Dyrektywa NIS2 obejmuje znacznie więcej firm niż jej poprzedniczka. Pokazuję krok po kroku, jak w 90 dni przejść od zera do zgodności — bez kosztownego konsultingu korporacyjnego.
Jeszcze dwa lata temu dyrektywa o bezpieczeństwie sieci i informacji była tematem wyłącznie dla banków, operatorów telekomunikacyjnych i dużych dostawców energii. NIS2 zmienia tę logikę całkowicie. Nowa dyrektywa rozszerza katalog podmiotów objętych obowiązkami na 18 sektorów i — co kluczowe dla czytelników tego bloga — przestaje patrzeć wyłącznie na wielkość firmy. Liczy się to, co robisz, a nie tylko jak duży jesteś.
Jeśli prowadzisz średniej wielkości firmę produkcyjną, software house, hurtownię, firmę z branży spożywczej, podmiot świadczący usługi cyfrowe albo dostawcę dla sektora zdrowia — istnieje realna szansa, że NIS2 dotyczy właśnie Ciebie. A termin na dostosowanie nie jest abstrakcyjną przyszłością. W tym artykule pokazuję, jak przejść od „nie wiem, czy mnie to dotyczy” do udokumentowanej zgodności w 90 dni, bez budżetu rzędu setek tysięcy złotych na konsulting korporacyjny.
NIS2 (dyrektywa UE 2022/2555) to unijna regulacja, która zastąpiła pierwotną dyrektywę NIS z 2016 roku. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii poprzez nałożenie konkretnych obowiązków na podmioty uznane za istotne dla funkcjonowania gospodarki i społeczeństwa. W Polsce dyrektywa jest wdrażana poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) — to właśnie ten akt określa szczegółowe wymagania, którym musisz sprostać.
Dyrektywa dzieli objęte podmioty na dwie kategorie:
Różnica między kategoriami przekłada się na intensywność nadzoru i wysokość kar, ale zakres podstawowych obowiązków technicznych i organizacyjnych jest zbliżony. Z perspektywy MŚP najważniejsze jest jedno: jeśli działasz w jednym z wymienionych sektorów i zatrudniasz co najmniej 50 osób lub masz obrót powyżej 10 mln euro, najprawdopodobniej podlegasz dyrektywie. Ale uwaga — istnieją wyjątki, w których próg wielkości nie obowiązuje (np. dostawcy usług DNS, rejestry domen, niektórzy dostawcy infrastruktury krytycznej). Pełną klasyfikację sektorów znajdziesz w materiałach Ministerstwa Cyfryzacji oraz w wytycznych europejskiej agencji ENISA.
Najczęstszy błąd: „Jesteśmy małą firmą, więc nas to nie dotyczy”. NIS2 obejmuje także średnie przedsiębiorstwa, a w niektórych przypadkach mniejsze podmioty świadczące krytyczne usługi. Pierwszym krokiem nie jest zakup oprogramowania — jest nim rzetelne ustalenie, czy i jako jaki podmiot podlegasz dyrektywie.
To nie jest regulacja „na papierze”. NIS2 wprowadza realne sankcje:
Ten ostatni punkt zmienia wszystko. NIS2 świadomie przenosi odpowiedzialność na poziom zarządu, bo doświadczenie pokazało, że cyberbezpieczeństwo traktowane jako koszt techniczny jest spychane na koniec listy priorytetów. Teraz członek zarządu, który zignoruje obowiązki, ryzykuje osobiście.
Wdrożenie podzieliłem na trzy 30-dniowe fazy. Taki rytm sprawdza się w MŚP, bo pozwala pokazać postęp zarządowi co miesiąc i nie blokuje bieżącej działalności. Oto mapa:
| Faza | Dni | Cel | Efekt |
|---|---|---|---|
| Faza 1 — Diagnoza | 1–30 | Ustalenie statusu, inwentaryzacja, analiza luki | Rejestr aktywów + raport luki |
| Faza 2 — Wdrożenie | 31–60 | Polityki, zabezpieczenia techniczne, szkolenia | Komplet polityk + wdrożone kontrole |
| Faza 3 — Weryfikacja | 61–90 | Testy, procedury incydentów, rejestracja | Plan ciągłości + gotowość do audytu |
Nie da się naprawić czegoś, czego nie zmierzyłeś. Pierwsze 30 dni poświęcasz na zrozumienie, gdzie jesteś — bez kupowania jakichkolwiek narzędzi.
Wymagania art. 21, do których będziesz się odnosić, obejmują m.in.: politykę analizy ryzyka, obsługę incydentów, ciągłość działania i kopie zapasowe, bezpieczeństwo łańcucha dostaw, bezpieczeństwo przy nabywaniu i utrzymaniu systemów, ocenę skuteczności środków, podstawową cyberhigienę i szkolenia, kryptografię, kontrolę dostępu i zarządzanie aktywami oraz uwierzytelnianie wieloskładnikowe. Pełny katalog opisuje tekst dyrektywy, a praktyczne wskazówki — przewodniki ENISA.
