NIS2: nowe wymagania wobec Twojej firmy. Lista

Opublikowane
Autor Zespół GoNextStage
Czas czytania Czas czytania: 6min
Kategorie

Liczba cyberataków na polskie firmy rośnie szybciej niż w większości krajów UE. Według KPMG aż 4 na 5 organizacji w Polsce doświadczyło co najmniej jednego incydentu w 2024 roku. Rok wcześniej skala zjawiska była mniejsza, ponieważ problem dotyczył tylko 3 na 5 firm. W 2025 Polska znalazła się wśród krajów najbardziej atakowanych w całej Unii. Na poziomie europejskim trend jest równie niepokojący — rośnie zarówno liczba prób ataków, jak i ich złożoność. Odpowiedzią na tę skalę zagrożeń jest dyrektywa NIS2, która ma podnieść standardy odporności cyfrowej w całej Unii i uszczelnić procesy w firmach działających w sektorach kluczowych dla gospodarki. Dowiedz się, jakie są wymagania NIS2 i jak się na nią przygotować.

 

Kto podlega pod NIS2?

Dyrektywa NIS2 dotyczy firm działających w sektorach o wysokiej krytyczności, czyli:

  • energii;
  • ciepłownictwa i chłodnictwa;
  • ropy naftowej, w tym rurociągów produkcyjnych, magazynowych i przesyłowych;
  • gazownictwa, w tym systemów dostaw, dystrybucji, przesyłu i magazynowania,
  • wodoru;
  • transportu — lotniczego, kolejowego, wodnego i drogowego;
  • infrastruktury bankowej i finansowej, w tym instytucji kredytowych, operatorów systemów obrotu i partnerów centralnych;
  • ochrony zdrowia, w tym podmiotów świadczących opiekę zdrowotną, producentów podstawowych produktów farmaceutycznych, krytycznych wyrobów medycznych oraz laboratoriów referencyjnych UE;
  • wody pitnej;
  • ścieków;
  • infrastruktury cyfrowej, w tym dostawców usług centrów danych, usług chmurowych, publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej;
  • usług ICT zarządzanych między przedsiębiorstwami (managed services);
  • przestrzeni kosmicznej.

Dyrektywa NIS2 obejmuje również inne sektory krytyczne, takie jak:

  • usługi pocztowe i kurierskie;
  • gospodarka odpadami;
  • produkcja, wytwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja — w szczególności: wyrobów medycznych, komputerowych, elektronicznych i optycznych; wybranych grup sprzętu elektrycznego i maszyn; pojazdów silnikowych i innego sprzętu transportowego;
  • dostawcy usług cyfrowych, w tym internetowe platformy handlowe, wyszukiwarki i sieci społecznościowe.

Wymagania NIS2 wobec organizacji

Dyrektywa NIS2 nakłada na podmioty kluczowe i ważne zestaw wymagań, które mają realnie podnieść poziom odporności cyfrowej organizacji. Skupia się na trzech kluczowych obszarach: zarządzaniu ryzykiem, raportowaniu incydentów oraz obowiązkach administracyjnych. Co dokładnie stoi za tymi obszarami?

1. Wymagania wobec metod zarządzania ryzykiem w organizacji

Organizacje muszą wdrożyć proporcjonalne i adekwatne środki techniczne, organizacyjne i operacyjne, które realnie wzmacniają bezpieczeństwo. Oznacza to, że Twoja firma powinna mieć:

  • ściśle określone polityki bezpieczeństwa i stałą analizę ryzyka;
  • działające procesy wykrywania, reagowania i usuwania skutków incydentów;
  • gotowe scenariusze odtwarzania systemów, regularne kopie zapasowe i testy procedur;
  • określony sposób weryfikacji poziomu zabezpieczeń u dostawców rozwiązań i usług;
  • przeszkolonych pracowników i zarządzających w zakresie podstawowych zasad cyberbezpieczeństwa;
  • odpowiednie metody ochrony danych, wynikających z analizy ryzyka;
  • jasne procedury nadawania uprawnień i pełna wiedza o posiadanych zasobach.

