Jeśli pracujesz w IT lub cyberbezpieczeństwie w Unii Europejskiej, NIS2 prawdopodobnie od roku jest stałym tematem na Twoich spotkaniach. Dyrektywa weszła w życie 16 stycznia 2023 roku, a państwa członkowskie UE miały czas do 17 października 2024 na jej transpozycję do prawa krajowego. Niektóre kraje dotrzymały tego terminu. Wiele nie. Ale niezależnie od statusu legislacji krajowej, wymagania są jasne, a czas płynie.
Dyrektywa NIS2 (Dyrektywa w sprawie bezpieczeństwa sieci i informacji 2) zastępuje pierwotną dyrektywę NIS z 2016 roku. Zakres jest znacząco szerszy, wymagania ostrzejsze, a kary za niezgodność realne. Gdzie NIS1 obejmował kilkaset organizacji na kraj, NIS2 obejmuje tysiące - potencjalnie dziesiątki tysięcy - w całej UE.
Ten przewodnik opisuje, czego NIS2 wymaga, kogo obejmuje, jak pokrywa się z ISO 27001 i co możesz zrobić już dziś. Jeśli chcesz zobaczyć, jak mapowanie zgodności NIS2 działa w praktyce, nasze demo CISO Assistant ma wczytany framework NIS2.
Kogo dotyczy NIS2?
NIS2 znacząco poszerza zakres w porównaniu z oryginalną dyrektywą. Pytanie nie dotyczy tylko sektora - liczy się też wielkość organizacji.
Klasyfikacja podmiotów
NIS2 dzieli organizacje na dwie kategorie, z różnymi reżimami nadzoru:
Podmioty kluczowe podlegają ściślejszemu nadzorowi, w tym proaktywnym inspekcjom i audytom:
- Energetyka (elektryczność, ropa, gaz, ciepłownictwo, wodór)
- Transport (lotniczy, kolejowy, wodny, drogowy)
- Bankowość i infrastruktura rynków finansowych
- Ochrona zdrowia (szpitale, laboratoria, producenci wyrobów medycznych)
- Woda pitna i ścieki
- Infrastruktura cyfrowa (DNS, rejestry TLD, dostawcy chmury, centra danych, CDN, usługi zaufania)
- Zarządzanie usługami ICT (dostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa)
- Administracja publiczna (rząd centralny)
- Przestrzeń kosmiczna
Podmioty ważne podlegają lżejszemu, reaktywnemu nadzorowi - zazwyczaj weryfikowane dopiero po incydencie lub dowodach niezgodności:
- Usługi pocztowe i kurierskie
- Gospodarka odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja przemysłowa (wyroby medyczne, komputery, elektronika, maszyny, pojazdy silnikowe)
- Dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki, platformy społecznościowe)
- Organizacje badawcze
Progi wielkościowe
W ramach tych sektorów NIS2 dotyczy zasadniczo organizacji, które są:
- Średniej wielkości lub większe: 50+ pracowników, lub 10+ mln EUR rocznego obrotu, lub 10+ mln EUR sumy bilansowej
- Niektóre podmioty są objęte niezależnie od wielkości - dostawcy DNS, rejestry TLD, dostawcy usług zaufania oraz niektórzy operatorzy infrastruktury cyfrowej
Jeśli Twoja firma działa w jednym z tych sektorów i spełnia próg wielkościowy, NIS2 Cię dotyczy. Nie ma rejestracji ani zgłoszenia - obowiązuje automatycznie.
Wymagania NIS2
Artykuł 21 to podstawa wymagań technicznych NIS2. Nakazuje podmiotom kluczowym i ważnym wdrożenie odpowiednich i proporcjonalnych środków zarządzania ryzykiem cyberbezpieczeństwa. Oto, co to oznacza w praktyce.