Analiza luki to nie biurokracja. To moment, w którym zwykle okazuje się, że firma ma backupy, których nikt nigdy nie odtworzył, oraz konta administratorów po pracownikach sprzed dwóch lat. Sam ten audyt często zwraca koszty wdrożenia.
Mając raport luki, wiesz dokładnie, co naprawić. Druga faza to wdrażanie — równolegle na poziomie organizacyjnym (polityki) i technicznym (kontrole).
Wskazówka praktyczna: polityki nie muszą być stustronicowe. Lepsza jest zwięzła, faktycznie przestrzegana polityka na 3 strony niż imponujący dokument, którego nikt nie czytał. Organ nadzoru ocenia, czy środki są realnie stosowane, a nie ich objętość.
Dyrektywa wprost wymaga podstawowych szkoleń z cyberhigieny — także dla zarządu. Phishing wciąż odpowiada za większość udanych włamań w sektorze MŚP, a żadne narzędzie nie zastąpi pracownika, który rozpozna podejrzaną wiadomość. Zaplanuj krótkie, regularne szkolenia i co najmniej jedną symulację phishingu w roku.
To również obszar, w którym AI realnie pomaga: lokalne modele LLM mogą analizować logi, wstępnie klasyfikować alerty i przygotowywać materiały szkoleniowe bez wysyłania wrażliwych danych firmy do chmury. O tym, kiedy lokalny model bije API chmurowe, piszę szerzej w osobnym artykule na tym blogu.
Trzecia faza zamienia „mamy polityki” w „wiemy, że to działa”. To także moment dopełnienia obowiązków formalnych.
NIS2 wprowadza rygorystyczne, wieloetapowe terminy zgłaszania poważnych incydentów do właściwego CSIRT (w Polsce m.in. CSIRT GOV oraz CERT Polska / CSIRT NASK):
| Etap | Termin | Zawartość |
|---|---|---|
| Wczesne ostrzeżenie | do 24 godzin | Sygnał, że doszło do poważnego incydentu; podejrzenie działania bezprawnego/transgranicznego |
| Zgłoszenie incydentu | do 72 godzin | Wstępna ocena: charakter, dotkliwość, wskaźniki kompromitacji |
| Raport końcowy | do 1 miesiąca | Pełny opis, przyczyna źródłowa, zastosowane i planowane środki |
Dlatego procedura incydentów nie może być teoretyczna. W ciągu pierwszej doby od wykrycia poważnego incydentu firma musi wiedzieć, kto podejmuje decyzję o zgłoszeniu, jak kontaktuje się z CSIRT i gdzie znajdują się potrzebne informacje. Przygotuj jednostronicową kartę incydentu z rolami, telefonami i krokami — to ona uratuje Cię pod presją.
Jednym z najważniejszych — i najczęściej niedocenianych — elementów NIS2 jest bezpieczeństwo łańcucha dostaw. Dyrektywa wprost wymaga, byś uwzględniał podatności swoich dostawców oraz jakość ich praktyk bezpieczeństwa. Powód jest brutalnie praktyczny: większość głośnych incydentów ostatnich lat nie zaczęła się od włamania bezpośrednio do ofiary, lecz od przejęcia zaufanego dostawcy oprogramowania lub usług, przez którego napastnik wszedł „kuchennymi drzwiami”.
Dla MŚP nie oznacza to konieczności audytowania każdego kontrahenta. Oznacza to natomiast trzy konkretne działania:
To także obszar, w którym Twoja własna zgodność staje się atutem handlowym: coraz częściej to Twoi więksi klienci, sami objęci NIS2, będą wymagać od Ciebie wykazania środków bezpieczeństwa. Wdrożenie dyrektywy przestaje być wtedy kosztem, a staje się warunkiem utrzymania kontraktów.
Wspomniałem o tym wcześniej, ale temat jest na tyle istotny, że zasługuje na osobne omówienie. NIS2 świadomie zrywa z modelem, w którym cyberbezpieczeństwo jest „sprawą informatyków”. Dyrektywa nakłada na organy zarządzające dwa wyraźne obowiązki:
Za zaniedbania w tym zakresie odpowiedzialność jest osobista, a organ nadzoru może czasowo zakazać pełnienia funkcji zarządczych. W praktyce oznacza to, że projekt NIS2 musi mieć sponsora na poziomie zarządu — osobę, która podejmie decyzje, przydzieli budżet i podpisze dokumenty. Bez tego wdrożenie grzęźnie na etapie „ktoś powinien się tym zająć”.
Praktyczna wskazówka: udokumentuj zaangażowanie zarządu od pierwszego dnia. Protokół z posiedzenia, na którym zarząd przyjął plan wdrożenia i ocenę ryzyka, to jeden z najważniejszych dowodów zgodności, a zarazem dokument, który najłatwiej zdobyć — wystarczy o nim pamiętać na starcie.