Warto podejść do tego procesu z możliwie obiektywnej perspektywy. Często dopiero niezależny audyt pokazuje, czy firmowe procedury faktycznie działają, czy tylko istnieją na papierze. Dlatego wiele organizacji decyduje się na audyt zgodności z NIS2 przeprowadzany przez ekspertów GoNextStage. Efektem audytu jest precyzyjna ocena ryzyka wraz ze wskazaniem obszarów, które wymagają poprawy, aby spełnić wymagania dyrektywy.

Chcesz zająć się tym sam i potrzebujesz wskazówki jak przygotować się pod NIS2? Skorzystaj z checklisty NIS2, przygotowaną przez ekspertów bezpieczeństwa GoNextStage.

2. Rygorystyczne wymogi raportowania incydentów

W Polsce działa System S46, przez który należy przekazywać informacje o wszelkich poważnych zdarzeniach naruszających bezpieczeństwo. Dyrektywa NIS2 wprowadza ścisłe ramy czasowe dotyczące zgłaszania znaczących incydentów do właściwych organów:

  • 24 godziny – wstępne zgłoszenie, które ostrzega o incydencie.
  • 72 godziny – pełny raport operacyjny z oceną sytuacji i jej skutków.
  • 1 miesiąc – raport końcowy podsumowujący działania i wnioski.

Celem jest szybka reakcja i ograniczenie skutków incydentów, zwłaszcza tych, które mogą uderzyć w łańcuch dostaw.

3. Obowiązki administracyjne i rejestracyjne

Zgodnie z dyrektywą NIS2 organizacja sama ocenia czy spełnia kryteria podmiotu kluczowego lub ważnego. Jeśli podlega pod NIS2, ma obowiązek rejestracji w rejestrze podmiotów ważnych i kluczowych. Zapisu w rejestrze dokonuje się drogą elektroniczną, składając wniosek online o wpis do wykazu prowadzonego przez Ministra Cyfryzacji.

Po umieszczeniu w rejestrze, organizacja musi co najmniej raz na dwa lata udowodnić, że jej system zarządzania bezpieczeństwem działa poprawnie. Wyniki takiego audytu muszą zostać przesłane do właściwego organu ds. cyberbezpieczeństwa w celu weryfikacji zgodności. Umów audyt NIS2 u ekspertów GoNextStage.

Co ważne, Twoja firma powinna gromadzić wszelkie dowody realnego stosowania procedur bezpieczeństwa. Organ nadzorczy będzie bowiem oceniał nie tylko samo istnienie dokumentacji, ale jej faktyczne funkcjonowanie w organizacji. Dowodem na stosowanie procedur jest m.in.:

  • aktualny rejestr aktywów;
  • regularne analizy wpływu na biznes (BIA) oraz cykliczne oceny ryzyka;
  • posiadanie dokumentacji potwierdzającej, że polityki i procedury są rzeczywiście stosowane w codziennej praktyce.

Konsekwencje braku zgodności z dyrektywą NIS2

NIS2 przenosi odpowiedzialność za cyberbezpieczeństwo z działów IT na członków zarządu. Teraz to kadra kierownicza odpowiada finansowo za rażące zaniedbania. W Polsce kara finansowa za uchybienia to nawet kilkuset procent miesięcznego wynagrodzenia. Ponadto art. 32 ust. 5 dyrektywy NIS2 daje organom nadzorczym prawo do:

  • tymczasowego zakazu pełnienia funkcji kierowniczych (w tym na poziomie CEO/Członka Zarządu) dla osób odpowiedzialnych za rażące zaniedbania;
  • wyznaczenia komisarza/monitora, który będzie nadzorował proces naprawczy wewnątrz firmy.

W praktyce oznacza to, że jeśli zarząd ignoruje zalecenia dotyczące cyberbezpieczeństwa, regulator może go po prostu odsunąć od sterów.

Sprawdź też: NIS2 a ISO27001 oraz NIS2 a DORA

Podsumowanie

Dyrektywa wprowadza jasne wymagania dotyczące zarządzania ryzykiem, raportowania naruszeń i obowiązków administracyjnych. Wymaga również zaangażowania kierownictwa i nakłada na członków zarządu realną odpowiedzialność za bezpieczeństwo organizacji. Kluczowe jest przygotowanie procesów, ludzi i technologii, a przede wszystkim: obiektywnej oceny aktualnego stopnia zabezpieczenia danych firmowych. Dobrą praktyką jest zaczęcie przygotowań do NIS2 od niezależnego audytu NIS2.