Środki zarządzania ryzykiem (Artykuł 21)
NIS2 wymaga co najmniej następujących środków cyberbezpieczeństwa:
- Analiza ryzyka i polityki bezpieczeństwa systemów informacyjnych - udokumentowane polityki regulujące ocenę i zarządzanie ryzykiem cyber
- Obsługa incydentów - procesy wykrywania, zarządzania i raportowania incydentów
- Ciągłość działania i zarządzanie kryzysowe - zarządzanie kopiami zapasowymi, odtwarzanie po awarii i plany reagowania kryzysowego
- Bezpieczeństwo łańcucha dostaw - środki bezpieczeństwa obejmujące relacje z bezpośrednimi dostawcami i usługodawcami, w tym zarządzanie podatnościami
- Bezpieczeństwo w pozyskiwaniu, rozwoju i utrzymaniu sieci i systemów informacyjnych - w tym obsługa i ujawnianie podatności
- Polityki i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa - czyli audytowanie samego siebie
- Podstawowe praktyki higieny cybernetycznej i szkolenia z cyberbezpieczeństwa - świadomość bezpieczeństwa dla wszystkich pracowników
- Polityki dotyczące kryptografii i szyfrowania - tam, gdzie to stosowne
- Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami - kto ma dostęp do czego i inwentaryzacja krytycznych zasobów
- Uwierzytelnianie wieloskładnikowe (MFA) lub rozwiązania ciągłego uwierzytelniania, zabezpieczona komunikacja i zabezpieczone systemy komunikacji awaryjnej
Jeśli ta lista wygląda znajomo, to dobrze. Większość tych wymagań mapuje się bezpośrednio na kontrole ISO 27001. Dokładne pokrywanie się omówimy później w tym artykule.
Obowiązki raportowania incydentów (Artykuł 23)
NIS2 wprowadza obowiązkowy, wieloetapowy reżim raportowania incydentów - bardziej wymagający niż to, do czego przyzwyczaiła się większość firm:
| Termin | Wymaganie | Co zawiera |
|---|---|---|
| 24 godziny | Wczesne ostrzeżenie do CSIRT/właściwego organu | Czy incydent jest podejrzewany jako spowodowany przez działania niezgodne z prawem lub złośliwe, czy może mieć wpływ transgraniczny |
| 72 godziny | Powiadomienie o incydencie | Wstępna ocena wagi i wpływu, wskaźniki kompromitacji tam gdzie dotyczy |
| 1 miesiąc | Raport końcowy | Szczegółowy opis incydentu, analiza przyczyn źródłowych, zastosowane środki łagodzące, wpływ transgraniczny jeśli wystąpił |
Terminy te biegną od momentu, gdy podmiot stanie się świadomy istotnego incydentu. “Istotny incydent” to taki, który spowodował lub jest w stanie spowodować poważne zakłócenie operacyjne lub stratę finansową, lub który wpłynął lub jest w stanie wpłynąć na inne osoby powodując znaczną szkodę materialną lub niematerialną.
Dla podmiotów kluczowych to nie jest opcjonalne. Samo przekroczenie 24-godzinnego okna wczesnego ostrzeżenia może uruchomić działania nadzorcze.
Bezpieczeństwo łańcucha dostaw
Wymagania dotyczące łańcucha dostaw są zwykle najtrudniejsze do wdrożenia. NIS2 wymaga:
- Oceny praktyk cyberbezpieczeństwa bezpośrednich dostawców i usługodawców
- Uwzględnienia ogólnej jakości produktów i usług, w tym wbudowanych funkcji cyberbezpieczeństwa
- Uwzględnienia podatności specyficznych dla każdego dostawcy i wyników audytów cyberbezpieczeństwa
- Identyfikacji i zarządzania ryzykiem z łańcucha dostaw jako całości, nie tylko poszczególnych dostawców
To oznacza, że Twój proces zarządzania bezpieczeństwem dostawców musi być sformalizowany, udokumentowany i aktywnie utrzymywany. Arkusz kalkulacyjny z nazwami dostawców nie wystarczy - potrzebujesz ustrukturyzowanych ocen ze śledzoną remediacją.