W razie kontroli organ nadzoru nie ocenia Twoich intencji — ocenia dowody. Dlatego równolegle z wdrażaniem środków buduj „teczkę zgodności”. Minimalny zestaw dokumentów dla MŚP wygląda tak:
| Dokument | Po co |
|---|---|
| Ustalenie statusu podmiotu | Dowód, że poprawnie zaklasyfikowałeś firmę |
| Rejestr aktywów | Pokazuje, co i jak chronisz |
| Ocena ryzyka | Podstawa doboru środków |
| Komplet polityk | Warstwa organizacyjna zgodności |
| Procedura incydentów | Gotowość do zgłoszeń w terminach 24h/72h/miesiąc |
| Rejestr szkoleń | Dowód cyberhigieny, także dla zarządu |
| Dowody testów (backup, tabletop) | Potwierdzenie, że środki działają |
| Protokoły zarządu | Zatwierdzenie środków na właściwym szczeblu |
Trzymaj te dokumenty w jednym, uporządkowanym miejscu i nadaj im daty oraz wersje. Audyt zgodności wygrywa lub przegrywa nie na poziomie technologii, lecz na poziomie tego, czy potrafisz pokazać, że robisz to, co deklarujesz.
W MŚP gros wymagań NIS2 da się spełnić narzędziami, które firma już posiada (MFA w pakietach Microsoft 365 czy Google Workspace, wbudowane szyfrowanie, polityki w katalogu użytkowników). Największym kosztem nie jest software, lecz czas i kompetencje potrzebne do uporządkowania procesów oraz napisania polityk, które przejdą audyt. Dlatego rozsądny model dla średniej firmy to wsparcie doradcze przy diagnozie i politykach plus samodzielne wdrożenie kontroli technicznych. Szczegółowy rozkład kosztów wdrożeń (w tym AI wspierającego bezpieczeństwo) omawiam w artykule o kosztach AI w firmie B2B.
Połączenie prawa i technologii ma tu znaczenie. NIS2 to regulacja na styku przepisów i cyberbezpieczeństwa. Jako radca prawny z certyfikatem Blue Team (HackerU) i Google Cloud Generative AI Leader patrzę na nią z obu stron — prawnej zgodności i realnej obrony systemów. To pozwala uniknąć dwóch skrajności: „papierowej” zgodności bez realnego bezpieczeństwa oraz dobrych zabezpieczeń bez dokumentacji, której wymaga organ nadzoru.
Zależy od sektora i wielkości. Większość mikrofirm jest wyłączona, ale średnie przedsiębiorstwa (od 50 osób lub 10 mln euro obrotu) w 18 sektorach zwykle podlegają. Niektóre podmioty świadczące krytyczne usługi cyfrowe podlegają niezależnie od wielkości. Status zawsze ustalaj indywidualnie i dokumentuj wniosek.
Nie ma takiego wprost wymogu. Potrzebujesz jasno przypisanej odpowiedzialności i realnie stosowanych środków. W MŚP rolę tę często pełni wyznaczony pracownik wspierany przez zewnętrznego doradcę.
Najgorsza strategia to bezczynność. Udokumentowany, realizowany plan naprawczy jest oceniany zupełnie inaczej niż brak jakichkolwiek działań. Zacznij od fazy 1 — sama analiza luki i przypisanie odpowiedzialności pokazują, że traktujesz obowiązki poważnie.
Tak — w analizie logów, wstępnej klasyfikacji alertów, generowaniu i utrzymywaniu dokumentacji oraz szkoleniach. Dla danych wrażliwych rekomenduję rozwiązania lokalne (on-premise LLM), które nie wynoszą informacji poza infrastrukturę firmy, co samo w sobie wspiera zgodność.
Podsumowanie. NIS2 nie jest powodem do paniki, ale nie jest też regulacją, którą można przeczekać. Realny plan na 90 dni — diagnoza, wdrożenie, weryfikacja — pozwala średniej firmie osiągnąć udokumentowaną zgodność bez korporacyjnego budżetu. Klucz to zacząć od rzetelnej analizy luki i pracować według checklisty, a nie reagować po incydencie. Jeśli chcesz, by ktoś przeszedł z Tobą tę ścieżkę od strony prawnej i technicznej jednocześnie — zobacz, jak wygląda wdrożenie NIS2 w BrightMind albo umów bezpłatną konsultację.
Łączę praktykę prawniczą z certyfikatami Google Cloud Generative AI Leader i Blue Team (HackerU). Pomagam polskim firmom bezpiecznie wdrażać AI i spełniać wymogi NIS2. Poznaj mnie →
Umów bezpłatną konsultację — przeanalizujemy procesy w Twojej firmie i wskażemy, gdzie AI realnie oszczędzi czas i pieniądze.
W czerwcu 2026 rząd USA dwukrotnie w dwa tygodnie ograniczył dostęp do czołowych modeli AI. Restrykcje pomyślane jako ochrona przewagi mogą ją przyspieszyć w stronę chińskich laboratoriów — i zmieniają kalkulację firm wdrażających AI.
Czytaj artykułObsługa klienta prawie zawsze oznacza przetwarzanie danych osobowych, a to wprost podlega RODO. Wyjaśniam, kiedy użycie ChatGPT jest legalne, a kiedy naraża firmę na karę — i jak wdrożyć AI zgodnie z prawem.
Czytaj artykuł