikro- i małe firmy są wyłączone — z jednym ważnym wyjątkiem: jeśli jesteś dostawcą dla podmiotu kluczowego lub ważnego, ten podmiot może nałożyć na Ciebie wymagania dotyczące bezpieczeństwa łańcucha dostaw wynikające z NIS2. W praktyce oznacza to, że wymogi NIS2 „spływają” w dół łańcucha dostaw.

Dyrektywa NIS2 obowiązuje w UE od 17 października 2024 roku. W Polsce jest wdrażana przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która jest w trakcie procesu legislacyjnego. Niezależnie od statusu ustawy – firmy objęte przepisami powinny działać już teraz. Wdrożenie środków cyberbezpieczeństwa zajmuje miesiące, a kontrole mogą rozpocząć się zaraz po wejściu ustawy w życie.

Nie — ISO 27001 nie zwalnia formalnie z NIS2. Ale pokrywa większość wymagań dyrektywy: analizę ryzyka, politykę bezpieczeństwa, zarządzanie incydentami, kontrolę dostępu, ciągłość działania. Firma z certyfikatem ISO 27001 potrzebuje uzupełnić kilka elementów specyficznych dla NIS2: rejestrację u regulatora sektorowego, procedurę zgłaszania incydentów do CSIRT w 24 h, formalną odpowiedzialność zarządu i weryfikację bezpieczeństwa łańcucha dostaw. To tygodnie pracy, nie miesiące.

CSIRT (Computer Security Incident Response Team) to zespół reagowania na incydenty komputerowe. W Polsce funkcjonują trzy CSIRT-y: CSIRT NASK, CSIRT GOV i CSIRT MON – właściwy zależy od sektora. NIS2 wymaga zgłoszenia wstępnego incydentu poważnego w ciągu 24 godzin od wykrycia, a pełnego raportu w ciągu 72 godzin. W ramach wdrożenia przygotowujemy procedurę zgłaszania z określeniem: kto zgłasza, do którego CSIRT-u, w jakim formacie i w jakim terminie.

Nie. NIS2 i RODO to dwie osobne regulacje. NIS2 dotyczy bezpieczeństwa sieci i systemów informatycznych w określonych sektorach. RODO dotyczy ochrony danych osobowych we wszystkich organizacjach. W praktyce te obszary często się przenikają – incydent cyberbezpieczeństwa (NIS2) może być jednocześnie naruszeniem danych osobowych (RODO). Dobra dokumentacja w jednym obszarze wspiera compliance w drugim, dlatego rekomendujemy łączenie obu procesów.

NIS2 wprowadza bezpośrednią odpowiedzialność kadry zarządzającej za wdrożenie i nadzór nad środkami cyberbezpieczeństwa. Zarząd musi zatwierdzić politykę bezpieczeństwa, nadzorować jej wdrożenie i przejść szkolenie z zakresu cyberbezpieczeństwa. W przypadku braku wdrożenia wymaganych środków – członkowie zarządu mogą ponieść odpowiedzialność osobistą, niezależnie od kar nałożonych na organizację. To jeden z najważniejszych elementów NIS2, którego wcześniejsza dyrektywa NIS nie przewidywała.