Zarządzanie i odpowiedzialność kierownictwa
Tu NIS2 nabiera ostrości. Artykuł 20 czyni organy zarządzające bezpośrednio odpowiedzialnymi za cyberbezpieczeństwo:
- Kierownictwo musi zatwierdzić środki zarządzania ryzykiem cyberbezpieczeństwa
- Kierownictwo musi nadzorować ich wdrażanie
- Członkowie kierownictwa muszą przejść szkolenie z cyberbezpieczeństwa
- Kierownictwo może ponosić osobistą odpowiedzialność za niezgodność
To znacząca zmiana. W ramach NIS1 cyberbezpieczeństwo często było w całości delegowane do zespołów IT. NIS2 wyraźnie czyni to odpowiedzialnością na poziomie zarządu. Jeśli Twój CEO nie został poinformowany o statusie zgodności z NIS2, to jest luka, którą musisz zamknąć.
NIS2 a ISO 27001: jak się pokrywają
Jeśli Twoja organizacja posiada już certyfikat ISO 27001 lub pracuje nad jego uzyskaniem, jesteś w dobrej pozycji pod kątem NIS2. Pokrywanie się jest znaczne - około 70-80% wymagań NIS2 mapuje się na istniejące kontrole ISO 27001.
Macierz pokrywania się
| Wymaganie NIS2 (Artykuł 21) | Kontrole ISO 27001 Załącznik A | Pokrycie |
|---|---|---|
| Analiza ryzyka i polityki bezpieczeństwa | A.5.1, A.5.2, A.6.1 | Pełne |
| Obsługa incydentów | A.5.24, A.5.25, A.5.26, A.6.8 | Częściowe (NIS2 dodaje ścisłe terminy) |
| Ciągłość działania | A.5.29, A.5.30, A.8.13, A.8.14 | Pełne |
| Bezpieczeństwo łańcucha dostaw | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Pełne |
| Bezpieczeństwo sieci i systemów | A.8.8, A.8.9, A.8.20, A.8.21 | Pełne |
| Ocena skuteczności | A.5.35, A.5.36 (monitoring, zgodność) | Pełne |
| Higiena cybernetyczna i szkolenia | A.6.3, A.7.2 | Pełne |
| Kryptografia | A.8.24 | Pełne |
| Bezpieczeństwo HR i kontrola dostępu | A.6.1-6.7, A.8.2-8.5 | Pełne |
| MFA i bezpieczna komunikacja | A.8.5, A.8.20 | Częściowe (NIS2 jest bardziej szczegółowe) |
Gdzie NIS2 wykracza poza ISO 27001
Pomimo znacznego pokrywania się, NIS2 dodaje wymagania, których sam ISO 27001 nie obejmuje:
- Obowiązkowe raportowanie incydentów z ustalonymi terminami (24h/72h/1 miesiąc) - ISO 27001 wymaga zarządzania incydentami, ale nie nakazuje raportowania do organów w określonych ramach czasowych
- Głębokość bezpieczeństwa łańcucha dostaw - NIS2 oczekuje bardziej szczegółowej oceny dostawców niż kontrole relacji z dostawcami ISO 27001
- Odpowiedzialność organów zarządzających - ISO 27001 wymaga zaangażowania kierownictwa, ale NIS2 wprowadza osobistą odpowiedzialność
- Wymagania sektorowe nakładane dodatkowo przez krajowe ustawy transponujące
- Koordynacja transgraniczna - obowiązek uwzględnienia i raportowania incydentów z potencjalnym wpływem transgranicznym
Praktyczny wniosek
Jeśli posiadasz certyfikat ISO 27001, nie zaczynasz od zera. Twój ISMS obejmuje większość wymagań NIS2. Luki dotyczą głównie procedur raportowania incydentów (dodanie terminów 24h/72h), pogłębienia ocen łańcucha dostaw, sformalizowania nadzoru kierownictwa oraz zapewnienia, że klasyfikacja incydentów uwzględnia próg “istotnego incydentu” NIS2.
