Cyberbezpieczeństwo.
Compliance. Infrastruktura IT
Zaufane wsparcie techniczne i eksperckie doradztwo dla firm SMB i instytucji wymagających zgodności z NIS2, ISO, RODO.
NIS2 – co realnie zmienia?
Najważniejsze obowiązki i konsekwencje dla organizacji.
NIS2 realnie rozszerza zakres regulacji cyberbezpieczeństwa o nowe sektory i podmioty, wprowadzając ostrzejsze obowiązki zarządzania ryzykiem oraz odpowiedzialność kierownictwa. W Polsce wdrożenie poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) opóźnia się, z wejściem w życie oczekiwanym w pierwszej połowie 2026 r.
Główne zmiany względem NIS1
NIS2 obejmuje 18 sektorów krytycznych, w tym energetykę, transport, zdrowie, finanse, infrastrukturę cyfrową, administrację publiczną, sektor kosmiczny i usługi ICT. Wprowadza podział na podmioty kluczowe i ważne oraz mechanizm samoidentyfikacji.
Kluczowa różnica to nacisk na zarządzanie ryzykiem w całym łańcuchu dostaw, w tym dostawców ICT, oraz wymiana informacji o zagrożeniach.
Najważniejsze obowiązki
Organizacje muszą wdrożyć środki zarządzania ryzykiem: regularną ocenę zagrożeń, politykę bezpieczeństwa IT/OT, szyfrowanie, patch management i monitorowanie w czasie rzeczywistym.
Obowiązuje raportowanie incydentów: wczesne ostrzeżenie w 24h, raport wstępny w 72h oraz raport końcowy w ciągu miesiąca. Kierownictwo odpowiada osobiście za zgodność, w tym szkolenia personelu i testy ciągłości działania (BCP/DRP).
Zakres obowiązków – w praktyce
| Obowiązek | Szczegóły dla podmiotów kluczowych/ważnych |
|---|---|
| Zarządzanie ryzykiem | Analiza ryzyka, środki techniczne i procesowe proporcjonalne do zagrożeń |
| Raportowanie incydentów | 24h powiadomienie CSIRT, 72h wstępny raport |
| Ciągłość działania | Plany BCP/DRP z regularnymi testami |
| Dostawcy i łańcuch | Ocena ryzyka dostawców ICT |
| Szkolenia | Obowiązkowe dla wszystkich poziomów organizacji |
Terminy wdrożenia w Polsce
Dyrektywa weszła w życie w styczniu 2023 r., a transpozycja powinna była nastąpić do października 2024 r. Polska opóźniła proces – nowelizacja KSC została uchwalona w styczniu 2026 r., a wejście w życie przewidziane jest w pierwszej połowie 2026 r. po okresie vacatio legis (3–6 miesięcy).
Podmioty będą zobowiązane do samoidentyfikacji i rejestracji niezwłocznie po wejściu ustawy w życie. Komisja Europejska wszczęła postępowanie wobec Polski za opóźnienie transpozycji.
Ryzyka i kary
Nieprzestrzeganie przepisów może skutkować karami do 10 mln euro lub 2% globalnego obrotu dla podmiotów kluczowych (7 mln euro lub 1,4% dla podmiotów ważnych). Możliwe są również sankcje osobiste, w tym zakaz pełnienia funkcji kierowniczych do 2 lat.
Brak przygotowania zwiększa ryzyko incydentów o istotnym wpływie, sankcji administracyjnych oraz utraty ciągłości działania.
Baza wiedzy
NIS2 – co realnie zmienia?
Najważniejsze obowiązki, terminy i ryzyka – bez marketingu.
Czytaj więcej →Dlaczego backup jest kluczowy?
3-2-1, immutable, testy odtwarzania i BCP/DRP w praktyce.
Czytaj więcej →MFA: ochrona przed atakami
MFA jako standard: gdzie ma sens i jak wdrożyć bez bólu.
Czytaj więcej →