Nowy adres siedziby spółki: Przemysłowa 30, 00-450 Warszawa

GoNextStage Blog NIS2: nowe wymagania wobec Twojej firmy. Lista

BLOG

Warto się dzielić wiedzą

WSZYSTKIE WPISY

4 min

NIS2: nowe wymagania wobec Twojej firmy. Lista

Liczba cyberataków na polskie firmy rośnie szybciej niż w większości krajów UE. Według KPMG aż 4 na 5 organizacji w Polsce doświadczyło co najmniej jednego incydentu w 2024 roku. Rok wcześniej skala zjawiska była mniejsza, ponieważ problem dotyczył tylko 3 na 5 firm. W 2025 Polska znalazła się wśród krajów najbardziej atakowanych w całej Unii. Na poziomie europejskim trend jest równie niepokojący — rośnie zarówno liczba prób ataków, jak i ich złożoność. Odpowiedzią na tę skalę zagrożeń jest dyrektywa NIS2, która ma podnieść standardy odporności cyfrowej w całej Unii i uszczelnić procesy w firmach działających w sektorach kluczowych dla gospodarki. Dowiedz się, jakie są wymagania NIS2 i jak się na nią przygotować.

Spis treści

  1. Kto podlega pod NIS2?
  2. Wymagania NIS2 wobec organizacji
    1. Wymagania wobec metod zarządzania ryzykiem w organizacji
    2. Rygorystyczne wymogi raportowania incydentów
    3. Obowiązki administracyjne i rejestracyjne
  3. Konsekwencje braku zgodności z dyrektywą NIS2
  4. Podsumowanie

Kto podlega pod NIS2?

Dyrektywa NIS2 dotyczy firm działających w sektorach o wysokiej krytyczności, czyli:

  • energii;
  • ciepłownictwa i chłodnictwa;
  • ropy naftowej, w tym rurociągów produkcyjnych, magazynowych i przesyłowych;
  • gazownictwa, w tym systemów dostaw, dystrybucji, przesyłu i magazynowania,
  • wodoru;
  • transportu — lotniczego, kolejowego, wodnego i drogowego;
  • infrastruktury bankowej i finansowej, w tym instytucji kredytowych, operatorów systemów obrotu i partnerów centralnych;
  • ochrony zdrowia, w tym podmiotów świadczących opiekę zdrowotną, producentów podstawowych produktów farmaceutycznych, krytycznych wyrobów medycznych oraz laboratoriów referencyjnych UE;
  • wody pitnej;
  • ścieków;
  • infrastruktury cyfrowej, w tym dostawców usług centrów danych, usług chmurowych, publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej;
  • usług ICT zarządzanych między przedsiębiorstwami (managed services);
  • przestrzeni kosmicznej.

Dyrektywa NIS2 obejmuje również inne sektory krytyczne, takie jak:

  • usługi pocztowe i kurierskie;
  • gospodarka odpadami;
  • produkcja, wytwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja — w szczególności: wyrobów medycznych, komputerowych, elektronicznych i optycznych; wybranych grup sprzętu elektrycznego i maszyn; pojazdów silnikowych i innego sprzętu transportowego;
  • dostawcy usług cyfrowych, w tym internetowe platformy handlowe, wyszukiwarki i sieci społecznościowe.

Wymagania NIS2 wobec organizacji

Dyrektywa NIS2 nakłada na podmioty kluczowe i ważne zestaw wymagań, które mają realnie podnieść poziom odporności cyfrowej organizacji. Skupia się na trzech kluczowych obszarach: zarządzaniu ryzykiem, raportowaniu incydentów oraz obowiązkach administracyjnych. Co dokładnie stoi za tymi obszarami?

1. Wymagania wobec metod zarządzania ryzykiem w organizacji

Organizacje muszą wdrożyć proporcjonalne i adekwatne środki techniczne, organizacyjne i operacyjne, które realnie wzmacniają bezpieczeństwo. Oznacza to, że Twoja firma powinna mieć:

  • ściśle określone polityki bezpieczeństwa i stałą analizę ryzyka;
  • działające procesy wykrywania, reagowania i usuwania skutków incydentów;
  • gotowe scenariusze odtwarzania systemów, regularne kopie zapasowe i testy procedur;
  • określony sposób weryfikacji poziomu zabezpieczeń u dostawców rozwiązań i usług;
  • przeszkolonych pracowników i zarządzających w zakresie podstawowych zasad cyberbezpieczeństwa;
  • odpowiednie metody ochrony danych, wynikających z analizy ryzyka;
  • jasne procedury nadawania uprawnień i pełna wiedza o posiadanych zasobach.