Jeśli nie posiadasz jeszcze certyfikatu ISO 27001, jednoczesne wdrażanie NIS2 i ISO 27001 ma sens strategiczny - praca w dużej mierze się pokrywa, a certyfikat ISO demonstruje dojrzałość zgodności wobec regulatorów.
Harmonogram i status transpozycji krajowej
Oto aktualny stan w UE na początku 2026 roku:
| Kamień milowy | Data | Status |
|---|---|---|
| Wejście NIS2 w życie | 16 stycznia 2023 | Zrealizowane |
| Termin transpozycji | 17 października 2024 | Minął |
| Oczekiwane ustawy krajowe | 17 października 2024 | Wiele opóźnionych |
| Wytyczne ENISA i akty wykonawcze | Przez cały 2025 | W toku |
| Pełne egzekwowanie | 2025-2026 | Różni się w zależności od kraju |
Rzeczywistość transpozycji krajowej
Kilka państw członkowskich UE przekroczyło termin październikowy 2024. Stan na początek 2026:
- Niemcy - Ustawa wdrażająca NIS2 (NIS2UmsuCG) przeszła przez wiele wersji i została przyjęta w 2025 roku. BSI jest głównym organem nadzorczym.
- Francja - ANSSI nadzoruje wdrożenie. Francja była jednym z lepiej przygotowanych państw.
- Polska - Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdrażająca NIS2 została przyjęta, z NASK i sektorowymi CSIRT-ami jako odpowiedzialnymi organami. Polskie organizacje powinny zwrócić szczególną uwagę na specyfikę krajową.
- Holandia - Przyjęła ustawę o cyberbezpieczeństwie (Cbw) transponującą NIS2.
- Włochy - Transponowały NIS2 w 2024 roku, z ACN jako organem kompetentnym.
Nawet w krajach, gdzie transpozycja się opóźniła, organizacje powinny już wdrażać wymagania NIS2. Wymagania dyrektywy są jasne niezależnie od szczegółów legislacji krajowej, a retroaktywne egzekwowanie od terminu transpozycji jest możliwe.
Kary za niezgodność
NIS2 wprowadza kary, które sprawiają, że kary GDPR wyglądają znajomo:
| Typ podmiotu | Maksymalna kara |
|---|---|
| Podmioty kluczowe | 10 000 000 EUR lub 2% całkowitego światowego rocznego obrotu (w zależności od tego, co wyższe) |
| Podmioty ważne | 7 000 000 EUR lub 1,4% całkowitego światowego rocznego obrotu (w zależności od tego, co wyższe) |
Poza karami finansowymi organy nadzorcze mogą:
- Wydawać wiążące instrukcje i nakazy
- Nakazać wdrożenie zaleceń z audytu bezpieczeństwa
- Nakazać podjęcie środków w celu osiągnięcia zgodności w wyznaczonym terminie
- Nałożyć okresowe kary pieniężne do czasu osiągnięcia zgodności
- Tymczasowo zawiesić certyfikaty lub autoryzacje podmiotów kluczowych
- Tymczasowo zakazać osobom pełnienia funkcji zarządczych w podmiotach kluczowych
Ten ostatni punkt jest niezwykły - NIS2 daje organom uprawnienia do tymczasowego odsunięcia członków zarządu od ich ról za poważną niezgodność. W połączeniu z przepisami o odpowiedzialności kierownictwa sprawia to, że zgodność z NIS2 jest osobistą troską każdego członka zarządu.
Jak wdrożyć NIS2 z CISO Assistant
CISO Assistant zawiera framework NIS2 wczytany domyślnie, ze wszystkimi wymaganiami Artykułu 21 zmapowanymi na ocenialne kontrole. Oto jak go użyć do budowania i wykazywania zgodności.
Mapowanie frameworku NIS2
Gdy tworzysz nową ocenę zgodności w CISO Assistant i wybierasz framework NIS2, zobaczysz wszystkie wymagania uporządkowane według artykułu i tematu. Każde wymaganie może być ocenione jako:
- Zgodne - w pełni wdrożone i udowodnione
- Częściowo zgodne - wdrożenie w toku lub istnieją luki
- Niezgodne - jeszcze nie zaadresowane
- Nie dotyczy - nie ma zastosowania do organizacji (z uzasadnieniem)
Platforma śledzi ogólny procent zgodności i wskazuje obszary wymagające uwagi. Jeśli jednocześnie prowadzisz ISO 27001, mapowanie międzyframeworkowe CISO Assistant automatycznie pokazuje, które wymagania NIS2 Twoje istniejące kontrole ISO 27001 już spełniają - eliminując podwójną pracę.
Ocena ryzyka zgodna z NIS2
Artykuł 21 NIS2 zaczyna od analizy ryzyka nie bez powodu. W CISO Assistant możesz zbudować ocenę ryzyka, która bezpośrednio zasila Twoją zgodność z NIS2:
- Zidentyfikuj aktywa - infrastrukturę sieciową, systemy informacyjne i dane w zakresie
- Zmapuj zagrożenia - używając wbudowanego katalogu zagrożeń lub własnego
- Oceń ryzyko - prawdopodobieństwo i wpływ, powiązane ze scenariuszami istotnymi dla NIS2
- Zastosuj kontrole - zmapuj kontrole łagodzące jednocześnie do scenariuszy ryzyka i wymagań NIS2
To tworzy jedno źródło prawdy, gdzie decyzje o postępowaniu z ryzykiem są bezpośrednio powiązane z dowodami zgodności z NIS2.
Przepływ zarządzania incydentami
Choć CISO Assistant nie ma dedykowanego modułu zarządzania incydentami, możesz użyć platformy do:
- Udokumentowania kryteriów klasyfikacji incydentów zgodnych z definicją “istotnego incydentu” NIS2
- Zmapowania procedur reagowania na incydenty do terminów raportowania z Artykułu 23 NIS2
- Śledzenia dowodów zdolności reagowania na incydenty poprzez oceny zgodności
- Powiązania kontroli zarządzania incydentami z wymaganiami zarówno NIS2, jak i ISO 27001
Do faktycznego ticketowania i przepływu incydentów zintegruj się z istniejącymi narzędziami ITSM lub SIEM. API CISO Assistant czyni tę integrację prostą.
Zarządzanie łańcuchem dostaw
Użyj możliwości zarządzania ryzykiem podmiotów trzecich CISO Assistant, aby sprostać wymaganiom NIS2 dotyczącym łańcucha dostaw:
- Zarejestruj wszystkich bezpośrednich dostawców i usługodawców
- Przeprowadź ustrukturyzowane oceny bezpieczeństwa dla każdego dostawcy
- Oceń krytyczność dostawcy na podstawie dostępu do Twoich systemów i danych
- Śledź remediację zidentyfikowanych ryzyk
- Generuj raporty wykazujące bieżący nadzór nad łańcuchem dostaw
Praktyczne pierwsze kroki dla firm zaczynających dziś
Jeśli jeszcze nie rozpocząłeś drogi do zgodności z NIS2, oto realistyczny plan działania:
Krok 1: Sprawdź, czy NIS2 Cię dotyczy (Tydzień 1)
Sprawdź swój sektor na listach podmiotów kluczowych/ważnych. Sprawdź wielkość organizacji pod kątem progów (50+ pracowników lub 10+ mln EUR obrotu). Jeśli którykolwiek warunek jest spełniony, jesteś w zakresie. Jeśli nie jesteś pewien, załóż że NIS2 Cię dotyczy - wymagania te są dobrą praktyką bezpieczeństwa niezależnie od wszystkiego.
Krok 2: Przeprowadź analizę luk (Tygodnie 2-4)
Zmapuj obecne środki cyberbezpieczeństwa do wymagań Artykułu 21 NIS2. CISO Assistant to ułatwia - wczytaj framework NIS2, uczciwie oceń każde wymaganie, a otrzymasz jasny obraz swojej sytuacji. Nasz przewodnik po mapowaniu zgodności prowadzi przez ten proces.