Warto podejść do tego procesu z możliwie obiektywnej perspektywy. Często dopiero niezależny audyt pokazuje, czy firmowe procedury faktycznie działają, czy tylko istnieją na papierze. Dlatego wiele organizacji decyduje się na audyt zgodności z NIS2 przeprowadzany przez ekspertów GoNextStage. Efektem audytu jest precyzyjna ocena ryzyka wraz ze wskazaniem obszarów, które wymagają poprawy, aby spełnić wymagania dyrektywy.

Chcesz zająć się tym sam i potrzebujesz wskazówki jak przygotować się pod NIS2? Skorzystaj z checklisty NIS2, przygotowaną przez ekspertów bezpieczeństwa GoNextStage.

2. Rygorystyczne wymogi raportowania incydentów

W Polsce działa System S46, przez który należy przekazywać informacje o wszelkich poważnych zdarzeniach naruszających bezpieczeństwo. Dyrektywa NIS2 wprowadza ścisłe ramy czasowe dotyczące zgłaszania znaczących incydentów do właściwych organów:

  • 24 godziny – wstępne zgłoszenie, które ostrzega o incydencie.
  • 72 godziny – pełny raport operacyjny z oceną sytuacji i jej skutków.
  • 1 miesiąc – raport końcowy podsumowujący działania i wnioski.

Celem jest szybka reakcja i ograniczenie skutków incydentów, zwłaszcza tych, które mogą uderzyć w łańcuch dostaw.

3. Obowiązki administracyjne i rejestracyjne

Zgodnie z dyrektywą NIS2 organizacja sama ocenia czy spełnia kryteria podmiotu kluczowego lub ważnego. Jeśli podlega pod NIS2, ma obowiązek rejestracji w rejestrze podmiotów ważnych i kluczowych. Zapisu w rejestrze dokonuje się drogą elektroniczną, składając wniosek online o wpis do wykazu prowadzonego przez Ministra Cyfryzacji.

Po umieszczeniu w rejestrze, organizacja musi co najmniej raz na dwa lata udowodnić, że jej system zarządzania bezpieczeństwem działa poprawnie. Wyniki takiego audytu muszą zostać przesłane do właściwego organu ds. cyberbezpieczeństwa w celu weryfikacji zgodności. Umów audyt NIS2 u ekspertów GoNextStage.


    Co ważne, Twoja firma powinna gromadzić wszelkie dowody realnego stosowania procedur bezpieczeństwa. Organ nadzorczy będzie bowiem oceniał nie tylko samo istnienie dokumentacji, ale jej faktyczne funkcjonowanie w organizacji. Dowodem na stosowanie procedur jest m.in.:

    • aktualny rejestr aktywów;
    • regularne analizy wpływu na biznes (BIA) oraz cykliczne oceny ryzyka;
    • posiadanie dokumentacji potwierdzającej, że polityki i procedury są rzeczywiście stosowane w codziennej praktyce.

    Konsekwencje braku zgodności z dyrektywą NIS2

    NIS2 przenosi odpowiedzialność za cyberbezpieczeństwo z działów IT na członków zarządu. Teraz to kadra kierownicza odpowiada finansowo za rażące zaniedbania. W Polsce kara finansowa za uchybienia to nawet kilkuset procent miesięcznego wynagrodzenia. Ponadto art. 32 ust. 5 dyrektywy NIS2 daje organom nadzorczym prawo do:

    • tymczasowego zakazu pełnienia funkcji kierowniczych (w tym na poziomie CEO/Członka Zarządu) dla osób odpowiedzialnych za rażące zaniedbania;
    • wyznaczenia komisarza/monitora, który będzie nadzorował proces naprawczy wewnątrz firmy.

    W praktyce oznacza to, że jeśli zarząd ignoruje zalecenia dotyczące cyberbezpieczeństwa, regulator może go po prostu odsunąć od sterów.

    Podsumowanie

    Dyrektywa wprowadza jasne wymagania dotyczące zarządzania ryzykiem, raportowania naruszeń i obowiązków administracyjnych. Wymaga również zaangażowania kierownictwa i nakłada na członków zarządu realną odpowiedzialność za bezpieczeństwo organizacji. Kluczowe jest przygotowanie procesów, ludzi i technologii, a przede wszystkim: obiektywnej oceny aktualnego stopnia zabezpieczenia danych firmowych. Dobrą praktyką jest zaczęcie przygotowań do NIS2 od niezależnego audytu NIS2.

    Jak realizujemy projekty?

    ZOBACZ WIĘCEJ

    CASE STUDY

    Poznaj historie naszych Klientów

    VINCI Construction Polska
    Canal+

    SKONTAKTUJ SIĘ Z NAMI

    Przejdź na wyższy poziom biznesu