Krok 3: Priorytetyzuj i zaplanuj (Tydzień 5)
Na podstawie analizy luk stwórz plan naprawczy. Skup się na:
- Szybkie wygrane: sformalizowanie istniejących praktyk, które nie są udokumentowane (prawdopodobnie robisz więcej, niż myślisz)
- Luki wysokiego ryzyka: procedury raportowania incydentów, oceny łańcucha dostaw, briefing zarządu
- Praca u podstaw: metodologia oceny ryzyka, inwentaryzacja aktywów, polityki kontroli dostępu
Krok 4: Wdrażaj (Miesiące 2-6)
Realizuj plan naprawczy. Oczekiwane rezultaty:
- Udokumentowana polityka zarządzania ryzykiem cyberbezpieczeństwa (zatwierdzona przez kierownictwo)
- Plan reagowania na incydenty z terminami zgodnymi z NIS2 (24h/72h/1 miesiąc)
- Program oceny bezpieczeństwa dostawców
- Plany ciągłości działania i odtwarzania po awarii
- Dowody szkolenia i nadzoru kierownictwa
- MFA wdrożone w krytycznych systemach
Krok 5: Waliduj i utrzymuj (Na bieżąco)
- Przeprowadzaj regularne wewnętrzne oceny względem wymagań NIS2
- Testuj procedury reagowania na incydenty (ćwiczenia stołowe)
- Przeglądaj i aktualizuj oceny dostawców corocznie
- Informuj i angażuj kierownictwo na bieżąco
- Monitoruj rozwój transpozycji krajowej pod kątem dodatkowych wymagań
Wnioski
NIS2 nie jest opcjonalne. Jeśli Twoja organizacja spełnia kryteria sektora i wielkości, zgodność jest obowiązkowa. Opóźnienia w transpozycji krajowej nie zmieniają podstawowych wymagań.
ISO 27001 prowadzi Cię przez większość drogi. Jeśli już posiadasz certyfikat lub go wdrażasz, około 70-80% wymagań NIS2 jest pokrytych. Skoncentruj wysiłki specyficzne dla NIS2 na terminach raportowania incydentów, głębokości łańcucha dostaw i odpowiedzialności kierownictwa.
Kierownictwo jest osobiście odpowiedzialne. To największa zmiana kulturowa, jaką wprowadza NIS2. Członkowie zarządu i kadra zarządzająca muszą zatwierdzać, nadzorować i być szkoleni z zarządzania ryzykiem cyberbezpieczeństwa.
Zacznij od analizy luk. Nie zaplanujesz tego, czego nie zmierzysz. Wczytaj framework NIS2 w CISO Assistant, oceń swój obecny stan i zbuduj plan naprawczy na tej podstawie.
Kary są realne. Do 10 mln EUR lub 2% globalnego obrotu, plus potencjalne zawieszenie certyfikatów i tymczasowe zakazy dla kadry zarządzającej. To nie wytyczne - to regulacja z zębami egzekucji.
Jak zacząć
Jeśli chcesz praktycznie eksplorować mapowanie zgodności NIS2, nasze demo CISO Assistant ma framework NIS2 wczytany i gotowy do oceny. Dla samodzielnego wdrożenia z frameworkami NIS2, ISO 27001 i DORA skonfigurowanymi dla Twojej organizacji, tym właśnie się zajmujemy. A jeśli potrzebujesz pomocy w budowaniu planu zgodności obejmującego NIS2 obok istniejącego programu ISO 27001, skontaktuj się z nami - pomogliśmy organizacjom w całej Europie przejść przez dokładnie to wyzwanie.
Zobacz też, jak organizacje budują publiczne trust portale aby demonstrować transparentność zgodności, lub porównaj opcje w naszym porównaniu narzędzi GRC open-source. Nasz przewodnik po wdrożeniu ISO 27001 obejmuje framework bazowy, który znacząco pokrywa się z wymaganiami NIS2.
